Infrastruktur-Master – Infrastruktur-Master


Infrastruktur-MasterDie FSMO-Master-Master-Rolle ist die dritte und letzte Rolle auf Domänenebene. Dies bedeutet, dass jede AD-Domäne einen Domänencontroller haben muss, dem die Rolle gehört.… Im Gegensatz dazu kann eine Gesamtstruktur abhängig von der Anzahl der Domänen mehrere Infrastrukturmaster haben.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


Infrastruktur-Master – Theorie

Jeder AD-Domänencontroller verwaltet vollständige Informationen zu allen Objekten in seiner Domäne. Die Gesamtstrukturhierarchie ist jedoch möglicherweise nicht auf eine einzelne Domäne beschränkt, sondern kann aus vielen anderen bestehen. All dies wirkt sich in keiner Weise auf den Vorgang aus, bis die Sicherheitsobjekte einer Domäne in anderen verwendet werden.

In der Praxis gibt es nur wenige Beispiele, bei denen Domänen desselben Waldes tatsächlich isoliert voneinander existieren. Es ist sehr häufig, wenn lokale Gruppen einer Domäne Benutzer aus anderen Domänen enthalten. Für die Durchführung solcher Systeme innerhalb jeder Domain Der Eigentümer der Infrastruktur-Eigentümerrolle ist verantwortlich.

Beispiel: in der Domäne BEIM Es gibt eine Gruppe, zu der Sie einen Benutzer aus Domäne A hinzufügen müssen … Sobald der Benutzer in die Gruppe aufgenommen wurde, geschieht Folgendes:

Infrastrukturmaster 02

  • Domäneninfrastruktur-Master BEIM greift auf den globalen Katalogserver zu (GC – Globaler Katalog), um Informationen über einen Domain-Benutzer zu erhalten ABER… Da der globale Katalog Informationen zu Objekten für alle Domänen in der Gesamtstruktur speichert, werden die Daten an den Domäneninfrastrukturmaster zurückgegeben BEIM;;
  • Domäneninfrastruktur-Master BEIM Erstellt einen Phantomdomänen-Benutzerdatensatz ABER… Dieser Eintrag ist ein spezieller Typ eines AD-Objekts und kann nicht über Snap-Ins (adsiedit.msc, Benutzer und Computer usw.) angezeigt werden. Phantomdatensätze enthalten ein Minimum an Informationen, einschließlich der folgenden Parameter:

– Distinguished Name, Beispielname – CN = bissquit, OU = 01.1 Admins, OU = 01 Benutzer, DC = corp, DC = bissquit, DC = com);
– – GUID Objekt;
– – SID Objekt.

Infrastrukturmaster 03

  • Der Infrastrukturbetreiber vergleicht regelmäßig (alle 2 Tage) Standard) alle Phantomobjekte mit globalen Katalogdaten. Wenn mit dem Benutzer ABER Änderungen sind aufgetreten:

– Es wurde in eine andere Domain verschoben und geändert SID (siehe RID-Master für weitere Details) und definierter Name (Distinguished Name);
– Es wurde umbenannt oder in einen anderen Container verschoben, und der definierte Name wurde geändert.
– Es wurde gelöscht.

Der Eigentümer der Infrastruktur erfährt von diesen Änderungen und nimmt die entsprechenden Änderungen an sich selbst vor. Wenn der Benutzer aus der Domäne stammt ABER wurde gelöscht, wird gelöscht und das Phantom in der Domain BEIM.

Zusätzlich zu den oben genannten Prozessen ist der Eigentümer der Infrastruktur auch für die Ausführung des Befehls verantwortlich adprep / domainprep , der auf dem Server ausgeführt werden soll, der diese fsmo-Rolle innehat.

