Microsoft Active Directory to usługa katalogowa zaprezentowana światu po raz pierwszy wraz z systemem Microsoft Windows 2000. Active Directory powstało jako następca usług katalogowych NT (NTDS - NT Directory Services).
Active Directory w swoim działaniu opiera się na 5 rolach, co pozwala na zapewnienie zwiększonej skalowalności i odporności na awarie związane z działaniem usługi.
Role FSMO są podzielone na te, które są unikalne dla lasu Active Directory i te które są unikalne dla każdej domeny w lesie. Dla każdej z ról dopisałem też, co stanie się w momencie, gdy utracimy kontroler odpowiedzialny za daną rolę.
Role Active Directory unikalne dla lasu
Schema Master
Rola Schema Master jest odpowiedzialna za aktualizację schematu domeny. Tylko serwer posiadający aktywną rolę Schema Master może przetwarzać zmiany w schemacie domeny. Po zakończeniu przetwarzania zmian na serwerze z aktywną rolą Schema Master, serwer ten replikuje swoje zmiany do wszystkich pozostałych kontrolerów domeny w obrębie lasu.
W przypadku utracenia roli Schema Master stracimy możliwość edytowania schematu Active Directory. Schemat domeny zmieniany jest tylko w wypadku zmiany poziomu lasu/domeny czy dodawania nowych pól do struktury AD.
W przypadku utraty kontrolera odpowiedzialnego za rolę Schema Master nie zostaną od razu zauważone żadne problemy. Domena będzie funkcjonować poprawnie aż do momentu konieczności jej rozszerzenia albo aktualizacji.
Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję Schema Master nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.
Domain Naming Master
Rola FSMO Domain Naming Master jest rolą odpowiedzialną za wprowadzanie zmian w przestrzeni nazewniczej lasu i zarządzanie kontenerem partycji AD DS.
Tylko serwer posiadający rolę Domain Naming Master może dodawać i usuwać domeny i przestrzenie nazewnicze aplikacji z katalogu. Wyłącznie serwer posiadający aktywną rolę ma uprawnienia do zapisywania w kontenerze partycji i jego podrzędnych.
Ponieważ nowych domen do lasu nie dodaje się codziennie, ta rola może funkcjonować na jednym serwerze z innymi rolami. Ponieważ obie role, wraz z Schema Master są unikalne dla całego lasu AD, dobrym pomysłem jest przechowywaniem jest ich na jednym kontrolerze domeny.
Co się stanie, jeżeli utracimy kontroler domeny, na którym przechowywana była rola Domain Naming Master?
Utracimy możliwość dodawania, usuwania i modyfikowania domen w lesie.
Podobnie, jak w przypadku Schema Master, rola ta nie jest niezbędna dla poprawnego funkcjonowania usługi katalogowej. Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję Domain Naming Master nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.
Role Active Directory unikalne dla domeny
PDC Emulator
Rola PDC Emulatora spełnia kilka funkcji w każdej domenie Active Directory:
- Synchronizacja haseł pomiędzy kontrolerami domeny
- Weryfikacja aktualności wprowadzonego hasła
- Blokowanie kont po przekroczeniu limitu wprowadzania hasła
- Rola PDC dla NetLogon Remote Protocol
- Sprawdzanie statusu zaufania pomiędzy lasami i zapisywanie do parametru msdsForestTrustInfo
W przypadku utraty roli PDC Emulatora, od razu możemy zauważyć problemy z prawidłowym funkcjonowaniem domeny. Mogą wystąpić problemy z logowaniem do systemu, zmiana haseł będzie działała tylko w obrębie pojedynczego kontrolera domeny, co może uniemożliwić logowanie do usług, utracimy możliwość synchronizacji czasu z serwerem oraz niektóre aplikacje, zależne od kontrolera NT, mogą przestać się uruchamiać. PDC Emulator, w odróżnieniu od poprzednich 2 ról, może zostać przełączany pomiędzy kontrolerami domeny i serwer, który był niedostępny i jego rola została przejęta przez inny kontroler, może ponownie zostać włączony i ponownie przejąć swoją rolę.
