5 FSMO-Rollen im Active Directory
In einer Active Directory (AD) Domäne gibt es fünf spezielle Rollen, die als FSMO Flexible Single Master Operations (FSMO)-Rollen oder auch Operationsmasterrollen bezeichnet werden. Diese Rollen sind notwendig, um bestimmte Aufgaben innerhalb der AD-Infrastruktur auszuführen, und werden von verschiedenen Domain Controllern (DC) innerhalb der AD-Umgebung verwaltet. Hier eine Erklärung zu den einzelnen Rollen:
FSMO Flexible Single Master Operations
1. Domain Naming Master
Der Domain Naming Master ist eine der zwei AD-Rollen, die nur einmal pro Gesamtstruktur (Forest) existieren kann. Er ist verantwortlich für die Verwaltung der Domänennamen in der Gesamtstruktur. Wenn eine neue Domäne zur AD-Gesamtstruktur hinzugefügt oder entfernt werden soll, stellt der Domain Naming Master sicher, dass der Name eindeutig ist und keine Namenskonflikte innerhalb der Gesamtstruktur entstehen.
Aufgabe: Verhindert doppelte Domänennamen und verwaltet die Hinzufügung und Entfernung von Domänen in der Gesamtstruktur.
Pro Domäne: Einmal pro Gesamtstruktur (Forest).
2. Schema Master
Der Schema Master ist ebenfalls eine Rolle, die nur einmal pro Gesamtstruktur existiert. Diese Rolle ist dafür verantwortlich, Änderungen am Active Directory-Schema zu kontrollieren. Das Schema definiert die Struktur aller Objekte und Attribute in der AD. Wenn das Schema aktualisiert werden muss (z. B. bei der Installation einer neuen Anwendung, die zusätzliche AD-Attribute benötigt), übernimmt der Schema Master die Kontrolle über diese Änderungen.
Aufgabe: Verwalten von Änderungen am AD-Schema, wie z. B. die Erweiterung um neue Klassen oder Attribute.
Pro Domäne: Einmal pro Gesamtstruktur (Forest).
3. Infrastruktur Master
Der Infrastruktur Master ist dafür zuständig, Verweise zwischen Domänen zu aktualisieren. Wenn Benutzer oder Gruppen in einer Domäne auf Ressourcen in einer anderen Domäne zugreifen, muss der Infrastruktur Master sicherstellen, dass die Verweise auf diese Objekte korrekt sind. Der Infrastruktur Master verfolgt also, ob sich Änderungen in anderen Domänen auf lokale Objekte auswirken und aktualisiert die Verweise in der eigenen Domäne entsprechend.
Aufgabe: Synchronisieren und aktualisieren von Verweisen auf Objekte, die sich in anderen Domänen befinden.
Pro Domäne: Einmal pro Domäne.
4. RID-Master (Relative ID Master)
Der RID-Master ist für die Zuteilung von RID-Pools (Relative Identifier) an die Domain Controller verantwortlich. Jeder Benutzer, Computer und jedes andere Sicherheitsprinzipalobjekt in AD hat eine eindeutige Security Identifier (SID), die sich aus einem Domänenteil und einem RID zusammensetzt. Der RID-Master verwaltet und verteilt RID-Pools, damit Domain Controller Objekte mit eindeutigen IDs versehen können.
Aufgabe: Zuteilen von RID-Pools an Domain Controller, um eindeutige Sicherheitskennungen (SIDs) zu gewährleisten.
Pro Domäne: Einmal pro Domäne.
5. PDC Emulator (Primary Domain Controller Emulator)
Der PDC-Emulator erfüllt mehrere wichtige Funktionen. Er agiert als Hauptverantwortlicher für die Authentifizierung von Benutzern und Computern in der Domäne. Außerdem ist er für die Uhrzeitsynchronisierung innerhalb der Domäne verantwortlich, da die Zeit auf allen Domänencomputern synchronisiert werden muss, um ordnungsgemäße Authentifizierung zu gewährleisten. Der PDC Emulator ist auch der Ansprechpartner für die Synchronisation von Kennwörtern, wenn sie geändert werden, und agiert als Fallback für ältere Systeme, die noch PDC-Funktionen nutzen.
Aufgabe: Hauptinstanz für Benutzer-Authentifizierung, Uhrzeitsynchronisierung und Passwortänderungen.
Pro Domäne: Einmal pro Domäne.