Az Active Directory mélyebben
2004/03/15 13:48
2130 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Nem árt tisztában lenni azzal a ténnyel, hogy a Windows 2000/2003 tartományban lévő tartományvezérlők a látszat ellenére mégsem egyenrangúak. Mindig van egy, mindenekfelett.

Az egyedi főkiszolgáló szerepkörök

Bár Windows 2000/2003 esetén nem olyan éles a különbség mint a Windows NT4 Servernél, ahol már a telepítés közben muszáj volt eldönteni, hogy elsődleges (PDC) vagy másodlagos (BDC) lesz-e a tartományvezérlő (és persze ennél lényegesen drasztikusabb különbségek is voltak, pl. a BDC csak tárolta de nem módosíthatta az NT tartomány "címtárát") de azért még ezeknél az operációs rendszereknél ekkor is van némi differencia a tartományvezérlők között. Öt darab ún. egyedi főkiszolgáló-művelet létezik (Flexibile Single Master Operations, FSMO), amelyek meglétéről a legegyszerűbben (persze az ntdsutil.exe és a Windows Support Tools-ban megtalálható DCDiag.exe segítségével megoldhatjuk a szerepkörök listázását, csak némiképp bonyolultabban) a letölthető dumpfsmos.cmd parancssori eszközzel győződhetünk meg. Ezek után nézzük a főkiszolgáló szerepköröket részletesen.
A főkiszolgáló szerepkörök listázása a Dumpfsmos eszközzel

A RID főkiszolgáló (RID Master)

Tartományszintű műveleti főkiszolgáló szerepkör, amelyből maximum egy lehet egy tartományban. Az ezzel a szerepkörrel felvértezett tartományvezérlő képes arra, hogy a saját vagy bármely másik tartományvezérlő kérésére kiossza egy új objektum (felhszanálói fiók, csoport, stb.) részére a relatív azonosító (Relative IDentifier) részt a biztonsági azonosítóból (SID). Ez a művelet akkor zajlik, amikor az új objektum létrejön valamelyik tartományvezérlőn. A relatív azonosító rész teljesen egyértelműen azonosítja az objektumot a tartományon belül. Ha nem elérhető a RID főkiszolgáló, akkor nem lehet a tartományban új objektumokat létrehozni.

A PDC emulátor

Tartományszintű műveleti főkiszolgáló szerepkör, amelyből szintén összesen egy élhet a tartományon belül. Feladata, hogy a Windows 2000 előtti ügyfelek számára elsődleges Windows NT tartományvezérlőként működjön. Ennek megfelelően feldolgozza az ügyfelek jelszóváltozásait és replikálja a frissítéseket a további tartományvezérlők felé. Feladata még a tartomány összes tartományvezérlője által mutatott idő automatikus szinkronizálása is a Windows Time szolgáltatás segítségével.

Az infrastruktúra főkiszolgáló (Infrastructure Master)

Szintén tartományszintű műveleti főkiszolgáló szerepkör, amelyből megintcsak egy lehet a tartományon belül, de csak több tartományt tartalmazó rendszer esetén van szükség rá. Feladata a saját tartománya objektumai és más tartományok objektumai közötti hivatkozások frissítése. Amennyiben nem elérhető, tartományon belül nem veszünk észre változást, azonban a többi tartománnyal való kapcsolattartás során frissítési problémák jönnek létre.

A tartománynév-nyilvántartási főkiszolgáló (Domain Naming Master)

Erdőszintű műveleti főkiszolgáló szerepkör, amelyből az erdőben kizárólag egy lehet. Az ezzel a speciális szereppel bíró tartományvezérlő szabályozza az erdőben a tartományok hozzáadását és törlését. A tarttományfákkal kapcsolatos változtatások nem hajtódnak végre, amíg ez a tartományvezérlő nem elérhető.