RID Master
Rola RID Master jest rolą odpowiedzialną za przetwarzanie żądań puli RID z wszystkich kontrolerów domeny w jej obrębie. RID Master jest także odpowiedzialny za przenoszenie obiektów pomiędzy domenami.
W momencie tworzenia nowego obiektu w Active Directory, przypisywany jest do niego unikatowy SID.
Struktura SID jest w dużej części unikalna dla domeny, zawiera także dodatkowy, przyrostowy identyfikator obiektu w AD.
Przykładowy SID wygląda następująco:
S-1-5-21-3623811015-3361044348-30300820-1013
Pierwsza część jest identyfikatorem domeny, natomiast pogrubione 1013 jest właśnie elementem uzyskanym z zakresu przydzielonego przez RID.
Każdy z kontrolerów domeny otrzymuje swoją pulę identyfikatorów, aby uniknąć duplikatów ID obiektów.
Kiedy rola RID Master stanie się niedostępna, użytkownicy nie odczują tego od razu, ponieważ każdy z kontrolerów domeny posiada pewną rezerwę zasobów – domyślnie emulator przydziela 500 identyfikatorów do wykorzystania.
Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję RID Mastera nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.
Infrastructure Master
Infrastructure Master to ostatnia z 5 ról FSMO. Funkcja pełniona przez tą rolę różni się w zależności od budowy naszej infrastruktury AD. Musimy rozważyć 3 scenariusze:
- Wszystkie kontrolery domeny pełnią funkcję Global Catalog – wówczas dowolny kontroler domeny może pełnić funkcję Infrastructure Master – ponieważ każdy kontroler przechowuje aktualną kopię referencji do innych obiektów w domenie.
- Kosz usługi Active Directory jest włączony – każdy kontroler domeny jest odpowiedzialny za aktualizację odniesień do obiektów w domenie. W tej sytuacji również dowolny kontroler domeny może pełnić rolę Infrastructure Master.
- Kosz usługi Active Directory jest wyłączony – w tej sytuacji kontroler domeny pełniący rolę Infrastructure Master nie może jednocześnie pełnić funkcji Global Catalog. Gdy dojdzie do takiej sytuacji, rola Infrastructure Master nie będzie miała dostępu do referencji obiektów, które nie są w tym GC przechowywane. Każdy Global Catalog przechowuje tylko część informacji o każdym obiekcie w lesie.
W przypadku niedostępności roli Infrastructure Master w domenie Active Directory możemy zauważyć, że nazwy obiektów z obcej domeny przedstawiane są jako identyfikatory SID, zamiast właściwych nazw domenowych. Kontroler Domeny, posiadający rolę Infrastructure Master, który uległ awarii i jego rola została przejęta, podobnie jak PDC emulator, może zostać ponownie włączony i z powrotem przejąć rolę.
Podsumowanie
Active Directory Domain Services (AD DS) to sieć naczyń połączonych. Awaria nawet jednej ze składowych może przynieść problemy z korzystaniem z domeny bądź sprawić problemy administratorom w przyszłości.
Do zapamiętania:
- Po awarii serwera pełniącego jedną z ról i przekazaniu tej roli innemu serwerowi: Schema Master, Domain Name Master, RID Master - nie przywracamy tych serwerów do działania, gdyż dane zmienione od czasu ich awarii zostaną utracone.
- Każdą z ról FSMO w obrębie lasu i domeny może pełnić tylko jeden kontroler domeny na raz
- Część ról FSMO (Schema Master i Domain Name Master), może być pełniona przez jeden kontroler domeny, w pozostałych przypadkach warto rozważyć rozdzielenie tych ról na kilka kontrolerów domeny