Next: Funktionsebenen
Up: Active Directory im Detail
Previous: DNS und AD
  Contents
Replikation, Betriebsmasterrollen und Backup
Einen wesentlichen Unterschied zur Begriffswelt von Windows NT ergibt
sich noch aus der notwendigen Replikation der Daten der Domäne von
einem Controller zum anderen. Bei früheren Windows-Versionen gab es
einen Primary Domaincontroller (PDC) und beliebig viele Backup
Domaincontroller (BDC). Einzig auf den PDC konnte schreibend
zugegriffen werden, um Informationen zur Domain zu ändern. Die BDC
dienten nur als Read-Only-Kopie der Datenbasis. Dieses Konzept,
welches als Single-Master-Replikation bekannt ist, wurde
mit Einführung des Active Directorys aufgegeben und durch ein
Multi-Master-System ersetzt. Dadurch können Veränderungen von Daten im
Active Directory nun auf jedem Domaincontroller durchgeführt werden,
die in der Folge durch eine Replikation auf alle Domaincontroller der
Domäne und zu Teilen in den GC repliziert werden. Die Replikation
erfolgt durch den Abgleich von inkrementellen Versionsnummern, die den
Objekten des Verzeichnisses zugeordnet werden, auf den verschiedenen
Domaincontrollern, wobei die jeweils letzten Änderungen dann über alle
Controller der Domäne verteilt werden. Diese inkrementellen
Versionsnummern werden automatisch durch den KCC (Knowlegde Consistency
Checker) verwaltet und für den Vergleich hält jeder DC einer Domäne die
letzten ihm bekannten Versionsnummern aller restlichen DCs in einer
Liste. Beim globalen Katalog erfolgt die Replikation anhand der
veränderten Attribute, welche für eine Replikation in den GC laut
Schema vorgesehen sind. Dabei wird unter
Windows 2000 jeweils der gesamte Katalog repliziert, wenn es auch nur
eine einzige Attributänderung gab. Unter Windows 2003 wurde diese
ungünstige Lösung dahingehend verbessert, dass nur noch Änderungen
repliziert werden. Außerdem wird diese Multi-Master-Replikation
ausschließlich zwischen Domaincontrollern mit Windows 2000 und 2003
durchgeführt. Sollten in der Funktionsebene "`Windows 2000 gemischt"'
oder "`Windows Server 2003 - interim"' noch WindowsNT-BDC betrieben
werden, wird deren Replikation mittels eines PDC-Emulators im
Single-Master-Prinzip durchgeführt.
Neben diesen Anmerkungen zur Replikation sei auf das Konzept der
Betriebsmaster eingegangen. Diese Master sind notwendig, da es auch
weiterhin Aktionen gibt, die auch in einem Multi-Master-System einer
atomaren Ausführung bedürfen. Solche Aktionen werden dann auf dem
jeweiligen Betriebsmaster durchgeführt. Im Englischen wird der Begriff
für solche Aktionen mit FSMO (Flexible Single Master Operations)
abgekürzt, auch wenn die Flexibilität in der grundsätzlichen
Übertragbarkeit der Rollen besteht, was allerdings manuell geschehen
muss. Es gibt 5 Betriebsmasterrollen, wobei zwei für die Gesamtstruktur
gelten und 3 für die jeweilige Domain. Jede dieser Rollen darf
zeitgleich jeweils nur ein einzelner DC innerhalb der Gesamtstruktur
beziehungsweise der Domäne inne haben.
Für die Gesamtstruktur gibt es
- den Schemamaster, welcher Änderungen am Active Directory
Schema überwacht und
- den Domänennamen-Master, der das Hinzufügen und Entfernen
von Domänen in der Gesamtstruktur übernimmt.
Um diese Betriebsmaster-Rollen einem anderen Domaincontroller der
Gesamtstruktur zu übertragen, was im Falle von längerfristigen
Wartungsarbeiten sinnvoll sein kann, muss der Administrator dies auf
dem Zielcontroller im MMC-SnapIn Active Directory Schema
beziehungsweise Active Directory Domänen und
Vertrauensstellungen anstoßen.
Demgegenüber stehen die drei domänenweiten Betriebsmaster-Rollen
- des RID-Masters, der für die Zuteilung von SID-Blöcken an die
Domaincontroller der Domäne verantwortlich ist,
- der PDC-Emulation, welcher der Replikation auf WindowsNT-BDCs
und der Authentifizierung von Nutzern an Windows 95/98/ME/NT-Clienten
dient und
- des Infrastrukturmasters, der alle Änderungen überwacht, die
domänenex- und -interne Objekte verbinden.
