Over de FSMO rollen in Active Directory..

  Toegevoegd op maandag 26 mei 2008 @ 09:26:00
  Door: Freddy Buskens  |    Hits: 8950  |    Reacties: 4  |    Tags: Algemeen  

In de tijd van Windows NT bestond er in een domein altijd één Primary Domain Controller (PDC). Voor de veiligheid en om de belasting te verdelen kon men er voor kiezen om Backup Domain Controllers (BDCs) in hetzelfde domein op te nemen. Het voornaamste verschil tussen de PDC en de BDC was dat men op de PDC nieuwe objecten kon aanmaken (bijvoorbeeld nieuwe gebruikers) en dat kon niet op een BDC. De BDC was namelijk een kopie van de PDC en in de ogen van de netwerkbeheerder read-only.

Met de komst van Windows 2000, en daarmee ook Active Directory (AD), is het afgelopen met de PDC en de BDC. Sinds AD zijn alle Domain Controllers (DCs) gelijkwaardig en dus nimmer read-only. Als er op een willekeurige Domain Controller een object wordt gemaakt, aangepast of verwijderd, worden alle Domain Controllers hiervan op de hoogte gesteld middels replicatie. Als er in het uiterste geval op twee Domain Controllers eenzelfde object wordt aangepast, dan zal de aanpassing die als laatst is gedaan is worden gerepliceerd. Echt gelijktijdig bestaat namelijk niet (Filosofen twijfelen hier weleens over). Een Windows NT domein wordt ook wel een single-master-model genoemd omdat de PDC de meester in het spel is. En omdat in AD alle DCs meester zijn betreft AD een multi-master-model.

Active Directory werkt echter voor een groot deel in het multi-master-model maar niet volledig. Er zijn bepaalde onderdelen in AD waar er toch één DC de baas moet zijn. De DCs die voor een bepaald onderdeel de baas zijn hebben een zogenaamde FSMO rol toegewezen gekregen. FSMO staat dan ook voor Flexible Single Master Operations en wordt uitgeproken als FIZ-MO. Er zijn vijf FSMO rollen, te verdelen in FSMO rollen voor in een domein en FSMO rollen voor in een forest.

FSMO rollen voor in een domein, in ieder domein komen deze rollen één keer voor.

  • RID master
    Alle objecten in AD hebben een security identifier (SID). Het eerste deel van dit nummer wordt de Domain ID genoemd en is voor alle security principals in het domein hetzelfde. Het tweede en laatste deel van dit nummer is de Relative ID (RID) en moet uniek zijn. Om er voor te zorgen dat niet twee DCs hetzelfde RID (en dus SID) nummer weggeven krijgt iedere DC een pool RID nummers toegewezen, deze overlappen elkaar niet. Het toewijzen van deze pools wordt gedaan door de RID master.
  • Infrastructure master
    Gebruikers in een groep worden gekenmerkt door zijn GUID, SID en distinguished name (DN). Deze groep kan uiteraard gebruikers of groepen uit een ander domein bevatten. De GUIDs en SIDs zullen nimmer veranderen, maar de naam van een gebruiker of groep uit een ander domein kan wel veranderen. Als je vervolgens in AD naar de members van deze groep kijkt dan zie je de ‘oude’ naam staan (Het poppetje krijgt dan grijst haar). De Infrastructure master raadpleegt zo nu en dan de Global Catalogs om na te gaan of de Distinguished Name van een object uit een ander domein is veranderd.
  • PDC Emulator
    Het is nog steeds toegestaan om Windows NT Domain controllers in je domein te hebben draaien. Dit zijn echter allen BDCs. De PDC wordt geëmuleerd op de DC die PDC Emulator rol heeft. Daarnaast wordt de datum en tijd op de PDC Emulator als master gezien. M.a.w.: als je de tijd op de PDC Emulator aanpast wordt dat naar alle DCs en uiteindelijk ook alle andere domain-members (servers en clients) repliceert.

Om een domein FSMO rol te verplaatsen van de ene DC naar de andere DC, maak je gebruik van Active Directory Users and Computers.


