Active Directory.pdf - Gattner

30 Kapitel 2: Active Directory-Domänendienstkomponenten
RID-Master
Die Betriebsmasterrolle des RID-Masters gilt pro Domäne. Sie wird zum Verwalten des RID-Pools
eingesetzt, um neue Sicherheitsprinzipale innerhalb der Domäne (z.B. Benutzer, Gruppen und Computer)
zu erstellen. Für jeden Sicherheitsprinzipal wird eine eindeutige Sicherheitskennung (Security
Identifier, SID) mit einer Domänenkennung ausgestellt, die für sämtliche SIDs in der Domäne identisch
ist. Ferner wird für jeden Sicherheitsprinzipal ein eindeutiger relativer Bezeichner (Relative
Identifier, RID) erstellt. Da Sicherheitsprinzipale auf einem beliebigen Domänencontroller mit einer
beschreibbaren Kopie des Verzeichnisses erstellt werden können, wird der RID-Master verwendet um
sicherzustellen, dass eine RID nicht von zwei Domänencontrollern gleichzeitig ausgestellt wird. Der
RID-Master erstellt für jeden Domänencontroller innerhalb der Domäne einen Block aus RIDs, den
sogenannten RID-Pool. Wenn die maximale Anzahl an verfügbaren RIDs im RID-Pool auf einem
Domänencontroller beinah erreicht ist (bei fast 100), wird ein weiterer RID-Block vom RID-Master
angefordert. In diesem Fall erstellt der RID-Master einen Pool mit ca. 500 weiteren RIDs für den
Domänencontroller.
Wenn der RID-Master für einen bestimmten Zeitraum nicht verfügbar ist, kann die Erstellung neuer
Konten auf bestimmten Domänencontrollern unterbrochen werden. Der Mechanismus zum Anfordern
eines neuen RID-Blocks ist so konzipiert, dass dieser Fall nicht eintritt: die Anforderung wird
gesendet, bevor alle verfügbaren RIDs innerhalb des RID-Pools verwendet wurden. Wenn der RID-
Master jedoch offline ist und der anfordernde Domänencontroller alle verbleibenden RIDs nutzt,
schlägt die Kontoerstellung fehl. Um die Kontoerstellung erneut zu aktivieren, muss entweder der
Besitzer der RID-Masterrolle erneut online geschaltet werden, oder die Rolle muss an einen anderen
Domänencontroller innerhalb der Domäne übertragen werden.
Der RID-Master ist durch den Wert des Attributs fSMORoleOwner für das Objekt in der Domänenpartition
gekennzeichnet, dessen Klasse rIDManager lautet. Standardmäßig übernimmt der erste in einer
neuen Domäne installierte Domänencontroller die Rolle des RID-Masters. Diese Rolle kann über das
Snap-In Microsoft Active Directory-Benutzer und -Computer oder über das Befehlszeilenprogramm
Ntdsutil übertragen werden.
PDC-Emulator
Der PDC-Emulator wird als primärer Domänencontroller (Primary Domain Controller, PDC) für
Betriebssysteme vor Windows 2000 eingesetzt. Zum Verarbeiten von Kennwortänderungen müssen
Mitgliedsserver und Clientcomputer unter Windows NT mit einem PDC kommunizieren können.
Neben der Bereitstellung von Diensten für ältere Clients spielt der PDC-Emulator eine wichtige
Rolle bei der Kennwortreplikation.
Hinweis Bei Windows 2000 und Windows 2003 Active Directory hat der PDC-Emulator u.a. die wichtige
Rolle, als PDC für Reservedomänencontroller (Backup Domain Controller, BDC) unter älteren Betriebssystemen
(Microsoft Windows NT 3.51 oder Windows NT 4.0) zu agieren. Da Windows Server 2008 nicht gemeinsam
mit Domänencontrollern unter Betriebssystemen vor Windows 2000 bereitgestellt werden kann, ist diese
Funktion nicht mehr relevant.
Selbst wenn keine Mitgliedsserver oder Clientcomputer unter Windows NT in der Domäne vorhanden
sind, verwaltet der PDC-Emulator Kennwortaktualisierungen. Sämtliche Kennwortänderungen
auf anderen Domänencontrollern innerhalb der Domäne werden mithilfe der dringenden Replikation
an den PDC-Emulator gesendet. Beim Fehlschlagen der Benutzerauthentifizierung auf einem anderen
Domänencontroller als dem PDC-Emulator, wird auf dem PDC-Emulator versucht, die Authentifizierung
durchzuführen.