Active Directory (AD) é um serviço de diretório criado pela Microsoft, e ele vem como um conjunto de processos e serviços na maioria das versões do Windows sistemas operacionais de Servidor.
Você pode imaginar o AD como uma base de dados ou um local seguro que armazena todos os atributos de seus usuários, tais como nomes de usuário, senhas, e muito mais., Este repositório central automatiza muitas tarefas, tais como gestão de dados do Usuário, fornecimento de segurança, e inter-operações com outros diretórios.
nas versões iniciais do anúncio, houve muitas chances de conflitos. Por exemplo, digamos, um controlador de domínio adicionou um novo empregado ao banco de dados. Desde que a mudança foi feita para o anúncio, foi refletida em toda a enterprise, e tudo bem. Alguns segundos depois, outro controlador de domínio queria apagar os registros dos funcionários que já não trabalhavam na empresa. Acidentalmente, apagou este empregado do anúncio também.,
o sistema de gestão de conflitos que existiu, em seguida, seguiu a Política “last wins writer”, de modo que a mudança feita pelo segundo controlador de domínio foi válida enquanto a mudança feita pelo primeiro controlador de domínio foi descartada. Isto significa que o novo funcionário já não estava no sistema e não podia acessar os recursos do sistema, o que obviamente não é certo.
para prevenir tais conflitos, um modelo único mestre foi introduzido. Neste modelo, apenas um controlador de domínio (DC) poderia executar um tipo particular de atualização., No caso acima, se apenas a primeira DC fosse responsável pela adição e remoção de funcionários e a segunda DC fosse responsável pela segurança, então tal conflito não teria ocorrido.
no entanto, isto veio com limitações também. O que acontece quando o primeiro DC cair? Você não pode adicionar ou excluir funcionários até que ele volte a subir. Tal forte dependência de um único controlador nunca é boa do ponto de vista operacional.,
assim, a Microsoft foi um pouco mais longe nas versões subsequentes para incluir vários papéis para cada DC e para dar a cada DC a capacidade de transferir todo o papel para qualquer outro DC dentro da mesma empresa. A vantagem óbvia aqui é que nenhum papel Está ligado a qualquer DC em particular, então quando um cai, você pode automaticamente transferir este papel para outro DC em funcionamento.
Uma vez que um modelo deste tipo oferece muita flexibilidade, é chamado de “Operation Single Master flexível” (FSMO).,
efetivamente, FSMO é um modelo multimaster que atribui papéis e responsabilidades claras a cada DC e, ao mesmo tempo, dando a flexibilidade para transferir papéis, se necessário.
funções FSMO
FSMO é amplamente divididos em cinco funções e são eles:
- mestre de Esquema
- mestre de nomeação de Domínio
- mestre de RID
- emulador de PDC
- mestre de Infra-estrutura
Fora estes, as duas primeiras funções FSMO estão disponíveis no nível da floresta, enquanto os três restantes são necessário para cada domínio.,
extensões remotas
vamos agora olhar para cada papel FSMO em profundidade.
Schema master
Schema master, como o nome sugere, contém uma cópia de leitura escrita de todo o esquema do seu AD. Se você está se perguntando o que é um esquema, são todos os atributos associados a um objeto de usuário e inclui Senha, Papel, designação e ID de empregado, para citar alguns.
assim, se você quiser mudar o ID do empregado, você terá que fazê-lo neste DC. Por padrão, o primeiro controlador que você instalar em sua floresta será o mestre schema.,
mestre de nomeação de Domínio
mestre de nomeação de Domínio é responsável por verificar domínios, de modo que só existe um para cada floresta. Isto significa que se você está criando um domínio novo em uma floresta existente, este controlador garante que tal domínio já não existe. Se o seu mestre de nomenclatura de domínio está em baixo por alguma razão, você não pode criar um novo domínio.
Uma vez que você não cria domínios muitas vezes, algumas empresas preferem ter mestre de esquema e mestre de nomenclatura de domínio dentro do mesmo controlador.,
RID master
cada vez que cria um princípio de segurança, seja uma conta de utilizador, uma conta de grupo ou uma conta-mestre, deseja adicionar permissões de acesso a ela. Mas você não pode fazê-lo com base no nome de um usuário ou grupo, porque isso pode mudar a qualquer momento.digamos que tiveste o Andy com um papel em particular, e ele deixou a empresa. Fechaste a conta do Andy e trouxeste o Tim. Agora, você vai ter que substituir Andy com Tim nas listas de acesso de segurança de todos os recursos.
isto não é prático, pois é demorado e propenso a erros.,
é por isso que você associa cada princípio de segurança com algo chamado de ID de segurança ou SID. Assim, mesmo que o Andy mude para o Tim, O SID permanecerá o mesmo, por isso terás de fazer apenas uma mudança.
Este SID tem um padrão específico para garantir que cada SID no sistema é único. Ele sempre começa com a letra ” S ” seguida pela versão (começa com 1) e um valor de autoridade identificador. Isto é seguido pelo domínio ou nome de computador local que é comum para todos os SIDs localizados dentro do mesmo domínio. Finalmente, o nome de domínio é seguido pelo que é chamado de ID relativo ou RID.,
essencialmente, RID é o valor que assegura a unicidade entre os diferentes objectos da pasta activa.
Um SID ficará assim: S-1-5-32365098609486930-1029. Aqui 1029 é o RID que faz um SID único, enquanto a longa série de números é o seu nome de domínio.
mas isto também pode levar a conflitos. Digamos que criamos duas contas de utilizador ao mesmo tempo. Isso pode causar conflito, pois há a possibilidade de ambos os objetos terem o mesmo SID.,
para evitar este conflito, o mestre RID atribui blocos de 500 para cada controlador de domínio. Desta forma, DC1 recebe RIDs de 1 a 500, DC2 recebe RIDs de 501 a 1000, e assim por diante. Quando um controlador de domínio fica sem rides, ele contacta o RID master e, por sua vez, este RID master atribui outro bloco de 500.
assim, o RID master é responsável pelo processamento dos pedidos do RID pool de DCs dentro de um único domínio para garantir que cada SID é único.,
PDC emulador
PDC significa Controlador de domínio primário e vem de um tempo em que havia apenas um controlador de domínio que tinha uma cópia de leitura-escrita do esquema. Os controladores de domínio restantes eram uma cópia de segurança para este PDC. Então, se você quisesse mudar uma senha, você teria que ir para o PDC.
hoje, não há mais PDCs. Mas alguns de seus papéis como sincronização de tempo e gerenciamento de senha são tomados por um controlador de domínio chamado PDC emulador.
vamos ver primeiro a sua gestão de senhas.,
digamos que vou a um controlador de domínio e reponho a minha senha porque expirou. Então eu me conecto a outra máquina para um site diferente e, digamos, ele contata um controlador de domínio diferente para Autenticação. Há uma chance de meu login falhar porque o primeiro controlador de domínio pode não ter replicado minha mudança de senha para outros controladores.
um emulador PDC evita estas confusões por ser o controlador de reinicialização de senhas. Então, o meu cliente vai Contactar o emulador PDC quando um login falhar, para verificar se houve uma mudança de senha., Além disso, todos os bloqueios de conta devido a senhas erradas são processados neste emulador PDC.
para além da Gestão de senhas, o emulador PDC sincroniza o tempo num sistema empresarial. Esta é uma funcionalidade importante porque a autenticação AD usa um protocolo chamado kerberos para segurança. A principal tarefa deste protocolo é garantir que os pacotes de dados não sejam retirados da rede ou adulterados enquanto são transmitidos.,
assim, quando há uma diferença de cinco minutos ou mais entre um relógio do servidor e seu sistema durante o processo de autenticação, kerberos pensa que este é um ataque e não vai autenticá-lo.está bem, mas qual é o papel de um emulador PDC aqui?
bem, o seu sistema local sincroniza o seu tempo com o controlador de domínio, e o controlador de domínio, por sua vez, sincroniza o seu tempo com o emulador de PDC. Desta forma, o emulador PDC é o relógio mestre para todos os controladores de domínio em seu domínio.,
Microsoft
quando este controlador está em baixo, a sua segurança desce alguns pontos e torna as senhas vulneráveis a ataques.
mestre da infra-estrutura
a funcionalidade principal de um mestre da infra-estrutura é a referência a todos os utilizadores locais e referências dentro de um domínio. Este controlador entende a infra-estrutura geral do domínio, incluindo quais objetos estão presentes nele.
é responsável pela atualização de referências de objetos localmente e também garante que ele está atualizado nas cópias de outros domínios., Ele lida com este processo de atualização através de um identificador único, possivelmente um SID.
infra-estrutura master é semelhante a outra ferramenta de anúncios Chamada Global Catalog (GC). Este GC é como um índice que sabe onde tudo está, dentro de um diretório ativo. O mestre de infra-estrutura, por outro lado, é uma versão menor de GC, uma vez que é restrito dentro de um único domínio.
Agora, Por que é importante saber sobre GC aqui? Porque GC e mestre de infra-estrutura não devem ser colocados no mesmo controlador de domínio., Se você fizer isso, o mestre da infra-estrutura vai parar de trabalhar à medida que o GC ganha precedência.
em geral, se você tem apenas um controlador de domínio, isso não vai importar tanto. Mas, se você tiver uma grande floresta com múltiplos controladores de domínio, a presença tanto do GC quanto do mestre de infraestrutura causará problemas.vamos resolver isto. Temos vários domínios que olham para um servidor GC. Dentro de um domínio, fazemos uma mudança para os membros do grupo e o mestre de infraestrutura sabe sobre essa mudança., Mas não atualiza o servidor GC porque a mudança não foi feita para um grupo universal. Isso significa que há uma chance para o seu mestre de GC e infraestrutura estar fora de sincronia, e por sua vez, isso pode causar problemas de autenticação. Por isso, certifique-se de ter um mestre de infraestrutura ou um GC para cada domínio, mas não ambos.
resumo
Como pode ver. Funções FSMO prevenir conflitos em um diretório ativo e, ao mesmo tempo, dar-lhe a flexibilidade para lidar com diferentes operações dentro do Diretório Ativo., Eles podem ser divididos em cinco papéis, dos quais, os dois primeiros são para toda a floresta, enquanto os três restantes pertencem a um domínio particular.já implementou papéis da FSMO na sua organização? Por favor, compartilhe seus pensamentos conosco.
crédito da Foto: Wikimedia