A séma-főkiszolgáló (Schema Master)

Erdőszintű műveleti főkiszolgáló szerepkör, központosítva végzi el a séma összes frissítését és módosítását. Amannyiben az erdő sémáját frissíteni kívánjuk, hozzáférési joggal kell rendelkeznünk a séma-főkiszolgálóhoz. Az előző szerephez hasonlóan, séma főkiszolgálóból is csak egy lehet az erdőben és szintén nem vesszük észre a hiányát, egészen addig, amíg nem kerül sor a séma frissítésére, vagy bővítésére.
Alapesetben nincs hozzáadható Schema Manager MMC a bővítmények között

Szerepcsere?

Elviekben ezeket a speciális szerepeket szabadon, utólag is felcserélhetjük manuálisan a tartományvezérlők között, persze bizonyos irott és íratlan szabályok szerint. Amennyiben frissítünk egy Windows NT4/2000 tartományról, akkor ezek a szerepek is maradnak az aktuális tartományvezérlőn, ha viszont új telepítést választunk akkor az időben első tartományvezérlőé lesz az összes szerepkör. Előfordulhat olyan eset is, hogy egy átszervezés apropóján visszaminősítjük az eddigi főkiszolgáló szerepekkel ellátott tartományvezérlőnket. Ekkor gondoskodnunk kell ezen szerepek átmozgatásáról is egy másik tartományvezérlőre, még a tartományvezérlői szerep eltávolítása előtt. Ez a mozgatás jobb esetben szerepkör átadással valósulhat me

g. A tartományszintű főkiszolgálók (RID Master, PDC Emulator, Infrastructure Master) esetén az Active Directory Felhasználók és Számítógépek (Active Directory Users and Computers, ADUC) MMC modulból, a tartomány nevére a jobb gombbal kattintva és az Operations Master menüpontot kiválasztva történhet meg. A tartománynév-nyilvántartási főkiszolgáló (Domain Naming Master esetén az Active Directory Tartományok és Bizalmi Kapcsolatok (Active Directory Domains and Trusts) modulban a legfelső bejegyzésre kell a jobb gombbal kattintanunk, majd az Operations Master menüpontot kiválasztanunk az átadáshoz.

A séma főkiszolgáló módosítása ennél lényegesen bonyolultabb mert alapértelmezés szerint a Schema Manager MMC nem áll rendelkezésre, viszont a telepítésésre két variáció is létezik:

  • A talán egyszerűbb, de kicsit az "ágyúval verébre" effektust hordozó verzió: telepítsük fel a CD I386 mappájából az Administration Tools Pack eszközt (adminpak.msi), ezzel egy beregisztrált Schema Managert is kapunk (rengeteg más komponens mellett).
  • A másik verzió: nyissunk egy parancssort, és irjuk be: "regsvr32 schmmgmt.dll".

Mindkét esetben folytassuk a műveletet az mmc.exe indításával, válasszuk a File menüből az Add/Remove Snap-In menüpontot és adjuk hozzá az Active Directory Schema bővítményt. Ha sűrűn nézegetni fogjuk, akkor mentsük el az MMC ablakot, és akkor az Administration Tools programcsoportból is elérhetővé válik. Ha sikerült telepíteni, akkor az MMC modulban az Active Directory Schema pontra kell a jobb gombbal kattintani, majd szintén az Operations Master menüpontot kiválasztani, ahhoz hogy a szerepét átadhassuk egy másik tartományvezérlőnek.

Az átadás mellett szükség van drasztikusabb módszerre is, mert előfordulhat olyan eset, hogy nem tudjuk átadni a szerepkört, mert már nem létezik a szerver vagy súlyosan károsodott és ezért nem férünk hozzá a felügyeleti MMC modulokhoz. Ebben az esetben elvétellel történhet meg a szerepcsere, az ntdsutil segédprogrammal. Ez utóbbi használatára csak ténylegesen abban az esetben kerítsünk sort, ha már nem maradt más lehetőség.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek