Wikisage is op 1 na de grootste internet-encyclopedie in het Nederlands. Iedereen kan de hier verzamelde kennis gratis gebruiken, zonder storende advertenties. De Koninklijke Bibliotheek van Nederland heeft Wikisage in 2018 aangemerkt als digitaal erfgoed.
- Wilt u meehelpen om Wikisage te laten groeien? Maak dan een account aan. U bent van harte welkom. Zie: Portaal:Gebruikers.
- Bent u blij met Wikisage, of wilt u juist meer? Dan stellen we een bescheiden donatie om de kosten te bestrijden zeer op prijs. Zie: Portaal:Donaties.
Flexible single master operation
Flexible Single Master Operations (FSMO, F staat soms ook voor floating; uitgesproken Fiz-mo), of ook single master operation of operations master, is een onderdeel van Microsoft's Active Directory (AD).[1] Sinds 2005 wordt de term FSMO verkozen in plaats van ‘operations masters’.
FSMO is een toegespitste set van taken op een domain controller (DC), deze wordt gebruikt waar standaard data transfer en update methodes niet voldoen. AD vertrouwt op multi peer DCs, elk met een kopie van de AD database, die gesynchroniseerd wordt door de multi-master replication. Taken die niet geschikt zijn voor de multi-master replication, en afhankelijk zijn van een single-master database, zijn de FSMOs.[2]
Beschrijving van de FSMO-rollen
Domeinrollen
Deze rollen zijn van toepassing op het domeinlevel (er is een van voor elk domein in een forest):
- PDC Emulator (Primary Domain Controller)
- Dit is de meest gebruikte FSMO-rol en heeft de meeste functies. De domaincontroller die de PDC Emulatorrol uitvoert is cruciaal in een gemengde omgeving waarvan Windows NT 4.0 BDC nog steeds deel uitmaakt. Dit is omdat de PDC Emulator een emulatie maakt van de functies van een Windows NT 4.0 PDC. Zelfs als alle Windows NT 4.0-domaincontrollers gemigreerd zijn naar Windows 2000 of later, speelt de PDC Emulatorrol nog steeds een belangrijke rol. Het is van cruciaal belang dat de tijd op alle computers gelijk loopt in het gehele forest. Als deze niet synchroon lopen dan kan de Kerberos authentificatie falen. Alle wachtwoord wijzigingen worden behandeld op de PDC Emulator en doorgevoerd met de hoogste prioriteit.[3]
- RID Master (Relative ID)
- Deze FSMO-roleigenaar is de enige DC verantwoordelijk voor het verwerken van de RID Poolaanvragen van alle DC's binnen het domein. Deze is ook verantwoordelijk voor het verplaatsen van objecten van een domain naar een ander tijdens een inter-domain object move. Wanneer een DC een security principal object aanmaakt zoals bijboorbeeld een gebruiker of groep, hangt hij een unieke SID aan het object. Dit SID bestaat uit een domein-SID (dezelfde voor alle SIDs die aangemaakt worden in het domein) en een relatieve ID (RID), dat uniek voor elke security principal SID is aangemaakt in een domein. Elk DC in een domein krijgt een RID-pool toegewezen, waaruit het RIDs mag toewijzen aan de security principals die het aanmaken. Wanneer de toegewezen pool leeg is dan zal de DC een aanvraag indienen voor bijkomende RIDs bij de RID Master FSMO-roleigenaar van het domein, die beantwoordt de aanvraag door nieuwe RIDs te halen uit de niet toegewezen RID-pool van het domein en deze toe te kennen aan de DC die de aanvraag heeft ingediend.
- Infrastructure Master
- Het doel van deze rol is er om te verzekeren dat cross-domain object references correct behandeld worden. Bijvoorbeeld, als een gebruiker een domein toevoegt aan een security-groep van een ander domein zal de Infrastructure Master er voor zorgen dat dit op de correct manier gebeurt. Als er een enkel domein is dan zal de Infrastructure Masterrol niet werken. Het werkt enkel in een multidomein wanneer er complexe gebruikersadministratietaken moeten worden uitgevoerd.
Per-forestrol
Deze rollen zijn uniek op het forestniveau (beide vind je boven aan de root forest domein terug):
- Schema Master
- Het doel van deze rol is om wijzigingen in het schema naar alle DCs in het forest te kopieren. Omdat het schema van een AD amper wordt gewijzigd zal de Schema Master zelden iets moeten doen. Deze zal wel iets doen wanneer bijvoorbeeld een Exchange Server of Skype for Business Server wordt geïnstalleerd of bij een DC-upgrade naar een andere versie, omdat al deze situaties veranderingen aan de Active Directory schema aanbrengen.
- Domain Naming Master
- De Domain Naming Masterrol verwerkt alle wijzigingen aan de domeinnaam, bijvoorbeeld als een childdomein aan het forest rootdomein wordt toegevoegd.
FSMO-rollen verhuizen tussen DC's
Standaard worden alle masterrollen door de AD toegekend aan de eerste DC die gemaakt wordt in een forest. Er zouden minstens 2 DC's beschikbaar moeten zijn per domein in het Forest. Microsoft raadt aan om de FSMO-rollen zorgvuldig te verdelen.
De PDC emulator en de RID master zouden indien mogelijk op de zelfde DC moeten staan. De Schema Master en Domain Naming Master zouden ook samen moeten staan.
Wanneer een FSMO-rol naar een ander DC word overgezet moeten de originele FSMO en de nieuwe FSMO-houder communiceren om zo er voor zorgen dat geen data verloren gaat tijdens de overdracht. Als de originele FSMO-houder een onherstelbare fout ervaart kan een andere DC er voor zorgen dat hij deze verloren rollen ophaalt. Er is natuurlijk altijd het risco dat de data verloren gaat door communicatieproblemen. Als een FSMO-rol opgehaald wordt in plaats van deze over te zetten zal die DC geen FSMO meer kunnen hosten, met uitzondering voor de PDC-emulator en de Infrastructure Master Operation. FSMO-rollen kunnen gemakkelijk verhuisd worden tussen DC's door gebruik te maken van de AD-snap-ins in MMC of gebruik te maken van de tool ntdsutil
.[4]
FSMO-rollen en Global Catalog
Sommige FSMO werken alleen als de DC ook een Global Catalog-server (GC) is. Wanneer een Forest gemaakt wordt zal de eerste DC standaard een Global Catalog server zijn. De Global Catalog voorziet verschillende functies. De GC bewaart object data-informatie, beheert queries van deze dataobjecten en zijn attributen en voorziet, als de data dat toelaten, om via het netwerk in te loggen.
Vaak zijn alle DC's ook GC's. Als dit niet het geval is mag de Infrastructure Master niet op een DC staan waar een kopie staat van de global catalog in een multi-domain-forest, omdat de combinatie van deze twee rollen op de zelfde host voor onverwacht (en vermoedelijk gevaarlijk) gedrag zal vertonen in een multi-domain omgeving.[5][6]De Domain Naming Master rol kan juist wel het beste worden geplaatst op de DC die ook een GC is.
Externe links
- 6.1.5.3 RID Master FSMO Role. [MS-ADTS]: Active Directory Technical Specification. Microsoft.
- How to view and transfer FSMO roles in Windows Server 2003. Support. Microsoft (11 September 2011).
- Tulloch, Mitch (15 March 2005). How to view and transfer FSMO roles in Windows Server 2003. WindowsNetworking.com. TechGenix.
- Transferring FSMO Roles in Windows Server 2008. TechNetWiki. Microsoft.
- Arik, Ertugrul (23 December 2014). How to determine the fsmo role holder (fsmoRoleOwner attribute). Active Directory Coding.
Bronvermelding
Bronnen, noten en/of referenties:
- º Understanding FSMO Roles in Active Directory – Petri. petri.co.il (8 January 2009). Geraadpleegd op 22/1/2017.
- º Windows 2000 Active Directory FSMO roles. Microsoft Corporation (2007-02-23).
- º [MS-ADTS: PDC Emulator FSMO Role]. microsoft.com. Geraadpleegd op 21/1/2017.
- º (Sjabloon:Locale) Met Ntdsutil.exe FSMO-rollen overbrengen naar of overnemen op een domeincontroller. support.microsoft.com Geraadpleegd op 2017-03-20
- º (Sjabloon:Locale) Phantoms, tombstones and the infrastructure master. support.microsoft.com Geraadpleegd op 2017-03-20
- º (Sjabloon:Locale) FSMO placement and optimization on Active Directory domain controllers. support.microsoft.com Geraadpleegd op 2017-03-20