next up previous contents
Next: Funktionsebenen Up: Active Directory im Detail Previous: DNS und AD   Contents


Replikation, Betriebsmasterrollen und Backup

Einen wesentlichen Unterschied zur Begriffswelt von Windows NT ergibt sich noch aus der notwendigen Replikation der Daten der Domäne von einem Controller zum anderen. Bei früheren Windows-Versionen gab es einen Primary Domaincontroller (PDC) und beliebig viele Backup Domaincontroller (BDC). Einzig auf den PDC konnte schreibend zugegriffen werden, um Informationen zur Domain zu ändern. Die BDC dienten nur als Read-Only-Kopie der Datenbasis. Dieses Konzept, welches als Single-Master-Replikation bekannt ist, wurde mit Einführung des Active Directorys aufgegeben und durch ein Multi-Master-System ersetzt. Dadurch können Veränderungen von Daten im Active Directory nun auf jedem Domaincontroller durchgeführt werden, die in der Folge durch eine Replikation auf alle Domaincontroller der Domäne und zu Teilen in den GC repliziert werden. Die Replikation erfolgt durch den Abgleich von inkrementellen Versionsnummern, die den Objekten des Verzeichnisses zugeordnet werden, auf den verschiedenen Domaincontrollern, wobei die jeweils letzten Änderungen dann über alle Controller der Domäne verteilt werden. Diese inkrementellen Versionsnummern werden automatisch durch den KCC (Knowlegde Consistency Checker) verwaltet und für den Vergleich hält jeder DC einer Domäne die letzten ihm bekannten Versionsnummern aller restlichen DCs in einer Liste. Beim globalen Katalog erfolgt die Replikation anhand der veränderten Attribute, welche für eine Replikation in den GC laut Schema vorgesehen sind. Dabei wird unter Windows 2000 jeweils der gesamte Katalog repliziert, wenn es auch nur eine einzige Attributänderung gab. Unter Windows 2003 wurde diese ungünstige Lösung dahingehend verbessert, dass nur noch Änderungen repliziert werden. Außerdem wird diese Multi-Master-Replikation ausschließlich zwischen Domaincontrollern mit Windows 2000 und 2003 durchgeführt. Sollten in der Funktionsebene "`Windows 2000 gemischt"' oder "`Windows Server 2003 - interim"' noch WindowsNT-BDC betrieben werden, wird deren Replikation mittels eines PDC-Emulators im Single-Master-Prinzip durchgeführt.

Neben diesen Anmerkungen zur Replikation sei auf das Konzept der Betriebsmaster eingegangen. Diese Master sind notwendig, da es auch weiterhin Aktionen gibt, die auch in einem Multi-Master-System einer atomaren Ausführung bedürfen. Solche Aktionen werden dann auf dem jeweiligen Betriebsmaster durchgeführt. Im Englischen wird der Begriff für solche Aktionen mit FSMO (Flexible Single Master Operations) abgekürzt, auch wenn die Flexibilität in der grundsätzlichen Übertragbarkeit der Rollen besteht, was allerdings manuell geschehen muss. Es gibt 5 Betriebsmasterrollen, wobei zwei für die Gesamtstruktur gelten und 3 für die jeweilige Domain. Jede dieser Rollen darf zeitgleich jeweils nur ein einzelner DC innerhalb der Gesamtstruktur beziehungsweise der Domäne inne haben.
Für die Gesamtstruktur gibt es

Um diese Betriebsmaster-Rollen einem anderen Domaincontroller der Gesamtstruktur zu übertragen, was im Falle von längerfristigen Wartungsarbeiten sinnvoll sein kann, muss der Administrator dies auf dem Zielcontroller im MMC-SnapIn Active Directory Schema beziehungsweise Active Directory Domänen und Vertrauensstellungen anstoßen.
Demgegenüber stehen die drei domänenweiten Betriebsmaster-Rollen Die letztgenannte Rolle dient also der Anpassung von Objekt-Verweisen, die domänenübergreifend wirksam werden. Ist etwa ein Domänen-Nutzer Mitglied einer lokalen Gruppe einer fremden Domain, an der Anpassungen vorgenommen werden, aktualisiert der Infrastrukturmaster die Verweise am beziehungsweise zum lokalen Nutzer-Objekt.
Bezüglich der Rollen des Domänennamen- und RID-Masters soll hier noch kurz auf den Aufbau von SIDs und den Einfluss der beiden Rechner auf diesen eingegangen werden. Eine SID ist eine eindeutige Zahl, deren eine Hälfte aus der DomainID besteht und die zweite Hälfte als innerhalb der Domain eindeutige Zahl durch den RID-Master festgelegt wird. Die DomainID wird natürlich bei deren Einrichtung festgelegt und durch den Domainnamemaster als innerhalb der Gesamtstruktur eindeutige Zahl generiert. Wie sonst auch sei für weiter vertiefende Information auf die vielseitige Literatur rund um das Thema verwiesen.

Neben der durch den KCC gesteuerten und automatisch erfolgenden Replikation der Daten zwischen den Domaincontrollern einer Domäne ist das Backup des Active Directorys im Rahmen seines Einsatzes als Dienst eine wesentliche Komponente zur Sicherung des dauerhaften Betriebs. Prinzipiell kann hierzu der Windows Backup Dienst genutzt werden, hat aber gegenüber Produkten von Drittanbietern wohl seine Mängel. Ein Sichern der AD-Datenbankdatei oder des SYSVOL-Ordners ist nicht ausreichend, da das Active Directory nur durch Rekonstruktion des Registrystandes und sämtlicher Systemumgebungseinstellungen funktional wieder hergestellt werden kann. Weiterhin wird bei [KT04] auch auf den Umstand hingewiesen, dass eine Wiederherstellung einer AD-Sicherung nur innerhalb des Zeitraumes von 60 Tagen möglich ist, da dies dem Zeitfenster von zum Löschen markierten Objekten entspricht, wodurch Inkonsistenzen durch Löschungen entgegen gewirkt werden soll. Außerdem muss bei Windows 2000 mindestens das Service Pack 2 eingespielt sein, da mit diesem Fehler in der Backup-API beseitigt wurden. Nach [Bod05] sei aber darauf hingewiesen, dass im regulären Betrieb das Zurückstellen einer Sicherung nur im absoluten Ausnahmefall notwendig sein dürfte. Fällt ein Domaincontroller aus, wird er neu eingerichtet, erneut in die Domäne eingebunden und der automatische Replikationsmechanismus bringt die Daten des ADs auf dem Domaincontroller auf den neuesten Stand. Interessanter ist hingegen das Zurückstellen versehentlich gelöschter Objekte aus Backups. Dort ist es zwar prinzipiell denkbar, das Objekt wiederherzustellen, allerdings werden dabei auch die Zeitstempel des Backupzeitpunkts wiederhergestellt und die Replikation wird das Restore auf Grund der aktuelleren Löschung wieder überschreiben. Für solche Zwecke empfiehlt [Bod05] beispielhaft den "`Aelita Recovery Manager"', inzwischen im Produktsortiment der Firma "`Quest"' (siehe [Que05]). Dieser kann sowohl auf einem Server aber auch einer Administratorenworkstation laufen, wenn diese möglichst immer verfügbar ist, und stellt beispielsweise die Möglichkeit bereit, einzelne Objekte wiederherzustellen. Dabei besteht auch die Möglichkeit die Wiederherstellung mit dem aktuellen Zeitstempel zu versehen, wodurch diese auch vom Replikationsmechanismus anerkannt wird. Da es im Umfang dieser Arbeit nicht sinnvoll möglich erscheint, eine vollständige Backup-Strategie zu untersuchen, sei hier nur auf den Umstand hingewiesen und für eine Vertiefung auf entsprechende Literatur verwiesen, die auch in größerem Umfang im Literaturverzeichnis der Arbeit zu finden ist.


next up previous contents
Next: Funktionsebenen Up: Active Directory im Detail Previous: DNS und AD   Contents
Marko Damaschke 2006-03-25