FSMO

FSMO rollen voor in een forest, in de hele forest komen de rollen dus maar één keer voor.

  • Schema master
    De Schema beschrijft het ‘uiterlijk’ van alle mogelijke objecten in AD. Met uiterlijk wordt bedoeld welke attributen een bepaald object heeft. Zo heeft een gebruiker (user) in het domein altijd de attributen naam en paswoord, maar ook telefoonnummer en afdeling. Als er iets in schema veranderd moet worden, dan gebeurt dat altijd op de DC met de schema rol. Dit gebeurt bijvoorbeeld tijdens de installatie van Exchange. Om deze FSMO rol te verplaatsen van de ene  DC naar de andere DC maak je gebruik van de Active Directory Schema snap-in. Om deze te gebruiken moet er eerst een service worden geregistreerd door middel van een regsvr32 schmmgmt.dll in een CMD-box. Daarna kan de Active Directory Schema snap-in worden toegevoegd in een MMC.

FSMO

  • Domain naming master
    Deze FSMO bewaakt alle domeinen in het forest. Zo kunnen er geen domeinen worden toegevoegd of verwijderd zonder toestemming van domain naming master. Om deze FSMO rol te verplaatsen van de ene  DC naar de andere DC maak je gebruik van de Active Directory Domains and Trust.

FSMO


Reacties (4) op "Over de FSMO rollen in Active Directory.."
Johan zegt op 17 juni 2008 @ 9:19:14 AM

Had een verhaal over eventuele verbeteringen in FSMO voor failovers o.i.d. in Windows Server 2008 verwacht en niet zo een steentijd verhaal over NT PDC's en BDC's(1996) en Windows 2000 Active Directory (1999). Het multimaster systeem heeft namelijk een groot nadeel. Het keert per Domein Controller een reeks security ID's uit. Wanneer deze reeks op is in verband met het creeeren van nieuwe computers en useraccounts, MOET een nieuwe reeks bij de FSMO aangevraagd worden. Wanneer de FSMO niet online is, stopt het multimaster systeem.

Zeker van een opleidingsinstituut zou men actualiteit en geen nostalgie verwachten.

Freddy Buskens zegt op 23 juni 2008 @ 4:41:05 PM

Dag Johan,

Wij zijn van mening dat alles wat voor onze cursisten leerzaam is op deze blog geplaatst mag worden. Dus ook informatie die al enkele jaren oud is. Zolang de informatie maar relevant is.

Met de komst van Windows Server 2008 zijn er vele aspecten in Active Directory verbeterd, de FSMO rollen horen daar niet bij. Windows Server 2008 werkt nog volgens dezelfde techniek als Windows 2000 Server. Het klopt dat de pool RID's die door de RID Master wordt uitgereikt op kan raken. Echter is deze pool erg groot, maar als de pool leeg is moet er een beroep gedaan worden bij de RID Master Als die er niet is kan de desbetreffende DC geen nieuwe AD Objecten aanmaken. Je kunt er als netwerkbeheerder dus maar beter voor zorgen dat de RID Master er altijd is.

Anthony zegt op 07 augustus 2008 @ 4:03:15 PM

Heel goed dat je dit artikel hebt geplaatst. Ik zelf ben werkzaam als System Specialist bij een IT Bedrijf en ben momenteel bezig met het herdesignen van een Active Directory en deze informatie kwam mij goed van pas om als geheugensteun te gebruiken.

Kees zegt op 15 juli 2011 @ 10:01:39

Duidelijk artikel, vooral het verschil met het oude NT! Iets tegen de achtergrond van wat ouds houden, daar is niet mis mee! Vooral als je de NT-tijd ook hebt meegemaakt. Maakt de begrippen duidelijker!

Plaats je reactie

Vul onderstaand formulier volledig in om een reactie op dit bericht te plaatsen.

Naam:

E-mailadres (wordt niet getoond):

Reactie:




Voor de SPAM-botjes; geef bovenstaande letters in: