AD-Sites, Replikation und FSMO-Rollen

In kleinen Unternehmen mit einem einzigen Standort replizieren alle Domänencontroller einfach miteinander – schnell und unkompliziert. Aber was wenn das Unternehmen Niederlassungen in München, Berlin und Hamburg hat, die über WAN-Leitungen verbunden sind? Dann wäre es ineffizient, wenn jede Passwortänderung in München sofort über die langsame WAN-Leitung nach Berlin und Hamburg repliziert wird. Für dieses Problem gibt es AD-Sites.

Eine AD-Site ist ein Container für Netzwerksubnetze mit guter interner Verbindung. Sites steuern die Replikation: Innerhalb einer Site repliziert AD sofort und häufig (alle 15 Sekunden). Zwischen Sites repliziert AD nur zu festgelegten Zeiten und über einen definierten Site-Link. Außerdem nutzen Clients immer bevorzugt DCs in ihrer eigenen Site für Authentifizierungen – das spart Bandbreite und erhöht die Geschwindigkeit.

1) Site-Topologie und Replikation

Jede Site wird mit einem oder mehreren IP-Subnetzen verknüpft. Wenn sich ein Computer mit der IP 192.168.10.5 anmeldet und dieses Subnetz zur Site „München" gehört, sucht er automatisch zuerst nach einem DC in München. Site-Links zwischen Sites definieren: Wann wird repliziert? Wie oft? Mit welcher Kosten-Gewichtung (für Routing-Entscheidungen)? Klicke auf eine Site:

AD-Site-Topologie – Site anklicken

🏢 Hauptsitz

DC-HQ-01 (GC)
DC-HQ-02 (GC)
192.168.1.0/24

Site Link
Kosten: 100
Intervall: 15 Min

🏢 München

DC-MUC-01
192.168.10.0/24

Site Link
Kosten: 200
Intervall: 60 Min

🏢 Berlin

kein lokaler DC
192.168.20.0/24

← Klicke eine Site für Replikations- und Standortdetails.

KCC (Knowledge Consistency Checker): AD berechnet die Replikationstopologie automatisch. Jeder DC hat einen KCC-Dienst der entscheidet welche Verbindungen (Connection Objects) zwischen DCs aufgebaut werden. Manuell konfigurieren ist selten nötig – der KCC stellt sicher dass jeder DC jeden anderen DC über maximal 3 Hops erreicht.

2) FSMO-Rollen – die fünf Einzelkämpfer

Active Directory nutzt ein Multi-Master-Replikationsmodell: Änderungen können auf jedem DC gemacht werden und replizieren sich dann zu allen anderen. Aber für bestimmte Operationen bei denen Konflikte entstehen könnten (z.B. zwei Admins legen gleichzeitig eine Domain an) gibt es Single-Master-Rollen: die FSMO-Rollen (Flexible Single Master Operations). Für jede dieser Aufgaben ist genau ein DC zuständig. Es gibt fünf FSMO-Rollen – zwei Forest-weit und drei pro Domain:

FSMO-Rollen – anklicken für Details und Ausfallszenarien

Forest-weit (1 pro Forest)

Schema Master

Verwaltet Schema-Erweiterungen

Das AD-Schema (Definitionen aller Objektklassen und Attribute) kann nur der Schema Master ändern. Notwendig wenn: Exchange installiert wird, neue Objektklassen gebraucht werden, Schema-Erweiterungen ausgerollt werden. Ausfall: kein Problem solange kein Schema-Update nötig. Schema ändern: sehr selten, gut planen.

Forest-weit (1 pro Forest)

Domain Naming Master

Fügt Domains hinzu / entfernt sie

Kontrolliert das Hinzufügen und Entfernen von Domains im Forest. Notwendig wenn: eine neue Child-Domain erstellt wird, eine Domain entfernt wird. Ausfall: kein Problem solange keine Domain-Struktur-Änderungen nötig. Liegt auf dem selben DC wie der Schema Master (Best Practice).

Pro Domain (je 1)

PDC Emulator

Zeit, Passwörter, Legacy-Kompatibilität

Die wichtigste FSMO-Rolle im Alltag. Aufgaben: (1) Zeitquelle der Domain – alle DCs synchronisieren sich mit dem PDC Emulator. (2) Passwortänderungen werden sofort zum PDC Emulator repliziert. (3) Kontosperrungen werden sofort gemeldet. (4) Legacy-Kompatibilität für ältere Clients. Ausfall: spürbar – Passwort-Änderungen können verzögert wirken, Zeitprobleme entstehen.

Pro Domain (je 1)

RID Master

Verteilt RID-Pools an alle DCs

Jedes AD-Objekt (Benutzer, Computer, Gruppe) hat eine eindeutige SID (Security Identifier). Die SID besteht aus der Domain-SID + einem relativen Identifier (RID). Der RID Master verteilt RID-Pools (Blöcke aus 500 RIDs) an jeden DC. DCs nutzen diese Pools für neue Objekte. Ausfall: kein Problem solange DCs noch RIDs in ihrem Pool haben (typisch für Monate).

Pro Domain (je 1)

Infrastructure Master

Aktualisiert Referenzen auf Objekte anderer Domains

Wenn ein Benutzer aus Domain A Mitglied einer Gruppe in Domain B ist, muss Domain B auf das Objekt in Domain A verweisen. Der Infrastructure Master aktualisiert diese domänenübergreifenden Referenzen. Wichtig: Der Infrastructure Master sollte NIE auf einem DC laufen der auch Global Catalog ist – außer alle DCs sind GC (dann irrelevant). In Single-Domain-Forests hat er keine Funktion.

FSMO-Rollen prüfen: netdom query fsmo oder Get-ADForest | Select SchemaMaster,DomainNamingMaster + Get-ADDomain | Select PDCEmulator,RIDMaster,InfrastructureMaster. Übertragen: Move-ADDirectoryServerOperationMasterRole -Identity "DC-HQ-02" -OperationMasterRole PDCEmulator.

Zusammenfassung

AD-Sites = Netzwerkbereiche mit guter interner Verbindung. Sites steuern Replikation (innerhalb: sofort; zwischen Sites: nach Zeitplan per Site Link) und Client-DC-Affinität. Fünf FSMO-Rollen: Schema Master und Domain Naming Master (1x pro Forest), PDC Emulator/RID Master/Infrastructure Master (1x pro Domain). PDC Emulator ist im Alltag wichtigste Rolle (Zeit, Passwörter). netdom query fsmo zeigt aktuelle Rolleninhaber.

AD-Sites, Replikation und FSMO-Rollen

1) Site-Topologie und Replikation

2) FSMO-Rollen – die fünf Einzelkämpfer

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title