RID-Master – Master der relativen Bezeichner


RID-MasterDer FSMO-Rollenmaster für relative Bezeichner (RID-Master) ist die erste der drei Rollen auf Domänenebene, dh, in jeder spezifischen Domäne muss ein Controller vorhanden sein die Hostdomäne dieser Rolle. In Anbetracht der Tatsache, dass eine AD-Gesamtstruktur mehrere Domänen enthalten kann, kann jede Gesamtstruktur mindestens eine Master-RID haben, und ihre maximale Anzahl entspricht der Anzahl der Domänen in der Gesamtstruktur.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


RID-Master – Master der relativen Bezeichner

Es ist wichtig, die Besonderheiten der Funktionsweise des Meisters der relativen Identifikatoren und die Konsequenzen zu verstehen, die auftreten können, wenn Sie sie falsch handhaben. Deshalb ist der theoretische Teil so groß wie nie zuvor.

Theorie

Ein Administrator kann auf jedem Domänencontroller innerhalb einer einzelnen AD-Domäne ein Sicherheitsobjekt (Benutzer- oder Computerkonto, Gruppe) erstellen. Dies ist eine allgemeine Funktion, auf die niemand achtet. Trotzdem ist der Prozess selbst oder vielmehr ein Teil davon an eine separate Rolle des Master of Operations gebunden – des Masters der relativen Identifikatoren.

Jedem Konto in einer Active Directory-Domäne wird eine eindeutige Sicherheitskennung zugewiesen, die als SID (Secure IDentifier) ​​abgekürzt wird. Diese Kennung besteht aus mehreren numerischen Werten, die durch einen Bindestrich getrennt sind:

IC127131

Für die Ausgabe dieser domänenspezifischen Kennungen ist der RID-Master verantwortlich. Er gibt (standardmäßig) jeweils “Bundles” von SIDs 500 an jeden Controller in der Domäne aus. Wenn der Pool endet, kontaktiert der Server den RID-Master und generiert einen neuen Pool für ihn usw. Der Maximalwert beträgt etwas mehr als 1 Milliarde und sollte in der Produktion normalerweise nicht einmal bei 1/10 des Maximums erreicht werden. Theoretisch ist das Erreichen dieses Schwellenwerts jedoch aufgrund falscher Konfiguration, unerwarteter Fehler usw. durchaus möglich. In jedem Fall müssen Sie mit dem Maximalwert des Bezeichners eine Wiederherstellung der Sicherungsstruktur durchführen oder in eine andere Domäne wechseln. Es ist erwähnenswert, dass Windows Server 2012 signifikante Verbesserungen einführt um diese Situationen zu verhindern, besteht auch die Möglichkeit, das 31. Bit bei Erschöpfung des Pools zu entsperren.

Es lohnt sich, etwas mehr über das SID-Format zu erzählen. Sein allgemeines Erscheinungsbild ist die folgende Aufzeichnung:

SRXY1-UND2-UNDn-1-UNDn

Wo

  • S – SID-Präfix;
  • R – Revisionsnummer. Im Moment gibt es nur Revision # 1;
  • X ist die ID des ausstellenden Zentrums. Zum Beispiel bedeutet S-1-5, dass die SID von AD DS ausgegeben wurde;
  • UND1-UND2-UNDn-1-UNDn – eine vollständige Kette von Zwischenverteilungszentren, bestehend aus mindestens 1 und höchstens 14 Kennungen. Im Fall einer AD-Domäne wird eine dreistellige Kennung (Y1-Y2-Y3) verwendet, die für die gesamte Domäne eindeutig ist. Das heißt, alle Y1-Y2-Y3-Kennungen eines Sicherheitsobjekts in der Domäne sind immer identisch. Der letzte Wert (im Fall der Y4-Domäne) ist der RID-Wert.

Hier ist beispielsweise eine Liste der Domänenbenutzer:

Meister 01 loswerden

Und mit dem Befehl Dcdiag.exe / TEST: RidManager / v | find / i “rid” Sie können den Status des RID-Masters anzeigen:

Meister 02 loswerden

Dort können Sie auch den aktuellen Bezeichnerbereich anzeigen. Auf einem anderen Domänencontroller ist der Pool übrigens anders, was sehr logisch ist, da jedem Domänencontroller in der Domäne ein eindeutiger Pool zugewiesen wird:

Meister 03 loswerden

Es gibt einige eindeutige SID-Schlüssel, die von Gruppen gemeinsam genutzt werden. Beispielsweise hat die Gruppe der Schemaadministratoren das Format S-1-5-root domain-518wo Stammdomäne – die Kennung des ausstellenden Zentrums der Stammdomäne der Gesamtstruktur. Im folgenden Screenshot finden Sie leicht die SID der Gruppe der Schemaadministratoren:

Meister loswerden 04

Eine Gruppe mit RID 512 ist eine Gruppe von Domänenadministratoren. Weitere Informationen zu anderen Sicherheitsgruppen finden Sie in der offiziellen Dokumentation .

Es lohnt sich, über eine andere Rolle des Meisters der relativen Identifikatoren zu sprechen. Der aufmerksame Leser hat festgestellt, dass es in jeder Domäne einen RID-Master gibt und SIDs nur Objekten innerhalb dieser Domäne zugewiesen werden. Aber was passiert, wenn dieses oder jenes Sicherheitsobjekt wechselt von einer Domain zur anderen?

Wenn ein Sicherheitsobjekt von einer Domäne in eine andere verschoben wird (z. B. von corp.bissquit.com beim test.corp.bissquit.com) wird ihm in der Zieldomäne eine neue SID zugewiesen, und die alte bleibt für den Verlauf erhalten und wird in ein speziell erstelltes Attribut geschrieben – sIDHistory… Dieses Attribut speichert den gesamten Verlauf der Änderung von SIDs, dh es kann mehr als einen Wert enthalten.

Was aber, wenn dieses Benutzerkonto in der alten Domäne Mitglied in Sicherheitsgruppen war, die den Zugriff auf Unternehmensdateiressourcen regeln? Theoretisch sollte er beim Ändern der SID diesen Zugriff verlieren. Aber nein. Während des Authentifizierungsprozesses rufen Dienste aus Active Directory alle SIDs ab, die das Konto zuvor hatte, die jetzt sind, sowie die IDs der Gruppen, zu denen diese IDs gehören. Basierend auf diesen Kennungen wird ein Zugriffstoken erstellt, mit dem die Berechtigungen für bestimmte Objekte gesteuert werden. Somit hat dieser Benutzer Zugriff auf die Ressourcen der Domain, von der sein Konto übertragen wurde.

Best Practices

Zu den Best Practices für die Verwaltung eines RID-Hostdomänencontrollers gehören:

1) Behalten Sie die RID-Master- und PDC-Emulatorrollen auf demselben Domänencontroller ::

Hosten Sie die RID-Master- und PDC-Emulator-Rollen auf demselben Domänencontroller. Darüber hinaus sind FSMO-Rollen einfacher zu verfolgen, wenn sie auf einer minimalen Anzahl von Computern zusammengestellt werden.

Um die Belastung des primären FSMO-Servers zu verringern, können sich die Emulatorrollen des RID-Masters und des primären Domänencontrollers auf separaten Controllern derselben Domäne und demselben Active Directory-Standort befinden, die direkte Replikationspartner sind.

2) Wenn Sie aus irgendeinem Grund den RID-Master-Server verloren haben, können Sie diese Rolle auf jedem anderen Domänencontroller zwangsweise übernehmen. Denken Sie jedoch daran, dass danach das Original vorhanden ist Der RID-Master sollte nicht im Netzwerk angezeigt werden;;

3) Verfolgen Sie Ereignisse 16653-16658. Sie signalisieren Probleme in der Arbeit des Meisters der relativen Identifikatoren.

Das offensichtliche Problem ist die Unfähigkeit, der Domäne neue Sicherheitsobjekte hinzuzufügen. Sie werden dies jedoch nach sehr langer Zeit bemerken (Backups sind in den meisten Fällen nutzlos), oder im Allgemeinen bleibt die Tatsache einer Fehlfunktion des RID-Masters unbekannt. Immerhin enthalten die Pools von Bezeichnern 500 SIDs. Es sollte bedacht werden, dass in vielen Organisationen möglicherweise sogar hundert Personen nicht arbeiten und dieser Schwellenwert selbst auf einem Domänencontroller möglicherweise nie erreicht wird. Aus diesem Grund ist es wichtig, die oben genannten Ereignisse im Auge zu behalten.

4) Verwenden Sie die neuesten Betriebssystemversionen, da diese neue Tools zur Überwachung des Status des RID-Masters bieten und über bessere Mechanismen zur Fehlerbehebung verfügen. In jedem Fall gibt es keinen wirklichen Grund, die Mechanismen zur Ausgabe von SIDs zu stören.

Verwaltung

Es gibt kein spezielles Snap-In zur Steuerung der Arbeit des RID-Masters. Sie können eine Reihe von Dienstprogrammen zur Fehlerbehebung verwenden, von denen das wichtigste Dcdiag.exe ist.

Sie können den Eigentümer einer Rolle mithilfe des Snap-Ins ändern Aktive Verzeichnisse Benutzer und Computer… Dafür:

  1. Öffnen Sie den Snap auf DC01 und klicken Sie mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer und wähle Ändern Sie den Active Directory-Domänencontroller;;
  2. Wählen Sie als Nächstes den Domänencontroller aus, auf den die Rolle übertragen werden soll (für mich ist es DC02, standardmäßig ist immer der Server ausgewählt, dem die Rolle gehört). Wir bestätigen die Warnung;
  3. Klicken Sie erneut mit der rechten Maustaste auf Aktive Verzeichnisse Benutzer und Computer, aber wir wählen schon Operations Master …;;
  4. Drücke den Knopf Veränderung ….

Meister loswerden 05

Danach müssen Sie Ihre Auswahl bestätigen und eine Benachrichtigung über die erfolgreiche Übertragung der Rolle erhalten.

Dies ist eine Übersicht über den RID-Master der fsmo-Rolle.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *