In de tijd van Windows NT bestond er in een domein altijd één Primary Domain Controller (PDC). Voor de veiligheid en om de belasting te verdelen kon men er voor kiezen om Backup Domain Controllers (BDCs) in hetzelfde domein op te nemen. Het voornaamste verschil tussen de PDC en de BDC was dat men op de PDC nieuwe objecten kon aanmaken (bijvoorbeeld nieuwe gebruikers) en dat kon niet op een BDC. De BDC was namelijk een kopie van de PDC en in de ogen van de netwerkbeheerder read-only.



Active Directory en Domain Controllers


Sinds de komst van Windows 2000, en daarmee ook Active Directory (AD), is het afgelopen met de PDC en de BDC. Sinds AD zijn alle Domain Controllers (DCs) gelijkwaardig en dus nimmer read-only. Als er op een willekeurige Domain Controller een object wordt gemaakt, aangepast of verwijderd, worden alle Domain Controllers hiervan op de hoogte gesteld middels replicatie. Als er in het uiterste geval op twee Domain Controllers eenzelfde object wordt aangepast, dan zal de aanpassing die als laatst is gedaan is worden gerepliceerd. Echt gelijktijdig bestaat namelijk niet (Filosofen twijfelen hier weleens over). Een Windows NT domein wordt ook wel een single-master-model genoemd omdat de PDC de meester in het spel is. En omdat in AD alle DCs meester zijn betreft AD een multi-master-model.


FSMO rollen


Active Directory werkt echter voor een groot deel in het multi-master-model maar niet volledig. Er zijn bepaalde onderdelen in AD waar er toch één DC de baas moet zijn. De DCs die voor een bepaald onderdeel de baas zijn hebben een zogenaamde FSMO rol toegewezen gekregen. FSMO staat dan ook voor Flexible Single Master Operations en wordt uitgeproken als FIZ-MO. Er zijn vijf FSMO rollen, te verdelen in FSMO rollen voor in een domein en FSMO rollen voor in een forest.

FSMO rollen voor in een domein, in ieder domein komen deze rollen één keer voor.

  • RID master
    Alle objecten in AD hebben een security identifier (SID). Het eerste deel van dit nummer wordt de Domain ID genoemd en is voor alle security principals in het domein hetzelfde. Het tweede en laatste deel van dit nummer is de Relative ID (RID) en moet uniek zijn. Om er voor te zorgen dat niet twee DCs hetzelfde RID (en dus SID) nummer weggeven krijgt iedere DC een pool RID nummers toegewezen, deze overlappen elkaar niet. Het toewijzen van deze pools wordt gedaan door de RID master.

  • Infrastructure master
    Gebruikers in een groep worden gekenmerkt door zijn GUID, SID en distinguished name (DN). Deze groep kan uiteraard gebruikers of groepen uit een ander domein bevatten. De GUIDs en SIDs zullen nimmer veranderen, maar de naam van een gebruiker of groep uit een ander domein kan wel veranderen. Als je vervolgens in AD naar de members van deze groep kijkt dan zie je de ‘oude’ naam staan (Het poppetje krijgt dan grijst haar). De Infrastructure master raadpleegt zo nu en dan de Global Catalogs om na te gaan of de Distinguished Name van een object uit een ander domein is veranderd.

  • PDC Emulator
    Het is nog steeds toegestaan om Windows NT Domain controllers in je domein te hebben draaien. Dit zijn echter allen BDCs. De PDC wordt geëmuleerd op de DC die PDC Emulator rol heeft. Daarnaast wordt de datum en tijd op de PDC Emulator als master gezien. M.a.w.: als je de tijd op de PDC Emulator aanpast wordt dat naar alle DCs en uiteindelijk ook alle andere domain-members (servers en clients) repliceert.

Om een domein FSMO rol te verplaatsen van de ene DC naar de andere DC, maak je gebruik van Active Directory Users and Computers.

FSMO

FSMO rollen voor in een forest, in de hele forest komen de rollen dus maar één keer voor.

  • Schema master
    De Schema beschrijft het ‘uiterlijk’ van alle mogelijke objecten in AD. Met uiterlijk wordt bedoeld welke attributen een bepaald object heeft. Zo heeft een gebruiker (user) in het domein altijd de attributen naam en paswoord, maar ook telefoonnummer en afdeling. Als er iets in schema veranderd moet worden, dan gebeurt dat altijd op de DC met de schema rol. Dit gebeurt bijvoorbeeld tijdens de installatie van Exchange. Om deze FSMO rol te verplaatsen van de ene  DC naar de andere DC maak je gebruik van de Active Directory Schema snap-in. Om deze te gebruiken moet er eerst een service worden geregistreerd door middel van een regsvr32 schmmgmt.dll in een CMD-box. Daarna kan de Active Directory Schema snap-in worden toegevoegd in een MMC.

FSMO

  • Domain naming master
    Deze FSMO bewaakt alle domeinen in het forest. Zo kunnen er geen domeinen worden toegevoegd of verwijderd zonder toestemming van domain naming master. Om deze FSMO rol te verplaatsen van de ene  DC naar de andere DC maak je gebruik van de Active Directory Domains and Trust.

FSMO