Flexible single master operation

A Flexible Single Master Operations (magyarul: rugalmas, egy mesteres műveletek, röviden FSMO, kiejtése kb. „fizzmó”), a Microsoft Active Directory egyik jellemző tulajdonsága.

A FSMO-k a tartományvezérlői feladatok egy speciális csoportját alkotják. Ezek a feladatok az Active Directory által is jellemzően használt több főkiszolgálós replikációtól (multi-master replication) eltérően nem végezhetőek mindenhonnan, hanem csak egy meghatározott mester gép végezheti őket.

2005 óta a FSMO kifejezés helyett inkább az operations masters (műveleti kiszolgálók) kifejezést használják.

A rugalmas egy mesteres műveleti szerepkörök leírása szerkesztés

Tartományonként egy szerkesztés

A következő szerepkörök tartományszintűek.

A RID Master feladata biztonsági azonosítók lefoglalása a tartományvezérlők számára. A tartományvezérlők ezeket oszthatják ki az alájuk tartozó entitásoknak, így garantálva nekik különböző jogokat. Ezen felül ez az egység felelős a tartományok közötti objektummozgások kezeléséért.
Az Infrastructure Master* tartja karban a biztonsági azonosítókat, a GUID-okat és a DN-eket a tartományok között. Leginkább a felhasználó- és csoportlinkek frissítését végzi. Mivel a feladata a tartományok közötti objektumhivatkozások kezelése, amennyiben az adott Active Directory csak egy tartománnyal rendelkezik, úgy ez a szerepkör egyáltalán nem lép működésbe. Sőt több tartomány esetén is elég ritkán van rá szükség, így akár kisebb teljesítményű gép is végezheti ezt a feladatot.
A PDC emulátor végzi a tartományon belül a jelszavak változásának frissítését. A rossz jelszó miatti hibás azonosítást a tartományvezérlők a végleges visszautasítás előtt továbbítják a PDC emulátornak. Így a jelszóváltoztatás után a felhasználó azonnal be tud jelentkezni egy másik tartományvezérlőre anélkül, hogy meg kéne várnia, hogy adatok replikálódjanak az elérni kívánt gépre, ami akár néhány percet is igénybe vehetne. Ennek megfelelően a jelszóváltoztatások először a PDC emulátorra replikálódnak. Egy felhasználó kizárását szintén a PDC emulátor végzi. A PDC emulátor képes elvégzi a korábbi rendszerekben található PDC-k feladatát, tehát visszafelé kompatibilis a korábbi rendszerekkel. A szerepkört betöltő gép megválasztása és elhelyezése nagy körültekintést igényel, hogy feladatát jól el tudja látni, a lehető legkisebb hálózati terhelést okozva.

*: Az Infrastructure Master fentebb vázolt szerepköre csak a „normál” tartományra, tehát az alapértelmezett névhasználati környezetre vonatkozik, a netdom parancs, valamint az ntdsutil eszköz is csak ezt kérdezi le. Az összes alkalmazáspartíció, továbbá a tartományi DNS zónák, valamint az erdő szintű DNS zónák partíciója saját infrastruktúra-főkiszolgálóval rendelkezik. Ezeknél az alkalmazáspartícióknál a partíció gyökerében található Infrastructure objektum fSMORoleOwner attribútumában tárolódik a főkiszolgáló; módosításához az ADSIEdit eszközzel pl. a CN=Infrastructure,DC=DomainDnsZones,DC=yourdomain,DC=tld objektum fSMORoleOwner attribútumát módosítani kell CN=NTDSSettings,CN=Name_of_DC,CN=Servers,CN=DRSite,CN=Sites,CN=Configuration,DC=Yourdomain,DC=TLD-re.^[1]

Erdőnként egy szerkesztés

Ezek a szerepkörök vállalati szinten egyediek.

A Schema Master felel az erdő sémájának változtatásaiért. A séma az, ami meghatározza az egyes objektumok és azok attribútumainak típusát.
A Domain Naming Master felel a nevek kiosztásáért, új tartományok létrehozásáért, a meglévő tartományok törléséért, és a csoportok tagságának kezeléséért az erdőben.

Szerepkörök mozgatása a tartományvezérlők között szerkesztés

Alapértelmezésben az Active Directory minden műveleti mester szerepkört az erdőben elsőként létrehozott tartományvezérlőre ruház. Ennek ellenére a Microsoft az ilyen szerepkört ellátó gépek gondos elosztását javasolja, olyan tartalék tartományvezérlőkkel, amelyek képes átvenni az egyes feladatokat. Amikor egy FSMO szerepkört áthelyeznek egy másik tartományvezérlőre, akkor a szerepkör régi és új tulajdonosa kölcsönösen meggyőződnek róla, hogy nem veszett-e el adat az átvitel során. Ha a szerepkört eredetileg betöltő gép visszaállíthatatlan károsodást szenvedett, akkor egy másik tartományvezérlő utasítható, hogy azonnal foglalja el a helyét, de ekkor fennáll az adatvesztés lehetősége, hiszen nem történik meg az adatok egyeztetése. Ez utóbbi esetben a szerepkör régi hordozója többé nem töltheti be az elvesztett szerepkört, ez alól kivételt képez a PDC emulátor és az infrastruktúra mesteri szerepkör.

Néhány szerepkör betöltése függ attól, hogy a tartományvezérlő globális katalógusszerver-e. Például az infrastruktúra mester egy olyan tartományvezérlő kell legyen, amelyik nem globális katalógus egy több tartományos erdőben (kivéve, ha minden tartományvezérlő egyben globális katalógus is). Ezzel szemben a tartományelnevezési mester olyan gép kell legyen, amelyik egyben globális katalógus is. A globális katalógus különböző funkcionalitásokat nyújt a rendszernek, mint például objektumok adatainak tárolása, ezen adatok lekérdezésének felügyelése, adatok nyújtása a hálózati bejelentkezéshez.

Amennyiben ez lehetséges, a PDC emulátort és a RID Mastert ajánlott egy tartományvezérlőn elhelyezni. A séma mesteri és a tartományelnevezési mesteri szerepkört szintén egy tartományvezérlőnek érdemes betöltenie. A hibatűrés érdekében legalább két tartományvezérlőt érdemes elhelyezni az erdő minden tartományában. Továbbá az infrastruktúra mester egy olyan tartományvezérlő kellene legyen, amelyik nem globális katalógus is egyben, ugyanis ezen szerepkörök kombinálása kiszámíthatatlan viselkedést eredményezhet egy több tartománnyal rendelkező környezetben.

Active Directoryt támogató eszközök szerkesztés

Megjegyzés: ezek az eszközök nem kizárólag az FSMO adminisztrációjára használhatóak.

Néhány egyéb parancssori eszköz is használható az Active Directory konfigurálására, menedzselésére, és az abban való hibakeresésre. Ezek az eszközök a telepítő CD \Support\Tools mappájában találhatóak.

Az eszközök listája és leírása szerkesztés

Eszközök leírása

Movetree: objektumok mozgatása egyik tartományból a másikba
SIDWalk: olyan objektumok hozzáférési listáinak beállítása, amelyek egy elmozgatott, letiltott vagy törölt fiók tulajdonát képezték.
LDP: LDAP-műveletek végrehajtásának lehetővé tétele. Az eszköz grafikus felhasználói felülettel (GUI) rendelkezik.
Dnscmd: DNS-rekordok keresésére, törlésére, valamint ezen rekordok és a DNS szerverek konfigurálását teszi lehetővé.
DSACLS: Az objektumok hozzáférési listáinak megtekintését és szerkesztését teszi lehetővé.
Netdom: Kötegelt bizalmi kapcsolatok kezelése, számítógépek tartományhoz csatlakoztatása, bizalmi kapcsolatok és biztonságos csatornák hitelesítése.
NETDiag: A végpontok közötti hálózat és az elosztott szolgáltatások figyelése.
NLTest: Ellenőrzi, hogy a helymeghatározó és a biztonságos kapcsolat működik-e.
Repadmin: A replikációk kezelése és ellenőrzése: konzisztencia ellenőrzése, állapot monitorozása, replikációs események kiváltása.
Replmon: Replikációs topológia megjelenítése, állapot monitorozása (csoportházirendekkel együtt), replikációs események kiváltása. Az eszköz grafikus felhasználói felülettel rendelkezik.
DSAStat: Tartományvezérlők adatainak összehasonlítása, eltérések észlelése.
ADSI Edit: Egy Microsoft Management Console snap-in, egy mappában lévő objektumok megjelenítése (séma és konfigurációs információ is), módosítása és hozzáférési listáik beállítása.
SDCheck: Bizonyos objektumok hozzáférési listája terjesztésének és replikálásának figyelése. Lehetővé teszi a hozzáférési listák helyes öröklődésének ellenőrzését, és felel a listák replikációjáért változtatás esetén.
ACLDiag: Meghatározza, hogy adott felhasználónak van-e joga hozzáférni egy adott objektumhoz. Ezen felül lehetővé teszi a hozzáférési listák alaphelyzetbe állítását.
DFSUtil: Parancssori eszköz az elosztott fájlrendszer (Distributed File System) teljes körű kezelésére.
Dcdiag: Megvizsgálja a tartományvezérlők állapotát erdő vagy vállalat szintjén, és jelzi az esetleges problémákat, a hibaelhárítás megkönnyítése érdekében.
Active Directory Migration Tool: Egy Microsoft Management Console snap-in a felhasználók, csoportok és gépek migrálására Windows NT 4.0 tartományokból Active Directory tartományokba. (A telepítő CD \i386\ADMT mappájában található)

Fordítás szerkesztés

Ez a szócikk részben vagy egészben a Flexible single master operation című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Jegyzetek szerkesztés

↑ TechNet: ForestDNSZones and DomainDNSZones have wrong infrastructure role record. [2018. január 12-i dátummal az eredetiből archiválva]. (Hozzáférés: 2018. január 12.)

Informatikai portál • összefoglaló, színes tartalomajánló lap

[1] TechNet: ForestDNSZones and DomainDNSZones have wrong infrastructure role record. [2018. január 12-i dátummal az eredetiből archiválva]. (Hozzáférés: 2018. január 12.)

[1]