Mozgó egyedüli főkiszolgálóval végzett műveletek (FSMO) szerepkörei a Windows 2000 Active Directoryban

Összefoglaló
A Microsoft Windows 2000 Active Directory olyan központi adattár, amelyben a vállalathoz tartozó összes objektum és annak attribútumai találhatók. Hierarchikus, több főkiszolgálós adatbázis, amely több millió objektum tárolására alkalmas. A több főkiszolgálós felépítés azt jelenti, hogy a vállalat bármely tartományvezérlőjén elvégezhetjük az adatbázis módosítását függetlenül attól, hogy a tartományvezérlő kapcsolódik-e a hálózathoz.
További információ

Windows 2000 több főkiszolgálós modell

A több főkiszolgáló adatbázisokban (például Active Directory) a módosításokat a vállalat tetszőleges tartományvezérlőjén elvégezheti, de ezzel együtt új hibalehetőségek is felmerülnek az adatoknak a vállalat többi részére való replikálásakor. Windows 2000 rendszerben a frissítési ütközések feloldásának egyik módja feloldási algoritmus alkalmazása az értékek eltérésének kezeléséhez. Ekkor a program a feloldást csak abban a tartományvezérlőben végzi el, amelybe legutoljára írtak, a többi tartományvezérlő módosításait elveti. Bár ez a módszer egyes esetekben használható, egyes ütközések túl bonyolultak ahhoz, hogy ezzel a módszerrel oldják fel őket. Bizonyos esetekben egyszerűbb megelőzni az ütközést, mint utólag feloldani azt.

Egyes módosítástípusokhoz a Windows 2000 az ütközések megelőzésére szolgáló módszereket biztosít az Active Directory frissítései esetében.

Windows 2000 egyetlen főkiszolgálós modell

A Windows 2000 ütköző frissítéseinek megelőzésére az Active Directory egyes objektumok frissítését egyetlen főkiszolgálós módszerrel hajtja végre. Az egyetlen főkiszolgálós modellben az egész címtárban csak egyetlen tartományvezérlőhöz van engedélyezve a frissítések végrehajtása. Ez hasonló a Windows korábbi verzióiban (például Microsoft Windows NT 3.51 és 4.0) használt elsődleges tartományvezérlői (PDC) szerephez, amelynél az elsődleges tartományvezérlő felelős az adott tartomány összes frissítésének elvégzéséért.

A Windows 2000 Active Directory kibővíti a Windows korábbi verzióiban használt egyetlen főkiszolgálós modellt, mivel több szerepet kínál, és a szerepek átadhatók a vállalat tetszőleges tartományvezérlője számára. Mivel az Active Directory szerepe nem egyetlen tartományvezérlőhöz tartozik, mozgó egyedüli főkiszolgálóval végzett művelet (Flexible Single Master Operation – FSMO) szerepének is nevezhetjük. A Windows 2000 rendszerben jelenleg öt FSMO-szerep található:

  • Séma-főkiszolgáló
  • Tartománynév-kiosztási főkiszolgáló
  • RID-kiszolgáló
  • Elsődleges tartományvezérlő (PDC) emulátora
  • Inrastruktúradémon

Séma-főkiszolgáló FSMO-szerep

A séma-főkiszolgálói FSMO-szerep birtokosa a címtárséma frissítéseinek elvégzéséért felelős tartományvezérlő (a séma elnevezési környezete vagy LDAP://cn=schema,cn=configuration,dc=<tartomány>). Ez a tartományvezérlő az egyetlen, amely a címtárséma frissítéseit elvégezheti. A séma frissítését követően a rendszer replikálja azt a séma főkiszolgálójáról a címtár összes tartományvezérlőjére. Címtáranként csak egy séma-főkiszolgáló van.

Tartománynév-kiosztási főkiszolgáló FSMO-szerep

A tartománynév-kiosztási főkiszolgálói FSMO-szerep birtokosa a címtár erdőszintű tartománynév-módosításáért felelős tartományvezérlő (a Partitions\Configuration elnevezési környezet vagy a LDAP://CN=Partitions, CN=Configuration, DC=<tartomány>). Csak ez a tartományvezérlő adhat hozzá címtárat a tartományhoz, illetve távolíthat el onnan. Ezenkívül kereszthivatkozásokat adhat hozzá a külső címtárakhoz, és azokat eltávolíthatja.

RID-kiszolgálói FSMO-szerep

A mozgó egyedüli főkiszolgálók (FSMO) RID-kiszolgálói szerepkörének tulajdonosa az az egy tartományvezérlő, mely az adott tartomány tartományvezérlőiről a relatív azonosítók készletével kapcsolatos összes kérelem feldolgozásáért felelős. Ezenkívül az objektum egyik tartományból való eltávolítására és egy másikba való helyezésére is jogosult.

Amikor a tartományvezérlő biztonságitag-objektumot (például felhasználót vagy csoportot) hoz létre, egyedi biztonsági azonosítót (SID) rendel hozzá. A biztonsági azonosító a tartomány biztonsági azonosítójából (ez a tartományban létrehozott azonosítók esetében megegyezik) és egy relatív azonosítóból (RID) áll, amely a tartományban létrehozott azonosítók esetében egyedi.

A Windows 2000 tartományának összes tartományvezérlőjéhez relatív azonosítók készlete tartozik, amely a létrehozott rendszerbiztonsági tagokhoz rendelhető. Amikor a tartományvezérlőhöz rendelt relatív azonosítók készlete egy adott küszöb alá esik, a tartományvezérlő további azonosítókra vonatkozó kérelmet küld a RID-kiszolgálónak. A tartomány RID-kiszolgálója válaszol a kérelemre, relatív azonosítókat olvas be a nem hozzárendelt relatív azonosítók készletéből, és hozzárendeli a kérelmező tartományvezérlő készletéhez. A címtárhoz tartományonként egy RID-kiszolgáló tartozik.

Elsődleges tartományvezérlő emulátora FSMO-szerep

Az elsődleges tartományvezérlő emulátora a vállalat időszinkronizálásához szükséges. A Windows 2000 része a W32Time (Windows idő) nevű szolgáltatás, amelyre a Kerberos hitelesítési protokollnak van szüksége. Az adott vállalaton belüli Windows 2000 rendszerrel működő számítógépek időbeállítása megegyezik. Az időszolgáltatás célja annak biztosítása, hogy a Windows időszolgáltatása hierarchikus kapcsolatrendszer segítségével határozza meg a hitelesnek tekintendő számítógépeket, és a közös idő használatának biztosítása érdekében ne engedélyezze a hurkokat.

A tartomány elsődleges tartományvezérlőjének emulátora mérvadó a tartományban. Az erdő gyökértartományában található elsődlegestartományvezérlő-emulátor lesz a vállalat mérvadó tartományvezérlője, és úgy kell beállítani, hogy a külső forrásból kérdezze le az időt. Az elsődleges tartományvezérlő emulátora FSMO-szerepkörű elsődleges tartományvezérlők a tartományhierarchiát követik a bejövő időpartner kiválasztásánál.

Windows 2000 tartományban az Elsődleges tartományvezérlő emulátora szerep birtokosa megőrzi a következő funkciókat:
  • A tartomány más vezérlői által végrehajtott jelszómódosításokat a rendszer replikálja az elsődleges tartományvezérlő emulátorára.
  • A tartomány adott vezérlőjén helytelen jelszó miatt fellépő hitelesítési hibákat a rendszer az elsődleges tartományvezérlő emulátorához továbbítja, mielőtt az ezzel kapcsolatos hibaüzenetet elküldi a felhasználónak.
  • A fiókok zárolását az elsődleges tartományvezérlő emulátora kezeli.
  • Az elsődleges tartományvezérlő elvégzi az összes olyan feladatot, amelyet a Microsoft Windows NT 4.0 Server rendszerrel működő vagy korábbi elsődleges tartományvezérlő ellát a Windows NT 4.0 vagy korábbi rendszerrel működő ügyfeleken.
Az elsődleges tartományvezérlő emulátorának ez a szolgáltatása szükségtelenné válik, ha a Windows NT 4.0 vagy korábbi rendszerrel működő összes számítógépet Windows 2000 rendszerre frissíti. Az elsődleges tartományvezérlő emulátora a Windows 2000 környezetben ismertetett feladatokat is ellátja.

Az alábbi rész a frissítés során végrehajtott módosításokat ismerteti:
  • A Windows 2000 rendszerrel működő ügyfelek (munkaállomások és tagkiszolgálók) és az alacsonyabb szintű ügyfelek, amelyeken telepítették a megosztott szolgáltatások ügyfélcsomagját, nem írhatnak a címtárba (például nem módosíthatják a jelszót) főként azon tartományvezérlő esetében, amely elsődleges tartományvezérlőként hirdette magát; a tartomány bármely tartományvezérlőjét használhatják.
  • Ha az alacsonyabb szintű tartományok tartalék tartományvezérlőit (BDC) Windows 2000 rendszerre frissíti, az elsődleges tartományvezérlő emulátora nem kapja meg az alacsonyabb szintű replikálási kérelmeket.
  • A Windows 2000 rendszerrel működő ügyfelek (munkaállomások és tagkiszolgálók) és az alacsonyabb szintű ügyfelek, amelyeken telepítették a megosztott szolgáltatások ügyfélcsomagját, az Active Directory segítségével keresik a hálózati erőforrásokat. A Windows NT böngészőszolgáltatására nincs szükségük.

Infrastruktúra FSMO-szerep

Ha egy tartomány objektumára egy másik tartomány objektuma hivatkozik, a hivatkozás alapja a hivatkozott objektum globális egyedi azonosítója, biztonsági azonosítója (a biztonsági tagokra való hivatkozáshoz) és megkülönböztető neve. Az infrastruktúra FSMO-szerep tulajdonosa a tartományok közötti objektumhivatkozásokban az objektum biztonsági azonosítójának és megkülönböztető nevének frissítéséért felelős tartományvezérlő.

Megjegyzés: Az infrastruktúrakezelői (IM) szereppel olyan tartományvezérlőnek kell rendelkeznie, amely nem globáliskatalógus-kiszolgáló (GC). Ha az infrastruktúra-főkiszolgálói szerepkört globáliskatalógus-kiszolgálón futtatja, az felhagy az objektuminformációk frissítésével, mivel ebben az esetben a kiszolgáló az általa nem tárolt objektumokra mutató hivatkozásokat nem tartalmazza. Ennek az az oka, hogy a globáliskatalógus-kiszolgáló az erdő összes objektumának tartalmazza egy részleges replikáját. Ennek eredményeként a tartományok közötti objektumhivatkozásokat a rendszer nem frissíti a tartományban, és ezzel kapcsolatos figyelmeztetést naplóz a tartományvezérlő eseménynaplójában.

Ha a tartomány összes tartományvezérlőjén megtalálható a globális katalógus, az összes tartományvezérlő adatai frissek, és nem fontos, hogy melyik tartományvezérlőn találhatók az infrastruktúrakiszolgáló adatai.
Tulajdonságok

Cikkazonosító: 197132 - Utolsó ellenőrzés: 10/04/2005 16:35:00 - Verziószám: 4.0

Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbinfo KB197132
Visszajelzés