Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Rheinwerk Computing
ISBN 3-89842-847-8

>>Jetzt Buch bestellen!
gp Kapitel 23 Betriebsmasterfunktionen und der globale Katalogserver
  gp 23.1 Der globale Katalog und die Betriebsmasterrollen
  gp 23.2 Die Verteilung der Betriebsmasterfunktionen und der Funktion des globalen Katalogservers auf die Domänencontroller
  gp 23.3 Die Verschiebung der Betriebsmasterrollen
    gp 23.3.1 Die Routine DUMPFSMOS.CMD zum Anzeigen der Betriebsmasterfunktionen
    gp 23.3.2 Wann sollten Betriebsmasterfunktionen übertragen werden?
    gp 23.3.3 Das Tool NTDSUTIL zum Übertragen oder Übernehmen von Betriebsmasterfunktionen
    gp 23.3.4 Snap-Ins zur grafischen Anzeige und Übertragung der Betriebsmasterfunktionen
  gp 23.4 Einem Server die Funktion »Globaler Katalog« zuweisen

Kapitel 23 Betriebsmasterfunktionen und der globale Katalogserver

Ein wesentlicher Schritt bei der Erstellung einer Standorttopologie ist die Platzierung der globalen Katalogserver und der Betriebsmaster. Alle sechs Rollen können nur auf Domänencontrollern, nicht auf Mitgliedsservern untergebracht werden.


Rheinwerk Computing

23.1 Der globale Katalog und die Betriebsmasterrollen  toptop

In einem Microsoft Active Directory gibt es die Rolle des globalen Katalogservers und fünf Betriebsmasterfunktionen, die so genannten »Flexible Single Master Operations (FSMO) Roles«, Betriebsmaster = Operation Master.

Globaler Katalogserver Ein globaler Katalogserver enthält eine Kopie des globalen Katalogs der Gesamtstruktur. Ein globaler Katalog enthält ein Replikat von jedem Active-Directory-Objekt, jedoch mit einer begrenzten Anzahl von Attributen für jedes Objekt, nämlich diejenigen Attribute, die bei Suchvorgängen am häufigsten verwendet werden (z.B. Vor- und Zuname von Benutzern), und solche Attribute, die zur Ermittlung eines vollständigen Objektreplikats erforderlich sind. Die in den globalen Katalog replizierten Attribute umfassen einen von Microsoft definierten Basissatz, der jedoch von den Schemaadministratoren erweitert werden kann. Der globale Katalog enthält deshalb nur einen Teil der Attribute, um in einer komplexen Gesamtstruktur den Replikationsverkehr gering zu halten und um die Datenbank, die auf jedem globalen Katalogserver vorgehalten werden muss, nicht zu groß werden zu lassen.

An jedem Standort muss bei der Anmeldung eines Benutzers ein globaler Katalogserver verfügbar sein, weil der Domänencontroller, der die Anmeldung ausführt, im globalen Katalog die Mitgliedschaft in universellen Gruppen überprüfen muss. Da über die Mitgliedschaft in universellen Gruppen Zugriffsrechte auf Ressourcen gesteuert werden können, müssen diese Informationen zumindest in Domänen im einheitlichen Modus bei der Anmeldung vorliegen. Ohne einen Zugriff auf einen globalen Katalog verweigert im einheitlichen Domänenmodus der Domänencontroller die Anmeldung. Die Funktion globaler Katalogserver können mehrere Domänencontroller innerhalb einer Domäne übernehmen. An jedem größeren Standort der Domäne sollte nach Möglichkeit zumindest ein Domänencontroller auch den globalen Katalog beherbergen, damit Anmeldungen durchgeführt werden können, wenn die WAN-Leitung ausgefallen ist.

