Wikisage is op 1 na de grootste internet-encyclopedie in het Nederlands. Iedereen kan de hier verzamelde kennis gratis gebruiken, zonder storende advertenties. De Koninklijke Bibliotheek van Nederland heeft Wikisage in 2018 aangemerkt als digitaal erfgoed.
- Wilt u meehelpen om Wikisage te laten groeien? Maak dan een account aan. U bent van harte welkom. Zie: Portaal:Gebruikers.
- Bent u blij met Wikisage, of wilt u juist meer? Dan stellen we een bescheiden donatie om de kosten te bestrijden zeer op prijs. Zie: Portaal:Donaties.
Flexible single master operation
Flexible Single Master Operations (FSMO, F staat soms ook voor floating; uitgesproken Fiz-mo), of ook single master operation of operations master, is een onderdeel van Microsoft's Active Directory (AD).[1] Sinds 2005 wordt de term FSMO verkozen in plaats van ‘operations masters’.
FSMO is een gespecialiseerde lijst van taken op een domain controller (DC), deze wordt gebruikt waar standaard data transfer en update methodes niet voldoen. AD vertrouwt op multi peer DCs, elk met een kopie van de AD database,die gesynchroniseerd wordt door de multi-master replication. Taken die niet geschikt zijn voor de multi-master replication, en afhankelijk zijn van een single-mater database, zijn de FSMOs.[2]
Beschrijving van de FSMO rollen
Domain rollen
Deze rollen zijn van toepassing op het domein level (bv. Er is 1 van voor elk domein in een forest):
- PDC Emulator (Primary Domain Controller)
- Dit is de meest gebruikte FSMO rol en heeft de meeste functies. De domain controller die de PDC Emulator rol uitvoert is cruciaal in een gemengde omgeving waarvan Windows NT 4.0 BDC nog steeds deel uitmaakt. Dit is omdat de PDC Emulator een emulatie maakt van de functies van een Windows NT 4.0 PDC. Zelfs als alle Windows NT 4.0 domain controllers gemigreerd zijn naar Windows 2000 of later, de domain controller die de PDC Emulator rol bezig doet nog steeds veel. The PDC Emulator is the domain source for time synchronization for all other domain controllers; in a multi-domain forest, the PDC Emulator in each domain synchronizes to the forest root PDC Emulator. All other domain member computers synchronize to their respective domain controllers.[3] Het van cruciaal belang dat de tijd op alle computers gelijk gesycroniseerd worden door heen het forest. Dit is wanneer deze niet synchroon lopen ervoor zorgt dat de Kerberos authentificatie kan doen falen. Alle paswoord updates/veranderingen gebeuren met grootste prioriteit.[4]
- RID Master (Relative ID)
- Deze FSMO rol eigenaar is de enige DC verantwoordelijk voor het verwerken van de RID Pool aanvragen van alle Dcs binnen het domein. Deze is ook verantwoordelijk voor het verplaatsen van objecten van een domain naar een ander tijdens een interdomain object move. Wanneer een DC een security principal object aanmaakt zoals bv een gebruiker of groep, hangt ij een uniekeSID aan het object. Dit SID bestaat uit een domein SID (het zelfde voor alle SIDs die aangemaakt worden in het domein) en een relatieve ID (RID) dat uniek is voor elke security principal SID aangemaakt in een domein. Elk DC in een domein krijgt een RID pool toegewezen dat het mag toewijzen aande security principals dat het aanmaakt. Wanneer de toegewezen pool leeg is, dan zal de DC een aanvraag indienen voor bijkomende RIDs bij de RID Master FSMO rol eigenaar van het domein, de RID Master FSMO rol eigenaar beantwoord de aanvraag door nieuwe RIDs te halen uit de niet toegewezen RID pool van het domein en deze toe te kennen aan de DC die de aanvraag heeft ingediend.
- Infrastructure Master
- Het doel van deze rol is er om te verzekeren dat cross-domain object references correct behandeld worden. Bijvoorbeeld, als je een gebruiker van het een domein toevoegt aan een security-groep van een ander domein, zal de Infrastructure Master er voor zorgen dat dit op de correct manier gebeurt. Maar, als er enkel een single domein is, dan zal de Infrastructure Master rol niet werken, en zal enkel werken in een multi-domein wanneer er een complexe gebruikers administratie taken moeten worden uitgevoerd.
Per-forest rol
Deze rollen zijn uniek op het forest niveau(beide vind je boven aan de root forest domein terug):
- Schema Master
- Het doel van deze rol is om wijzigingen in het scheme naar alle Dcs in het forest. Maar omdat het scheme van een AD amper word gewijzigd zal de Schema Master amper iets moeten doen. Deze zal wel iets doen wanneer je bv. Een Exchange Server, Skype for Business Server, deployed of wanneer je de DC upgrade naar een andere versie, omdat al deze situaties veranderingen aan de Active Directory schema.
- Domain Naming Master ; De Domain Naming Master rol verwerkt alle wijzigingen aan de domeinnaam, bijv. als je het child domain stad.mijnbedrijf.com aan het forest root domein mijnbedrijf.com dan zorgt deze er voor dat dit lukt, dus als je deze niet kunt toevoegen moet je kijken of deze rol wel goed werkt.
FSMO rollen verhuizen tussen Dcs
Standaard worden alle master rollen door de AD toegekend aan de eerst DC die gemaakt word in een forest. Er zouden minstens 2 DCs beschikbaar moeten zijn per domein in het Forest. Microsoft raad aan om de FSMO rollen te verdelen.
De PDC emulator en de RID master zouden indien mogelijk op de zelfde DC moeten staan. de Schema Master en Domain Naming Master zouden ook samen moeten staan.
Wanneer een FSMO rol is naar een ander DC word overgezet, moet de originele FSMO en de nieuwe FSMO houder moeten communiceren om zo er voor zorgen dat geen data verloren gaat tijdens de overdracht. Als de originele FSMO houder een onherstelbare fout ervaart, kan je een andere DC er voor laten zorgen dat hij deze verloren rollen ophaalt. Er is natuurlijk altijd het risco dat de data verloren gaat door communicatieproblemen. Als je een FSMO rol ophaalt in plaats van deze te transferen, zal die DC geen FSMO meer kunnen hosten, met uitzondering voor de PDC emulator en de Infrastructure Master Operation. FSMO rollen kunnen gemakkelijk verhuisd worden tussen DCs door gebruik te maken van de AD snap-ins in MMC of gebruik te maken van ntdsutil, dat een op commando gebaseerde tool is [5]
FSMO Rollen en Global Catalog
Sommige FSMO werken alleen als de DC ook een Global Catalog (GC) server is. Wanneer een Forest gemaakt word, zal de eerste DC standaard een Global Catalog server zijn. De Global Catalog voorziet verschillende functies. De GC bewaart object data informatie, beheert queries van deze data objecten en zijn attributen en voorziet als de date die toelaten om via het netwerk in te loggen.
Vaak zijn alle DCs ook GCs. Als dit niet het geval is mag de Infrastructure Master niet op een DC staan waar een kopie bevat van de global catalog in een multi-domain forest. Odat de combinatie van deze twee rollen op de zelfde host voor onverwachte (en vermoedelijk gevaarlijke) zal vertonen in een multi-domain omgeving.[6][7] Maar de Domain Naming Master rol kan het beste worden geplaatst op de DC die ook een GC is.
Referenties
- º Understanding FSMO Roles in Active Directory – Petri. petri.co.il (8 January 2009). Geraadpleegd op 22/1/2017.
- º Windows 2000 Active Directory FSMO roles. Microsoft Corporation (2007-02-23).
- º Time Service Configuration on DC with PDC Emulator FSMO Role - TechNet Articles - United States (English) - TechNet Wiki. microsoft.com. Geraadpleegd op 21/1/2017.
- º [MS-ADTS: PDC Emulator FSMO Role]. microsoft.com. Geraadpleegd op 21/1/2017.
- º Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller (in Sjabloon:Locale).
- º Phantoms, tombstones and the infrastructure master (in Sjabloon:Locale).
- º FSMO placement and optimization on Active Directory domain controllers.
Bijkomende bronnen
- (en) https://msdn.microsoft.com/en-us/library/cc223751.aspx
- (en) http://support.microsoft.com/kb/324801
- (en) http://www.windowsnetworking.com/articles_tutorials/managing-active-directory-fsmo-roles.html
- (en) http://social.technet.microsoft.com/wiki/contents/articles/832.transferring-fsmo-roles-in-windows-server-2008.aspx
- (en) How to determine the fsmo role holder