FSMO – 5 ról dających życie Active Directory

Active Directory to usługa katalogowa stworzona przez Microsoft stała się standardem przemysłowym, jeżeli chodzi o globalne uwierzytelnianie użytkowników w przedsiębiorstwie. Dzisiaj chcę skupić się jednakże na rolach Flexible Single Master Operation, zwanego także FSMO – 5 składnikach, będących sercem AD i stanowiących o funkcjonalności domeny.

 

Role FSMO są podzielone na te, które są unikalne dla lasu Active Directory i te które są unikalne dla każdej domeny w lesie. Dla każdej z ról dopisałem też, co stanie się w momencie, gdy utracimy kontroler odpowiedzialny za daną rolę. 

https://blogs.msmvps.com/acefekay/category/what-happens-if-you-lose-a-fsmo-role/

Role FSMO unikalne dla lasu:

Schema Master:

Rola FSMO zarządza pełną wersją schematu, definiującego wszystkie atrybuty przechowywane w usłudze katalogowej. Każdy kontroler domeny w lesie przechowuje co prawda kopię aktywnie używanego schematu, ale to właśnie serwer skonfigurowany jako Schema Master utrzymuje kopie wzorcową. 

W przypadku utracenia roli Schema Master stracimy możliwość edytowania schematu Active Directory w naszej domenie. Ponieważ Schemat domeny zmieniany jest tylko w wypadku zmiany poziomu lasu/domeny, dodawania nowych pól do struktury AD czy instalacji aplikacji wprowadzających zmiany, takich jak Microsoft Exchange czy Skype For Business, rola Schema Master nie jest potrzebna do ciągłego działania. Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję Schema Master nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.

Domain Naming Master:

Ta rola FSMO odpowiedzialna jest za zachowanie porządku w nazewnictwie domen w lasie. Zapewnia ona, że w żadnym lesie nie będzie dwóch domen z taką samą nazwą. Ponieważ nowych domen do lasu nie dodaje się codziennie, ta rola może funkcjonować na jednym serwerze z innymi rolami. Ponieważ obie role, wraz z Schema Master są unikalne dla całego lasu AD, dobrym pomysłem jest przechowywaniem jest ich na jednym kontrolerze domeny.

Co się stanie, jeżeli utracimy kontroler domeny, na którym przechowywana była rola Domain Naming Master? Utracimy możliwość dodawania, usuwania i modyfikowania domen w lesie.  Podobnie, jak w przypadku Schema Master, rola ta nie jest niezbędna dla poprawnego funkcjonowania usługi katalogowej. Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję Domain Naming Master nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.

Role FSMO unikalne dla domeny:

PDC Emulator – (Primary Domain Controller Emulator):

Najważniejsza rola FSMO w każdej domenie Active Directory. Odpowiada za kluczowe funkcje w domenie, takie jak emulacja podstawowego kontrolera domeny Windows NT 4.0, synchronizację haseł po zmianie, aby wszystkie kontrolery domeny mogły wykorzystywać zmienione hasła do autentykacji, zarządza politykami grupy w domenie, pełni funkcję serwera czasu dla domeny.

W przypadku utraty roly PDC Emulatora, od razu możemy zauważyć problemy z prawidłowym funkcjonowaniem domeny. Mogą wystąpić problemy z logowaniem do systemu, zmiana haseł będzie działała tylko w obrębie pojedyńczego kontrolera domeny, co może uniemożliwić logowanie do usług, utracimy możliwość synchronizacji czasu z serwerem oraz niektóre aplikacje, zależne od kontrolera NT, mogą przestać się uruchamiać. PDC Emulator, w odróżnieniu od poprzednich 2 ról, może zostać przełączany pomiędzy kontrolerami domeny i serwer, który był niedostępny i jego rola została przejęta przez inny kontroler, może ponownie zostać włączony i ponownie przejąć swoją rolę.

RID Master:

Rola FSMO odpowiedzialna za przydzielanie zakresów identyfikatorów bezpieczeństwa w Active Directory. Każdy obiekt w Active Directory uzyskuje swój identyfikator, zwany jako SID. Struktura SID jest w dużej części unikalna dla domeny, która jest generowana podczas tworzenia domeny, oraz unikalny, przyrostowy identyfikator obiektu w AD. 
Przykładowy SID wygląda następująco:

S-1-5-21-3623811015-3361044348-30300820-1013

Pierwsza część jest identyfikatorem domeny, natomiast pogrubione 1013 jest właśnie elementem uzyskanym z zakresu przydzielonego przez RID. 

Każdy z kontrolerów domeny otrzymuje swoją pulę identyfikatorów, aby uniknąć duplikatów identyfikatorów.

Kiedy rola RID Master stanie się niedostępna, użytkownicy nie odczują tego od razu, ponieważ każdy z kontrolerów domeny posiada pewną rezerwę zasobów – domyślnie emulator przydziela 500 identyfikatorów do wykorzystania. 

Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję RID Mastera nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.

Infrastructure Master: 

Infrastucture Master to ostatnia z 5 ról FSMO, odpowiedzialna za tłumaczenie identyfikatorów GUID, SID, oraz DN pomiędzy domenami w lesie.

W przypadku niedostępności roli Infrastructure Master w domenie Active Directory możemy zauważyć, że nazwy obiektów z obcej domeny przedstawiane są jako identyfikatory SID, zamiast właściwych nazw domenowych. Kontroler Domeny, posiadający rolę Infrastructure Master, który uległ awarii i jego rola została przejęta, podobnie jak PDC emulator, może zostać ponownie włączony i z powrotem przejąć rolę.