Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00

Ruoli Master Operazioni (FSMO)

Windows
Read Time: 5 mins

Active Directory supporta la replica multimaster dell'archivio dati della directory tra tutti i controller di dominio nel dominio: a partire da Windows 2000 infatti tutti i controller di dominio sono uguali e una modifica fatta su uno viene aggiornata su tutti gli altri. Non esistono più i concetti di controller di dominio primario e di backup.

Tuttavia, per prevenire conflitti mediante la replica multimaster, ad esempio in caso di modifiche eseguita “accidentalmente” su più DC nello stesso istante, è stato introdotto il concetto di Master Operazioni, ruolo che permette ad un controller di dominio di accettare e “coordinare” le richieste di modifica.

Per ogni insieme di strutture i ruoli di master operazioni assegnati a uno o più controller di dominio sono cinque, dei quali 2 riferiti specificamente alle foreste e 3 ai domini:

Ruoli per le foreste:

- Schema Master

- Master per la denominazione dei domini

Ruoli per i domini:

- Master Infrastrutture

- RID Master

- Emulatore PDC

I ruoli di master operazioni vengono anche chiamati ruoli FSMO (Flexible Single Master Operations).

Esistono diversi metodi per stabilire quali siano le macchine che ricoprono ciascuno di questi ruoli ed uno di questi consiste nell’utilizzo del tool netdom fornito nell'Administration Tools Pack per Windows Server 2003.Digitando al prompt dei comandi netdom query fsmo si ottiene un elenco con l’associazione di ogni ruoli ad un domain controller.

E’ importante ricordare che i ruoli assegnati ad un controller non possono essere assegnati a nessun altro controller: ogni ruolo appare una sola volta all'interno del dominio.


- Schema Master

Questo ruolo permette il controllo di tutti gli aggiornamenti e le modifiche effettuate allo schema di Active Directory. Gli aggiornamenti sullo Schema Master sono replicati sugli altri domain controller nel dominio: per aggiornare lo schema di un insieme di strutture (ad esempio con l’installazione di Exchange Server) è quindi necessario avere accesso al controller di dominio che svolge il ruolo di master schema.

- Master per la denominazione dei domini (Domain Naming Master)

Il controller di dominio che svolge il ruolo di master per la denominazione dei domini controlla l'aggiunta o la rimozione dei domini nell'insieme di strutture: tale ruolo può essere svolto da qualsiasi controller di dominio con Windows Server 2003. Se il controller di dominio è un Windows 2000, è necessario abilitarlo come server di catalogo globale. Nei casi di difficoltà nell’aggiunta di nuovi domini o domini figlio (child domain) si consiglia di verificare che il Domain Naming Master sia in linea e operativo.

- Master infrastrutture (Infrastructure Master)

Il master infrastrutture è responsabile dell'aggiornamento dei riferimenti degli oggetti (SID e DN) nel dominio, aggiornamento effettuato tramite un confronto dei propri dati con quelli di un catalogo globale (Global Catalog). Gli aggiornamenti degli oggetti sono propagati periodicamente verso tutti i cataloghi globali tramite replica, garantendo così l'aggiornamento costante di tutti i dati in essi contenuti. In presenza di dati obsoleti, verranno richiesti i dati aggiornati al catalogo globale. Il master infrastrutture replica quindi i dati aggiornati negli altri controller di dominio del dominio.

E’ molto importante sapere che il ruolo di master infrastrutture non deve essere assegnato ad un controller di dominio con la funzionalità di catalogo globale attiva. Se questo dovesse accadere, il master infrastrutture non troverebbe dati ritenuti obsoleti e la replica delle modifiche verso gli altri controller di dominio non verrebbe mai eseguita. Questo perché un Global Catalog possiede solamente una replica parziale degli oggetti della foresta. In una situazione come quella appena descritta, il master infrastrutture non svolge il suo importante ruolo all’interno del dominio. Questa regola non ha valenza nel caso in cui nel dominio sia presente un solo controller di dominio o nel caso in cui tutti i controller di dominio del dominio contengano anche il catalogo globale: in tal caso tutti disporranno dei dati aggiornati e non sarà rilevante conoscere il controller di dominio con il ruolo di master infrastrutture.

- Master RID (RID Master)

Il master RID (Relative Identifier) svolge due funzioni: gestisce il movimento di oggetti tra un dominio ed assegna sequenze di ID relativi (RID) a ogni controller di dominio presente nel dominio.

Quando un DC crea un nuovo oggetto su Active Directory, ad esempio un nuovo utente o un nuovo gruppo, ad esso viene associato un Security ID (SID) univoco nel dominio, costituito da un Domain SID (lo stesso per tutti i SID creati nel dominio) e un Relative ID (RID) (univoco per ogni security principal SID creato nel dominio)

Ogni DC di un dominio ha a disposizione un pool di RID per consentirgli la creazione di un certo quantitativo di security principal object (oggetti di Active Directory). Quando il numero di RID disponibili ad un DC scende sotto una certa soglia, il DC è costretto a generare una richiesta di RID addizionali al RID Master del dominio. In ogni caso il DC non utilizzerà il nuovo insieme di SID ottenuti dal RID Master sino a quando non avrà esaurito quelli che aveva in precedenza a disposizione.

- Master emulatore PDC (PDC Emulator)

Il master emulatore PDC svolge il ruolo di controller di dominio primario di Windows NT negli ambienti in cui sono ancora presenti server con Windows NT4 BDC (controller di dominio di backup) o computer che funzionano senza Windows 2000 o senza il software client di Windows XP Professional. Il PDC Emulator si occupa di modifiche alle password, blocco account e log password errate replicando gli aggiornamenti ai BDC.

Per impostazione predefinita, il master emulatore PDC è anche responsabile della sincronizzazione dell'ora in tutti i controller di dominio del dominio. L'emulatore PDC nel dominio padre deve essere configurato per la sincronizzazione con un'origine ora esterna. È possibile sincronizzare l'ora dell'emulatore PDC con un server esterno con la procedura seguente:

Dal prompt dei comandi digitare i seguenti comandi nell'ordine indicato.

•          w32tm /config /manualpeerlist:Indirizzo_IP_server_NTP,0x8 /syncfromflags:MANUAL

•          net stop w32time

•          net start w32time

•          w32tm /resync

L'emulatore PDC riceve la replica preferenziale delle modifiche alle password eseguite da altri controller di dominio del dominio. Se una password è stata modificata di recente, la replica delle modifiche a ogni controller di dominio del dominio richiederà del tempo. Se l'autenticazione di accesso a un altro controller di dominio non riesce a causa di una password errata, tale controller di dominio inoltrerà la richiesta di autenticazione all'emulatore PDC prima di rifiutare il tentativo di accesso.

Windows
server
(0 Votes)