Serverrollen

Computer, die in einer Domäne als Server eingesetzt werden, können eine von zwei Rollen übernehmen:
Mitgliedsserver oder Domänencontroller. Ein Server, der keiner Domäne angehört, wird als eigenständiger Server bezeichnet.

Mitgliedsserver

Ein Mitgliedsserver weist folgende Eigenschaften auf:

  • Er wird unter einem Betriebssystem der Windows 2000 Server-Produktfamilie oder der Windows Server 2003-Produktfamilie ausgeführt

  • Ein Mitgliedsserver gehört einer Domäne an.
  • Ein Mitgliedsserver ist kein Domänencontroller

Ein Mitgliedsserver verarbeitet keine Anmeldungen von Benutzerkonten, ist nicht an der Active Directory-Replikation beteiligt und speichert keine Informationen zu Sicherheitsrichtlinien für Domänen.
Mitgliedsserver fungieren in der Regel als folgende Typen von Servern:

  • Dateiserver

  • Anwendungsserver (SQL, Exchange, ...)
  • Datenbankserver
  • Webserver
  • Zertifikatserver
  • Terminalserver
  • Firewalls und RAS-Server.

Weitere Informationen zu Serverrollen finden Sie unter Serverfunktionen.

Die folgenden Sicherheitsfunktionen sind bei allen Mitgliedsservern vorhanden:

  • Mitgliedsserver unterliegen den für den Standort, die Domäne oder die Organisationseinheit aufgestellten Gruppenrichtlinieneinstellungen.

  • Zugriffssteuerung für die auf einem Mitgliedsserver verfügbaren Ressourcen.

  • Benutzern von Mitgliedsservern sind Benutzerrechte zugewiesen.

  • Mitgliedsserver verfügen über eine Datenbank für lokale Sicherheitskonten, die so genannte Sicherheitskontenverwaltung (Security Accounts Manager, SAM).
Domänencontroller

Ein Domänencontrollercomputer weist folgende Eigenschaften auf:

  • Er wird unter einem Betriebssystem der Windows 2000 Server-Produktfamilie oder der Windows Server 2003-Produktfamilie ausgeführt.

  • Er verwendet Active Directory zum Speichern einer Lese-/Schreibkopie der Domänendatenbank, ist an der Multimasterreplikation beteiligt und authentifiziert Benutzer.

Domänencontroller dienen zur Speicherung von Verzeichnisdaten und zur Verwaltung der Kommunikation zwischen Benutzern und Domänenn, darunter Benutzeranmeldungen, Authentifizierung und Suchvorgänge in Verzeichnissen. Domänencontroller synchronisieren Verzeichnisdaten mithilfe der Multimasterreplikation und garantieren die Konsistenz von Daten. Weitere Informationen zur Multimasterreplikation finden Sie unter Übersicht über die Replikation.

Active Directory unterstützt die Multimasterreplikation von Verzeichnisdaten zwischen allen Domänencontrollern in einer Domäne. Die Multimasterreplikation ist jedoch nicht für jede Replikation von Verzeichnisdaten geeignet. In diesem Fall verarbeitet ein Domänencontroller, der so genannte Betriebsmaster die Daten. In einer Active Directory-Gesamtstruktur gibt es mindestens fünf verschiedene Betriebsmasterrollen, die einem oder mehreren Domänencontrollern zugewiesen werden.

Wenn sich die Anforderungen der Computerumgebung ändern, möchten Sie u. U. auch die Funktion eines Servers ändern. Mit dem Assistenten zum Installieren von Active Directory können Sie Active Directory auf einem Mitgliedsserver installieren, um ihn zu einem Domänencontroller zu machen, oder Sie können Active Directory von einem Domänencontroller entfernen, um ihn zu einem Mitgliedsserver zu machen.

Betriebsmasterrollen

In einer Windows-2000-Domäne sind alle Domänencontroller (DCs) gleichberechtigt, sie fungieren als Peers. Im Unterschied zu NT4 kann bei Windows 2000/2003 eine Verzeichnisänderung auf jedem DC durchgeführt werden. Die Multimasterreplikation sorgt dann dafür, dass diese Änderungen auf alle DCs der Domäne kopiert werden.

Es gibt jedoch einige DCs, die allein für bestimmte Änderungen zuständig sind. Diese speziellen Server-Rollen werden unter dem Begriff 'Betriebsmaster' (operation masters) zusammengefasst, machmal liest man auch FSMO (Flexible single operation master, gesprochen 'Fismo'). Es gibt zwei gesamtstrukturweite FISMOs, d.h. die Replikation dieser FISMOs untereinander efolgt gesamtstrukturweit:

1x pro Forest

Schema Master

Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank.
Domänennamen-Master

Er kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur.
Zusätzlich gibt es drei domänenweite FISMOs:

 
1x pro Domäne
RID-Master

Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen mit der SID. SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID.

PDC-Emulator

Übernimmt die Rolle des PDC in einem Windows 2000/2003-Netz, das auch andere nicht-Windows 2000/XP-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.

Infrastruktur-Master

Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.