Die letztgenannte Rolle dient also der Anpassung von Objekt-Verweisen,
die domänenübergreifend wirksam werden. Ist etwa ein Domänen-Nutzer
Mitglied einer lokalen Gruppe einer fremden Domain, an der Anpassungen
vorgenommen werden, aktualisiert der Infrastrukturmaster die Verweise
am beziehungsweise zum lokalen Nutzer-Objekt.
Bezüglich der Rollen des Domänennamen- und RID-Masters soll hier noch kurz
auf den Aufbau von SIDs und den Einfluss der beiden Rechner auf diesen
eingegangen werden. Eine SID ist eine eindeutige Zahl, deren eine Hälfte
aus der DomainID besteht und die zweite Hälfte als innerhalb der
Domain eindeutige Zahl durch den RID-Master festgelegt wird. Die
DomainID wird natürlich bei deren Einrichtung festgelegt und durch den
Domainnamemaster als innerhalb der Gesamtstruktur eindeutige Zahl
generiert. Wie sonst auch sei für weiter vertiefende Information auf
die vielseitige Literatur rund um das Thema verwiesen.
Neben der durch den KCC gesteuerten
und automatisch erfolgenden Replikation der Daten zwischen den
Domaincontrollern einer Domäne ist das Backup des Active Directorys im
Rahmen seines Einsatzes als Dienst eine wesentliche Komponente zur
Sicherung des dauerhaften Betriebs. Prinzipiell kann hierzu der
Windows Backup Dienst genutzt werden, hat aber gegenüber Produkten von
Drittanbietern wohl seine Mängel. Ein Sichern der AD-Datenbankdatei
oder des SYSVOL-Ordners ist nicht ausreichend, da das Active Directory
nur durch Rekonstruktion des Registrystandes und sämtlicher
Systemumgebungseinstellungen funktional wieder hergestellt werden
kann. Weiterhin wird bei [KT04] auch auf den Umstand
hingewiesen, dass eine Wiederherstellung einer AD-Sicherung nur
innerhalb des Zeitraumes von 60 Tagen möglich ist, da dies dem
Zeitfenster von zum Löschen markierten Objekten entspricht, wodurch
Inkonsistenzen durch Löschungen entgegen gewirkt werden soll. Außerdem
muss bei Windows 2000 mindestens das Service Pack 2 eingespielt sein,
da mit diesem Fehler in der Backup-API beseitigt wurden. Nach
[Bod05] sei aber darauf hingewiesen, dass im regulären
Betrieb das Zurückstellen einer Sicherung nur im absoluten
Ausnahmefall notwendig sein dürfte. Fällt ein Domaincontroller aus,
wird er neu eingerichtet, erneut in die Domäne eingebunden und der
automatische Replikationsmechanismus bringt die Daten des ADs auf dem
Domaincontroller auf den neuesten Stand. Interessanter ist hingegen
das Zurückstellen versehentlich gelöschter Objekte aus Backups. Dort
ist es zwar prinzipiell denkbar, das Objekt wiederherzustellen,
allerdings werden dabei auch die Zeitstempel des Backupzeitpunkts
wiederhergestellt und die Replikation wird das Restore auf Grund der
aktuelleren Löschung wieder überschreiben. Für solche Zwecke empfiehlt
[Bod05] beispielhaft den "`Aelita Recovery Manager"',
inzwischen im Produktsortiment der Firma "`Quest"' (siehe
[Que05]). Dieser kann sowohl auf einem Server aber auch einer
Administratorenworkstation laufen, wenn diese möglichst immer
verfügbar ist, und stellt beispielsweise die Möglichkeit bereit,
einzelne Objekte wiederherzustellen. Dabei besteht auch die
Möglichkeit die Wiederherstellung mit dem aktuellen Zeitstempel zu
versehen, wodurch diese auch vom Replikationsmechanismus anerkannt
wird. Da es im Umfang dieser Arbeit nicht sinnvoll möglich erscheint,
eine vollständige Backup-Strategie zu untersuchen, sei hier nur auf
den Umstand hingewiesen und für eine Vertiefung auf entsprechende
Literatur verwiesen, die auch in größerem Umfang im
Literaturverzeichnis der Arbeit zu finden ist.
Next: Funktionsebenen
Up: Active Directory im Detail
Previous: DNS und AD
  Contents
Marko Damaschke
2006-03-25