Schemamaster Das Active-Directory-Schema definiert Klassen von Objekten und die zugehörigen Attribute. Für jede Gesamtstruktur existiert nur ein Schema, das von allen Domänen in dieser Gesamtstruktur gemeinsam verwendet wird. Auf dem Domänencontroller der Gesamtstruktur, der die Schemamasterrolle besitzt, werden Schemaaktualisierungen und Schemaerweiterungen durchgeführt. Jedoch können mit Hilfe des Snap-Ins Active Directory-Schema auf einem beliebigen Domänencontroller Schemaänderungen von einem Mitglied der Sicherheitsgruppe Schema-Admins vorgenommen werden, wenn das Snap-In eine Verbindung zum Schemamaster herstellen kann.

Domänennamenmaster Zum Hinzufügen und Entfernen von Domänen in einer Gesamtstruktur muss ein Mitglied der Sicherheitsgruppe Organisations-Admins einen Kontakt zum Domänennamenmaster herstellen, um den ersten Domänencontroller der neuen Domäne in die Gesamtstruktur aufnehmen zu können oder den letzten Domänencontroller einer zu löschenden Domäne aus der Gesamtstruktur entfernen zu können. Weitere Domänencontroller kann ein Mitglied der Sicherheitsgruppe Domänen-Admins dann dieser Subdomäne hinzufügen oder löschen.

RID-Master In einer Domäne erhält jedes Sicherheits-Principal wie Benutzer, Computer und Sicherheitsgruppen einen eindeutigen SID (Security Identifier). Dieser SID besteht aus einem RID (Relative ID) und einem eindeutigen SID der Domäne. Der RID-Master vergibt jedem Domänencontroller in einer Domäne einen Pool von RIDs, damit jeder Domänencontroller selbstständig Sicherheits-Principals erstellen und ihnen SIDs zuweisen kann. Wenn die Anzahl noch verfügbarer RIDs im Pool eine vorbestimmte Anzahl (standardmäßig 100) unterschreitet, fordert der Domänencontroller zusätzliche RIDs vom RID-Master der Domäne an. In jeder Domäne einer Gesamtstruktur darf nur ein RID-Master vorhanden sein.

PDC-Emulationsmaster In jeder Domäne einer Gesamtstruktur darf nur ein PDC-Emulator vorhanden sein. In Windows-2003-Domänen, die noch nicht aus dem gemischten Modus in die Domänenfunktionsebene Windows Server 2003 (einheitlicher Modus) hochgestuft wurden, weil es noch aktive Windows-NT-4.0-Domänencontroller gibt, sorgt der PDC (Primary Domain Controller) für die Abwärtskompatibilität und das Zusammenspiel zwischen Windows-2003-Servern und den PDCs und BDCs (Backup Domain Controller) der Windows-NT-4.0-Domäne. Doch auch nach der Hochstufung der Domänenfunktionsebene in den einheitlichen Modus verliert der PDC-Emulator nicht seine Funktion. Er ist nämlich zugleich die zentrale Referenz für Kennwortänderungen: Wenn ein Benutzer sein Kennwort an einem beliebigen Domänencontroller geändert hat, repliziert dieser Domänencontroller unverzüglich die Änderung an den PDC-Emulator der entsprechenden Domäne. Meldet sich der Benutzer später mit dem neuen Kennwort erneut an und führt dann ein anderer Domänencontroller die Authentifizierung durch, so schlägt die Anmeldung nicht fehl, weil dieser Domänencontroller beim PDC-Emulator zuerst das neue Kennwort gegenprüft.

Infrastrukturmaster In jeder Domäne darf nur ein Domänencontroller als Infrastrukturmaster fungieren. Der Infrastrukturmaster aktualisiert Verweise zwischen Gruppen und Benutzern, sobald eine Gruppenmitgliedschaft geändert wird. Er repliziert diese Änderung auf alle weiteren Domänencontroller dieser Domäne.

 << zurück
  
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchtipps
Zum Rheinwerk-Shop: Windows Server 2012 R2






 Windows Server
 2012 R2


Zum Rheinwerk-Shop: Office 365






 Office 365


Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo





Copyright © Rheinwerk Verlag GmbH 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern