Active Directory (AD) ist ein von Microsoft erstellter Verzeichnisdienst, der in den meisten Versionen von Windows Server-Betriebssystemen als eine Reihe von Prozessen und Diensten angeboten wird.
Sie können sich AD als Datenbank oder sicheren Ort vorstellen, an dem alle Attribute Ihrer Benutzer wie Benutzernamen, Kennwörter und mehr gespeichert sind., Dieses zentrale Repository automatisiert viele Aufgaben wie die Verwaltung von Benutzerdaten, die Bereitstellung von Sicherheit und die Interaktion mit anderen Verzeichnissen.
In den ersten Versionen von AD gab es viele Konfliktchancen. Angenommen, ein Domänencontroller hat der Datenbank einen neuen Mitarbeiter hinzugefügt. Da die Änderung an der ANZEIGE vorgenommen wurde, spiegelte sie sich im gesamten Unternehmen wider, und das ist in Ordnung. Einige Sekunden später wollte ein anderer Domänencontroller die Datensätze von Mitarbeitern löschen, die nicht mehr im Unternehmen gearbeitet hatten. Versehentlich wurde auch dieser Mitarbeiter aus der ANZEIGE gelöscht.,
Das vorhandene Konfliktmanagementsystem folgte dann der Richtlinie „Last writer wins“, sodass die vom zweiten Domänencontroller vorgenommene Änderung gültig war, während die vom ersten Domänencontroller vorgenommene Änderung verworfen wurde. Dies bedeutet, dass der neue Mitarbeiter nicht mehr im System war und nicht auf die Ressourcen des Systems zugreifen konnte, was offensichtlich nicht richtig ist.
Um solche Konflikte zu vermeiden, wurde ein Single-Master-Modell eingeführt. In diesem Modell kann nur ein Domänencontroller (DC) eine bestimmte Art von Aktualisierung durchführen., Im obigen Fall wäre ein solcher Konflikt nicht aufgetreten, wenn nur der erste DC für das Hinzufügen und Entfernen von Mitarbeitern und der zweite DC für die Sicherheit verantwortlich gewesen wäre.
Dies hatte jedoch auch Einschränkungen. Was passiert, wenn der erste Gleichstrom ausfällt? Sie können keine Mitarbeiter hinzufügen oder löschen, bis sie wieder angezeigt werden. Eine solche starke Abhängigkeit von einer einzelnen Steuerung ist aus operativer Sicht niemals gut.,
Daher ging Microsoft in nachfolgenden Versionen etwas weiter, um mehrere Rollen für jedes DC aufzunehmen und jedem DC die Möglichkeit zu geben, die gesamte Rolle auf jedes andere DC innerhalb desselben Unternehmens zu übertragen. Der offensichtliche Vorteil hierbei ist, dass keine Rolle an einen bestimmten DC gebunden ist, sodass Sie diese Rolle automatisch auf einen anderen funktionierenden DC übertragen können, wenn einer ausfällt.
Da ein solches Modell viel Flexibilität bietet, wird es als Flexible Single Master Operation (FSMO) bezeichnet.,
Effektiv ist FSMO ein Multimaster-Modell, das jedem DC klare Rollen und Verantwortlichkeiten zuweist und gleichzeitig die Flexibilität bietet, bei Bedarf Rollen zu übertragen.
FSMO-Rollen
FSMO ist grob in fünf Rollen unterteilt und sie sind:
- Schema master
- Domain naming master
- RID master
- PDC emulator
- Infrastructure master
Von diesen sind die ersten beiden FSMO-Rollen auf Waldebene verfügbar, während die restlichen drei für jede Domäne erforderlich sind.,
Remote Extensions
Schauen wir uns nun jede FSMO-Rolle genauer an.
Schema master
Schema Master enthält, wie der Name schon sagt, eine schreibgeschützte Kopie des gesamten Schemas Ihrer Anzeige. Wenn Sie sich fragen, was ein Schema ist, sind es alle Attribute, die einem Benutzerobjekt zugeordnet sind und Passwort, Rolle, Bezeichnung und Mitarbeiter-ID enthalten, um nur einige zu nennen.
Wenn Sie also die Mitarbeiter-ID ändern möchten, müssen Sie dies in diesem DC tun. Standardmäßig ist der erste Controller, den Sie in Ihrer Gesamtstruktur installieren, der Schemamaster.,
Domain naming master
Domain naming master ist verantwortlich für die überprüfung der Domänen, also gibt es nur eins für jeden Wald. Wenn Sie also eine brandneue Domäne in einer vorhandenen Gesamtstruktur erstellen, stellt dieser Controller sicher, dass eine solche Domäne noch nicht vorhanden ist. Wenn Ihr Domänennamenmaster aus irgendeinem Grund nicht verfügbar ist, können Sie keine neue Domäne erstellen.
Da Sie keine Domänen häufig erstellen, bevorzugen einige Unternehmen Schema Master und Domain Naming Master innerhalb desselben Controllers.,
RID master
Jedes Mal, wenn Sie ein Sicherheitskonto erstellen, sei es ein Benutzerkonto, ein Gruppenkonto oder ein Hauptkonto, möchten Sie ihm Zugriffsberechtigungen hinzufügen. Sie können dies jedoch nicht basierend auf dem Namen eines Benutzers oder einer Gruppe tun, da sich dies jederzeit ändern kann.
Angenommen, Sie hatten Andy mit einer bestimmten Rolle, und er verließ das Unternehmen. Also hast du Andys Konto geschlossen und stattdessen Tim reingebracht. Jetzt müssen Sie Andy durch Tim in den Sicherheitszugriffslisten jeder Ressource ersetzen.
Dies ist nicht praktikabel, da es zeitaufwendig und fehleranfällig ist.,
Deshalb assoziieren Sie jedes Sicherheitsprinzip mit etwas, das als Sicherheits-ID oder SID bezeichnet wird. Auf diese Weise bleibt die SID auch dann gleich, wenn Andy zu Tim wechselt, sodass Sie nur eine Änderung vornehmen müssen.
Diese SID hat ein bestimmtes Muster, um sicherzustellen, dass jede SID im System eindeutig ist. Es beginnt immer mit dem Buchstaben „S“ gefolgt von der version, (beginnt mit 1) und eine bezeichnerwert. Es folgt der Domänenname oder der lokale Computername, der für alle SIDs in derselben Domäne üblich ist. Schließlich folgt auf den Domainnamen eine sogenannte relative ID oder RID.,
Im Wesentlichen ist RID der Wert, der die Eindeutigkeit zwischen verschiedenen Objekten im Active Directory sicherstellt.
Eine SID sieht so aus: S-1-5-32365098609486930-1029. Hier ist 1029 der Code, der eine SID einzigartig macht, während die lange Zahlenreihe Ihr Domainname ist.
Dies kann aber auch zu Konflikten führen. Angenommen, wir erstellen zwei Benutzerkonten gleichzeitig. Dies kann zu Konflikten führen, da beide Objekte dieselbe SID haben können.,
Um diesen Konflikt zu vermeiden, weist der RID-Master jedem Domänencontroller Blöcke von 500 zu. Auf diese Weise erhält DC1 RIDs von 1 bis 500, DC2 RIDs von 501 bis 1,000 und so weiter. Wenn einem Domänencontroller die RIDs ausgehen, kontaktiert er den RID-Master, und dieser RID-Master weist wiederum einen weiteren Block von 500 zu.
Daher ist RID Master für die Verarbeitung von RID-Poolanforderungen von DCs innerhalb einer einzelnen Domäne verantwortlich, um sicherzustellen, dass jede SID eindeutig ist.,
PDC Emulator
PDC steht für Primary Domain Controller und stammt aus einer Zeit, als es nur einen Domänencontroller gab, der eine Lese-Schreib-Kopie des Schemas hatte. Die restlichen Domänencontroller waren eine Sicherung für diese PDC. Wenn Sie also ein Passwort ändern möchten, müssen Sie zum PDC gehen.
Heute gibt es keine PDCs mehr. Einige seiner Rollen wie Zeitsynchronisation und Kennwortverwaltung werden jedoch von einem Domänencontroller namens PDC Emulator übernommen.
Schauen wir uns zuerst die Passwortverwaltung an.,
Angenommen, ich gehe zu einem Domänencontroller und setze mein Passwort zurück, da es abgelaufen ist. Dann melde ich mich bei einem anderen Computer für eine andere Site an und kontaktiere beispielsweise einen anderen Domänencontroller zur Authentifizierung. Es besteht die Möglichkeit, dass meine Anmeldung fehlschlägt, da der erste Domänencontroller meine Kennwortänderung möglicherweise nicht auf andere Controller repliziert hat.
Ein PDC-Emulator vermeidet diese Verwirrungen, indem er der Controller für das Zurücksetzen von Passwörtern ist. Daher kontaktiert mein Client den PDC-Emulator, wenn eine Anmeldung fehlschlägt, um zu überprüfen, ob ein Kennwort geändert wurde., Außerdem werden alle Kontosperrungen aufgrund falscher Kennwörter auf diesem PDC-Emulator verarbeitet.
Mit Ausnahme der Kennwortverwaltung synchronisiert der PDC-Emulator die Zeit in einem Unternehmenssystem. Dies ist eine wichtige Funktionalität, da die AD-Authentifizierung aus Sicherheitsgründen ein Protokoll namens Kerberos verwendet. Die Hauptaufgabe dieses Protokolls besteht darin, sicherzustellen, dass Datenpakete während der Übertragung nicht aus dem Netzwerk entfernt oder manipuliert werden.,
Wenn es also einen Unterschied von fünf Minuten oder mehr zwischen einer Serveruhr und Ihrem System während des Authentifizierungsprozesses gibt, denkt kerberos, dass dies ein Angriff ist und Sie nicht authentifizieren wird.
Gut, aber welche Rolle spielt hier ein PDC-Emulator?
Nun, Ihr lokales System synchronisiert seine Zeit mit dem Domänencontroller, und der Domänencontroller wiederum synchronisiert seine Zeit mit dem PDC-Emulator. Auf diese Weise ist der PDC-Emulator die Hauptuhr für alle Domänencontroller in Ihrer Domäne.,
Microsoft
Wenn dieser Controller ausgefallen ist, geht Ihre Sicherheit ein paar Kerben und macht Passwörter anfällig für Angriffe.
Infrastructure master
Die Kernfunktionalität eines Infrastructure Masters besteht darin, auf alle lokalen Benutzer und Referenzen innerhalb einer Domäne zu verweisen. Dieser Controller versteht die Gesamtinfrastruktur der Domäne einschließlich der darin vorhandenen Objekte.
Es ist für die lokale Aktualisierung von Objektreferenzen verantwortlich und stellt auch sicher, dass es in den Kopien anderer Domänen auf dem neuesten Stand ist., Es behandelt diesen Aktualisierungsprozess über eine eindeutige Kennung, möglicherweise eine SID.
Infrastructure Master ähnelt einem anderen AD-Tool namens Global Catalog (GC). Dieser GC ist wie ein Index, der weiß, wo sich alles in einem Active Directory befindet. Der Infrastructure Master hingegen ist eine kleinere Version von GC, da er innerhalb einer einzelnen Domäne eingeschränkt ist.
Warum ist es wichtig, hier etwas über GC zu wissen? Weil GC und Infrastructure Master nicht im selben Domänencontroller platziert werden sollten., Wenn Sie dies tun, hört der Infrastrukturmaster auf zu arbeiten, da der GC Vorrang hat.
Wenn Sie nur einen Domänencontroller haben, spielt dies im Allgemeinen keine Rolle. Wenn Sie jedoch eine große Gesamtstruktur mit mehreren Domänencontrollern haben, führt das Vorhandensein von GC und Infrastructure Master zu Problemen.
Nehmen wir hier eine Situation. Wir haben mehrere Domänen, die zu einem GC-Server nachschlagen. Innerhalb einer Domäne nehmen wir eine Änderung an der Gruppenmitgliedschaft vor, und der Infrastrukturmaster weiß über diese Änderung Bescheid., Der GC-Server wird jedoch nicht aktualisiert, da die Änderung nicht an einer universellen Gruppe vorgenommen wurde. Dies bedeutet, dass Ihr GC und Ihr Infrastrukturmaster möglicherweise nicht synchron sind, was wiederum zu Authentifizierungsproblemen führen kann. Stellen Sie deshalb sicher, dass Sie entweder einen Infrastruktur-Master oder einen GC für jede Domäne haben, aber nicht für beide.
Zusammenfassung
Wie Sie sehen können. FSMO-Rollen verhindern Konflikte in einem Active Directory und geben Ihnen gleichzeitig die Flexibilität, verschiedene Vorgänge im Active Directory zu verarbeiten., Sie können grob in fünf Rollen unterteilt werden, von denen die ersten beiden für den gesamten Wald gelten, während die restlichen drei sich auf eine bestimmte Domäne beziehen.
Haben Sie FSMO-Rollen in Ihrem Unternehmen implementiert? Bitte teilen Sie uns Ihre Gedanken mit.
Photo credit: Wikimedia