logo

Die fünf FSMO-Rollen in Active Directory

Fünf FSMO-Rollen

Die Betriebsmasterrollen, die auch als flexible einfache Mastervorgänge (Flexible Single Master Operations, FSMO) bezeichnet werden, führen bestimmte Aufgaben in einer Domäne aus. Es gibt fünf FSMO-Rollen:

  • Schemamaster
  • Domänennamenmaster
  • Infrastrukturmaster
  • RID-Master (Relative ID)
  • PDC-Emulator

In jeder Gesamtstruktur gibt es einen Schemamaster und Domänennamenmaster. Ausführliche Informationen dazu finden Sie im Abschnitt „Gesamtstruktur“ des Tutorials. In jeder Domäne gibt es einen Infrastrukturmaster, einen RID-Master und einen PDC-Emulator. Es kann immer nur ein Domänencontroller die Funktionen der einzelnen Rollen ausführen. Ein einzelner Domänencontroller kann daher alle fünf FSMO-Rollen ausführen, in einer Umgebung mit nur einer Domäne kann es jedoch maximal fünf Server geben, die die Rollen ausführen.

Sind mehrere Domänen vorhanden, verfügt jede Domäne über einen eigenen Infrastrukturmaster, RID-Master und PDC-Emulator. Der RID-Master stellt RIDs für jeden Domänencontroller in einer Domäne bereit. Neuen Objekten in einer Domäne, beispielsweise neuen Benutzern oder neuen Computerobjekten, wird eine eindeutige Sicherheits-ID (SID) zugewiesen. Die SID beinhaltet einen Domänenbezeichner, der jede Domäne eindeutig kennzeichnet, sowie eine spezielle RID für jedes Objekt. Durch Kombination der beiden IDs wird sichergestellt, dass jedes Objekt in der Domäne über einen eindeutigen Bezeichner verfügt, der sowohl die Domänen-SID als auch die RID enthält.

Der PDC-Emulator steuert die Authentifizierung innerhalb einer Domäne (z. B. über Kerberos v5 oder NTLM). Wenn ein Benutzer sein Kennwort ändert, wird diese Änderung vom PDC-Emulator verarbeitet. Der Infrastrukturmaster schließlich synchronisiert Objekte mit den globalen Katalogservern.

Der Infrastrukturmaster vergleicht dabei seine Daten mit den Daten eines globalen Katalogservers und ruft die in seiner Datenbank nicht enthaltenen Daten vom globalen Katalogserver ab. Wenn alle Domänencontroller in einer Domäne zugleich auch globale Katalogserver sind, verfügen sie stets über aktuelle Informationen, sofern die Replikation funktioniert. In einem solchen Szenario spielt es keine Rolle, wo die Infrastrukturmaster-Rolle ausgeführt wird, da sie keine wirkliche Aufgabe hat.

Weitere Informationen zu Active Directory finden Sie auch in unserem Active Directory-Tutorial für Einsteiger.

Was ist Active Directory?