Was ist FSMO und die 5 FSMO-Rollen im Aktiven Verzeichnis

Was ist FSMO?

Was ist FSMO? Es ist die Abkürzung für Flexible Single Master Operations. Es handelt sich um einen einzelnen Hostbetrieb oder Betriebshost, was eine Funktion des Microsoft Active Directory ist. FSMO ist eine Reihe von dedizierten Domänencontroller (DC) Aufgaben, die verwendet werden, wenn standardmäßige Datenübertragungs- und Aktualisierungsmethoden nicht ausreichen.

AD stützt sich in der Regel auf mehrere Peer-DCs, von denen jeder eine Kopie der AD-Datenbank besitzt und durch Multi-Master-Replikation synchronisiert wird. FSMO ist nicht für Multi-Master-Replikationsaufgaben geeignet, sondern nur für Single-Master-Datenbanken. Wenn Sie mehr über FSMO erfahren wollen, können Sie diesen Artikel von MiniTool weiterlesen.

5 FSMO-Rollen

Active Directory erweitert das Single-Host-Modell früherer Windows-Versionen um mehrere Rollen und die Möglichkeit, Rollen auf jeden DC im Unternehmen zu übertragen. Da Active Directory-Rollen nicht an einen einzelnen DC gebunden sind, werden sie FSMO-Rollen genannt. Derzeit gibt es in Windows fünf FSMO-Rollen.

• RID-Master
• PDC-Emulator
• Infrastruktur-Master
• Schema-Master
• Domänenbenennungs-Master

Jetzt werde ich die 5 FSMO-Rollen jeweils vorstellen.

1. RID-Master

Der Inhaber der RID Master FSMO Rolle ist ein einzelner DC, der für die Bearbeitung von RID-Pool-Anforderungen für alle DCs in einer bestimmten Domäne verantwortlich ist. Er ist auch dafür verantwortlich, das Objekt aus der Domäne des Objekts zu löschen und es in einer anderen Domäne zu platzieren, während das Objekt verschoben wird.

Wenn DC ein Sicherheitsprinzipalobjekt erstellt, fügt es eine eindeutige Sicherheits-SID an das Objekt an. Diese SID enthält eine Domänen-SID und eine relative RID, die für jede in der Domäne erstellte Sicherheitsprinzipal-SID eindeutig ist. Jedem Windows DC in der Domäne wird ein RID-Pool zugewiesen, der dem von ihm erstellten Sicherheitsprinzipal zugewiesen werden darf.

2. PDC-Simulator

Der PDC-Simulator ist notwendig, um die Zeit in der Unternehmung zu synchronisieren. Windows enthält den Zeitdienst W32Time (Windows Time), der für das Kerberos-Authentifizierungsprotokoll erforderlich ist. Alle Windows-basierten Computer im Unternehmen verwenden die öffentliche Zeit.

Der Zweck des Zeitdienstes ist es, die hierarchische Beziehung der Kontrollinstanz für die Nutzung des Windows-Zeitdienstes sicherzustellen und erlaubt keine Schleifen, um die korrekte Nutzung der öffentlichen Zeit zu gewährleisten. Der PDC-Emulator der Domäne ist autoritativ für die Domäne. Der PDC-Simulator im Stammverzeichnis des Forests ist autoritativ für das Unternehmen und sollte so konfiguriert werden, dass er die Zeit von externen Quellen abholt.

3. Infrastruktur-Master

Die Infrastruktur-Masterrolle konvertiert global eindeutige Bezeichner (GUID), SID und Distinguished Names (DN) zwischen Domänen. Wenn Sie mehrere Domänen in Ihrer Gesamtstruktur haben, ist der Infrastruktur-Master der Babelfish zwischen ihnen. Wenn der Infrastruktur-Master seine Aufgabe nicht korrekt ausführen kann, sehen Sie in der Zugriffskontrollliste (ACL) die SID anstelle des aufgelösten Namens.

4. Schema-Master

Die Schema-Master-Rolle verwaltet die Lese-Schreib-Kopie des Active Directory Schemas. Das AD-Schema definiert  alle Attribute, die auf Objekte in der AD-Datenbank angewendet werden können, wie z. B. Mitarbeiter-ID, Telefonnummer, E-Mail-Adresse und Anmeldename.

Siehe auch: Vollständige Lösung: Active Directory Domänendienste nicht verfügbar

5. Domänenbenennungsmaster

Der Domänen-Namensgeber stellt sicher, dass Sie keine weitere Domäne mit einem anderen Namen im selben Forest erstellen. Die Erstellung einer neuen Domäne kommt nicht oft vor, so dass in allen Rollen diese Domäne wahrscheinlich im gleichen DC wie eine andere Rolle lebt.

FSMO-Rollen übertragen

Standardmäßig weist AD alle Betriebsmasterrollen dem ersten DC zu, der in der Gesamtstruktur erstellt wird. Um Fehlertoleranz zu gewährleisten, sollten in jeder Domäne des Forests mehrere Domänencontroller vorhanden sein. Wenn eine neue Domäne in der Gesamtstruktur erstellt wird, hat der erste DC in der neuen Domäne alle domänenweiten FSMO-Rollen.

Wenn die Domäne eine große Anzahl von Domänencontrollern hat, ist dies kein zufriedenstellender Ort. Microsoft empfiehlt, die FSMO-Rollen sorgfältig aufzuteilen und einen Backup-DC vorzubereiten, der die einzelnen Rollen übernimmt. Der PDC-Simulator und der RID-Host sollten sich, wenn möglich, auf demselben DC befinden. Der Schema-Master und der Domänenbenennungs-Master sollten sich ebenfalls im selben DC befinden.

Abschließende Worte

Was ist FSMO? Im ersten Abschnitt erfahren Sie die genaue Definition. Danach lernen Sie die 5 FSMO-Rollen kennen. Lesen Sie hier, dann können Sie ein Gesamtverständnis von FSMO bekommen. Ich hoffe, dass die obigen Informationen Ihnen weiterhelfen können. Hier kommen wir zum Ende.