Active Directory FSMO-rollen in Windows

  • Artikel

Dit artikel helpt u vooral meer te weten te komen over de FSMO-rollen (Flexible Single Master Operation) in Active Directory.

Van toepassing op: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Origineel KB-nummer: 197132

Samenvatting

Active Directory is de centrale opslagplaats waarin alle objecten in een onderneming en hun respectieve kenmerken worden opgeslagen. Het is een hiërarchische database met meerdere masters die miljoenen objecten kan opslaan. Wijzigingen in de database kunnen worden verwerkt op elke willekeurige domeincontroller (DC) in de onderneming, ongeacht of de DC is aangesloten of losgekoppeld van het netwerk.

Model met meerdere masters

Een database met meerdere masters, zoals de Active Directory, biedt de flexibiliteit om wijzigingen toe te staan op elke domeincontroller in de onderneming. Maar het introduceert ook de mogelijkheid van conflicten die mogelijk tot problemen kunnen leiden zodra de gegevens naar de rest van de onderneming zijn gerepliceerd. Een van de manieren waarop Windows omgaat met conflicterende updates is door een conflictoplossend algoritme de discrepanties in waarden te laten afhandelen. Dit wordt gedaan door het omzetten naar de domeincontroller waarnaar de wijzigingen het laatst zijn geschreven. Dit is de laatste schrijver die wint. De wijzigingen in alle andere domeincontrollers worden genegeerd. Hoewel deze methode in sommige gevallen acceptabel kan zijn, zijn er momenten waarop conflicten te moeilijk op te lossen zijn met behulp van de benadering laatste schrijver wint. In dergelijke gevallen is het beter om het conflict te voorkomen in plaats van te proberen het achteraf op te lossen.

Voor bepaalde typen wijzigingen bevat Windows methoden om te voorkomen dat er conflicterende Active Directory-updates plaatsvinden.

Model met één master

Om conflicterende updates in Windows te voorkomen, voert de Active Directory updates voor bepaalde objecten uit op een manier met een enkele master. In een model met een enkele master mag slechts één domeincontroller in de hele directory updates verwerken. Het is vergelijkbaar met de rol die aan een primaire domeincontroller (PDC) is gegeven in eerdere versies van Windows, zoals Microsoft Windows NT 3.51 en 4.0. In eerdere versies van Windows is de primaire domeincontroller verantwoordelijk voor het verwerken van alle updates in een bepaald domein.

Active Directory breidt het enkele mastermodel uit eerdere versies van Windows uit met meerdere rollen en de mogelijkheid om rollen over te dragen naar elke domeincontroller in de onderneming. Omdat een Active Directory-rol niet is gebonden aan één domeincontroller, wordt deze een FSMO-rol genoemd. Er zijn momenteel vijf FSMO-rollen in Windows:

  • Schemamodel
  • Naamgevingsmaster van het domein
  • RID-master
  • PDC-emulator
  • Infrastructuurmaster

Normaal gesproken wordt het eigendom van een FSMO-rol alleen uitgevoerd wanneer de domeincontroller de naamgevingscontext (NC) heeft gerepliceerd waarin het eigendom is opgeslagen sinds de directoryservice is gestart. Zorg ervoor dat een overname van een FSMO-rol de vorige eigenaar bereikt voordat de rol wordt gebruikt.

FSMO-rol van schemamaster

De FSMO-rolhouder van de schemamaster is de DC die verantwoordelijk is voor het uitvoeren van updates voor het directoryschema, dat wil weten de naamgevingscontext van het schema of LDAP://cn=schema,cn=configuration,dc=<domain>. Deze domeincontroller is de enige die updates voor het directoryschema kan verwerken. Zodra de schema-update is voltooid, wordt deze gerepliceerd van de schemamaster naar alle andere domeincontrollers in de map. Er is slechts één schemamaster per forest.

Initiële replicatie- en connectiviteitsvereisten

  • Deze FSMO-rolhouder is alleen actief wanneer de roleigenaar de schema-NC succesvol heeft gerepliceerd sinds de directory-service is gestart.
  • Domeincontrollers en leden van het forest nemen alleen contact op met de FSMO-rol wanneer ze het schema bijwerken.

FSMO-rol van domeinnaamgevingsmaster

De FSMO-rolhouder van de domeinnaammaster is de DC die verantwoordelijk is voor het aanbrengen van wijzigingen in de forestbrede domeinnaamruimte van de map, dat wil weten de naamgevingscontext Partitions\Configuration of LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Deze domeincontroller is de enige die een domein uit de map kan toevoegen of verwijderen. Het kan ook kruisverwijzingen naar domeinen in externe mappen toevoegen of verwijderen.

Initiële replicatie- en connectiviteitsvereisten

  • Deze FSMO-rolhouder is alleen actief wanneer de roleigenaar de configuratie-NC heeft gerepliceerd sinds de directory-service is gestart.

  • Domeinleden van het forest nemen alleen contact op met de FSMO-rolhouder wanneer ze de kruisverwijzingen bijwerken. Domeincontrollers nemen contact op met de FSMO-rolhouder wanneer:

    • Domeinen worden toegevoegd aan of verwijderd uit het forest.
    • Er worden nieuwe exemplaren van toepassingsmappartities op domeincontrollers toegevoegd. Er is bijvoorbeeld een DNS-server ingeschakeld voor de standaard DNS-toepassingsmappartities.

FSMO-rol van RID-master

De FSMO-rolhouder van de RID-master is de enige domeincontroller die verantwoordelijk is voor het verwerken van aanvragen van de RID-groep van alle domeincontrollers binnen een bepaald domein. Het is ook verantwoordelijk voor het verwijderen van een object uit het domein en het in een ander domein plaatsen tijdens het verplaatsen van een object.

Wanneer een domeincontroller een principalobject voor beveiliging maakt, zoals een gebruiker of groep, wordt een unieke beveiligings-ID (SID) aan het object gekoppeld. Deze beveiligings-ID (SID) bestaat uit:

  • Een domein-SID die hetzelfde is voor alle SID's die in een domein zijn gemaakt.
  • Een relatieve id (RID) die uniek is voor elke beveiligings-principal-SID die in een domein is gemaakt.

Elke Windows-domeincontrollers in een domein krijgt een groep RID's toegewezen die het mag toewijzen aan de beveiligings-principals die het maakt. Wanneer de toegewezen RID-groep van een domeincontroller onder een drempel komt, stuurt die domeincontroller een verzoek om aanvullende RID's naar de RID-master van het domein. De RID-master van het domein reageert op de aanvraag door RID's op te halen uit de niet-toegewezen RID-groep van het domein en wijst deze toe aan de groep van de aanvragende domeincontroller. Er is één RID-master per domein in een map.

Initiële replicatie- en connectiviteitsvereisten

  • Deze FSMO-rolhouder is alleen actief wanneer de roleigenaar de domein-NC met succes heeft gerepliceerd sinds de directoryservice is gestart.
  • Domeincontrollers nemen contact op met de FSMO-rolhouder wanneer ze een nieuwe RID-groep ophalen. De nieuwe RID-groep wordt via AD-replicatie aan domeincontrollers geleverd.

PDC-emulator FSMO-rol

De PDC-emulator is nodig om de tijd in een onderneming te synchroniseren. Windows bevat de W32Time-tijdservice (Windows Time) die vereist is voor het Kerberos-verificatieprotocol. Alle op Windows gebaseerde computers binnen een onderneming gebruiken een gemeenschappelijke tijd. Het doel van de tijdservice is ervoor te zorgen dat de Windows Time-service een hiërarchische relatie gebruikt die de autoriteit beheert. Het staat geen lussen toe om te zorgen voor het juiste algemene tijdgebruik.

De PDC-emulator van een domein is gezaghebbend voor het domein. De PDC-emulator in de hoofdmap van het forest wordt gezaghebbend voor de onderneming en moet worden geconfigureerd om de tijd van een externe bron te verzamelen. Alle PDC FSMO-rolhouders volgen de hiërarchie van domeinen bij de selectie van hun binnenkomende tijdpartner.

In een Windows-domein behoudt de PDC-emulatorrolhouder de volgende functies:

  • Wachtwoordwijzigingen die door andere domeincontrollers in het domein worden uitgevoerd, worden bij voorkeur gerepliceerd naar de PDC-emulator.
  • Wanneer verificatiefouten optreden bij een bepaalde domeincontroller vanwege een onjuist wachtwoord, worden de fouten doorgestuurd naar de PDC-emulator voordat een foutbericht over een ongeldig wachtwoord wordt gerapporteerd aan de gebruiker.
  • Accountvergrendeling wordt verwerkt op de PDC-emulator.
  • De PDC-emulator voert alle functionaliteit uit die een Windows NT 4.0 Server-gebaseerde PDC of eerdere PDC uitvoert voor Windows NT 4.0-gebaseerde of eerdere clients.

Dit deel van de PDC-emulatorrol is niet meer nodig in de volgende situatie:
Alle werkstations, lidservers en domeincontrollers (DC's) waarop Windows NT 4.0 of eerder worden uitgevoerd, worden allemaal bijgewerkt naar Windows 2000.

De PDC-emulator doet nog steeds de andere functies zoals beschreven in een Windows 2000-omgeving.

De volgende informatie beschrijft de wijzigingen die optreden tijdens het upgradeproces:

  • Windows clients (werkstations en lidservers) en downlevel clients die het clientpakket voor gedistribueerde services hebben geïnstalleerd, voeren geen directory-schrijfbewerkingen (zoals wachtwoordwijzigingen) uit op de DC die zichzelf heeft aangekondigd als de PDC. Ze gebruiken elke domeincontroller voor het domein.
  • Zodra back-updomeincontrollers (BDC's) in downlevel domeinen zijn bijgewerkt naar Windows 2000, ontvangt de PDC-emulator geen replica-aanvragen op downlevelniveau.
  • Windows-clients (werkstations en lidservers) en downlevel clients die het clientpakket voor gedistribueerde services hebben geïnstalleerd, gebruiken Active Directory om netwerkbronnen te lokaliseren. Ze hebben de Windows NT Browser-service niet nodig.

Initiële replicatie- en connectiviteitsvereisten

  • Deze FSMO-rolhouder is altijd actief wanneer de PDC-emulator vindt dat het fSMORoleOwner-attribuut van de domein-NC-kop naar zichzelf wijst. Er is geen binnenkomende replicatie vereist.

  • Domeincontrollers nemen contact op met de FSMO-rolhouder wanneer ze een nieuw wachtwoord hebben of als de verificatie van het lokale wachtwoord mislukt. Er treedt geen fout op wanneer de PDC-emulator niet kan worden bereikt of de AvoidPdcOnWan-registerwaarde is ingesteld op 1.

  • U kunt de volgende cmdlet gebruiken om de vereisten voor het degraderen van een domeincontroller uit te voeren.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Hier volgt een uitvoervoorbeeld van wanneer de PDC-emulator niet kan worden bereikt.

    Bericht: Verificatie van vereisten voor domeincontrollerpromotie is mislukt. U hebt aangegeven dat deze Active Directory-domeincontroller niet de laatste domeincontroller is voor het domein 'contoso.com'. Er kan echter geen andere domeincontroller voor dat domein worden gecontacteerd. Als u doorgaat, gaan alle wijzigingen in Active Directory Domain Services die op deze domeincontroller zijn aangebracht, verloren. Als u toch wilt doorgaan, geeft u de optie 'IgnoreLastDCInDomainMismatch' op.
    Context: Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Status : Fout

FSMO-rol infrastructuurmaster

Wanneer naar een object in het ene domein wordt verwezen door een ander object in een ander domein, vertegenwoordigt dit de verwijzing door:

  • De GUID
  • De SID (voor verwijzingen naar beveiligings-principals)
  • De DN van het object waarnaar wordt verwezen

De FSMO-rolhouder van de infrastructuur is de domeincontroller die verantwoordelijk is voor het bijwerken van de SID en DN-naam van een object tussen domeinen.

Opmerking

De rol Infrastructuurmaster (IM) moet worden uitgevoerd door een domeincontroller die geen Global Catalog-server (GC) is. Als de Infrastructuurmaster wordt uitgevoerd op een globale catalogusserver, wordt objectinformatie niet meer bijgewerkt omdat deze geen verwijzingen bevat naar objecten die deze niet bevat. Dat komt omdat een globale catalogusserver een gedeeltelijke replica bevat van elk object in het forest. Als gevolg hiervan worden objectverwijzingen tussen domeinen in dat domein niet bijgewerkt en wordt een waarschuwing met die strekking vastgelegd in het gebeurtenislogboek van die domeincontroller.

Als alle domeincontrollers in een domein ook de globale catalogus hosten, hebben alle domeincontrollers de huidige gegevens. Het is niet belangrijk welke domeincontroller de rol van infrastructuurbeheerder heeft.

Wanneer de optionele prullenbakfunctie is ingeschakeld, is elke domeincontroller verantwoordelijk voor het bijwerken van de verwijzingen naar objecten in meerdere domeinen wanneer het object waarnaar wordt verwezen, wordt verplaatst, hernoemd of verwijderd. In dit geval zijn er geen taken gekoppeld aan de FSMO-rol infrastructuur. En het is niet belangrijk welke domeincontroller eigenaar is van de rol Infrastructuurmaster. Raadpleeg 6.1.5.5 Infrastructuur FSMO-rol voor meer informatie.

Initiële replicatie- en connectiviteitsvereisten

  • Deze FSMO-rolhouder is alleen actief wanneer de roleigenaar de domein-NC met succes heeft gerepliceerd sinds de directoryservice is gestart.
  • Er is geen connectiviteitsvereiste voor deze FSMO-rolhouder. Het is een interne opschoonfunctionaliteit voor forests.