Best Practices

Ein globaler Katalogserver verwaltet eine vollständige Replik seiner Domänendaten sowie eine teilweise Replik jeder Domäne in der Gesamtstruktur. Ein Teilreplikat enthält Objektdaten, die aus einer GUID, einer SID und dem definierten Namen des Objekts bestehen. Das heißt, es werden dieselben Daten wie die Phantomdatensätze des Infrastrukturbesitzers gespeichert. Befindet sich der Infrastruktur-Master also auf dem Global Catalog-Server, dann Neue Phantomobjekte werden nicht erstellt / geändert / gelöscht, da der globale Katalog solche Datensätze bereits selbst speichert. Dies führt zu irrelevanten Informationen über domänenübergreifende Objekte (domänenübergreifendes Objekt) von anderen Controllern in derselben Domäne, da sie sich weiterhin an den Infrastrukturmaster wenden, um Informationen zu Objekten in anderen Domänen zu erhalten. Daraus folgt eine Schlussfolgerung. ::

Hosten Sie den Infrastrukturmaster nicht auf einem globalen Katalogserver, es sei denn, alle Domänencontroller in der Gesamtstruktur sind globale Katalogserver.

Infrastrukturmaster 04

Betrachten wir jedoch eine Situation, in der alle Domänencontroller in der Gesamtstruktur auch globale Kataloge sind. In diesem Fall enthält jeder Domänencontroller die aktuellsten Informationen zu allen Objekten in der Gesamtstruktur. Schließlich empfängt jeder globale Katalogserver während des Replikationsprozesses Daten über Änderungen an einem Objekt in der Gesamtstruktur. Somit verschwindet die Notwendigkeit für den Eigentümer der Infrastruktur vollständig und daraus folgt die Empfehlung:

Machen Sie alle Domänencontroller in den globalen Katalogservern der Gesamtstruktur.

Infrastrukturmaster 05

Dies kann unter dem Gesichtspunkt des Lastausgleichs und der Fehlertoleranz positiv gesehen werden.

Es ist Zeit, einen Punkt zu klären: Die Notwendigkeit, Phantomdatensätze zu erstellen, besteht nur in einer AD-Gesamtstruktur mit mehreren Domänen. Das heißt, wenn Ihr Die Gesamtstruktur besteht aus einer Domänedann Phantome werden nicht erstellt im Prinzip, und daher besteht überhaupt keine Notwendigkeit für den Eigentümer der Infrastruktur. Lassen Sie uns zusammenfassen, was gesagt wurde.

Kein Infrastrukturbesitzer erforderlich wann:

  • Eine AD-Gesamtstruktur besteht aus einer Domäne.
  • In einer Gesamtstruktur mit mehreren Domänen ist jeder Domänencontroller ein globaler Katalogserver.

Aber was sind die besten Verwaltungsmethoden für eine Situation, in der Sie viele Domänen in der Gesamtstruktur haben und nicht jeder Domänencontroller ein globaler Katalog ist? Ich kenne nur einen Ratschlag ::

Platzieren Sie die Infrastructure Master-Rolle auf einem Domänencontroller, der eine stabile Verknüpfung zu einem globalen Katalog in der Gesamtstruktur hat, und vorzugsweise zu beiden am selben Standort.

Infrastrukturmaster 06

Vielleicht ist das alles.

Verwaltung

Es gibt kein spezielles Snap-In für die Verwaltung der Arbeit des Infrastrukturmasters.

Sie können den Eigentümer einer Rolle mithilfe des Snap-Ins ändern Aktive Verzeichnisse Benutzer und Computer… Dafür:

  1. Öffnen Sie den Snap auf DC01 und klicken Sie mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer und wähle Ändern Sie den Active Directory-Domänencontroller;;
  2. Wählen Sie als Nächstes den Domänencontroller aus, auf den die Rolle übertragen werden soll (für mich ist es DC02, standardmäßig ist immer der Server ausgewählt, dem die Rolle gehört). Wir bestätigen die Warnung;
  3. Klicken Sie erneut mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer, aber wir wählen schon Operations Master …;;
  4. Drücke den Knopf Veränderung ….

Infrastrukturmaster 01

Danach müssen Sie Ihre Auswahl bestätigen und eine Benachrichtigung über die erfolgreiche Übertragung der Rolle erhalten.

Damit ist die Übersicht über die fsmo-Rolle des Infrastruktur-Masters abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *