Роли FSMO службы Active Directory в Windows 2000
Служба каталогов Active Directory в Microsoft Windows 2000 представляет собой центральное хранилище для всех объектов организации и соответствующих им атрибутов. Microsoft Corporation
🕛 14.11.2005, 01:28
Аннотация Служба каталогов Active Directory в Microsoft Windows 2000 представляет собой центральное хранилище для всех объектов организации и соответствующих им атрибутов. Эта база данных имеет иерархическую структуру, она способна поддерживать несколько ведущих узлов и вмещать миллионы объектов. Поддержка нескольких ведущих узлов позволяет изменять базу данных с любого контроллера домена в пределах организации вне зависимости от состояния его подключения к сети.
Дополнительная информация
Модель поддержки нескольких ведущих узлов в Windows 2000
База данных с поддержкой нескольких ведущих узлов (например, Active Directory) принимает изменения от любого контроллера домена в пределах организации, что потенциально может привести к возникновению конфликтов при репликации данных на остальные компьютеры. В качестве одного из методов устранения конфликтующих обновлений в Windows 2000 используется алгоритм «преимущество имеет запись, сделанная последней», в соответствии с которым принимается значение данных от измененного последним контроллера домена и отбрасываются значения на остальных контроллерах домена. Однако некоторые конфликты насколько сложны, что не могут быть решены таким способом. Их проще предотвратить, чем устранять постфактум.
Обработка некоторых типов изменений в Windows 2000 осуществляется методами, которые не позволяют возникать конфликтующим обновлениям Active Directory.
Модель поддержки одного ведущего узла в Windows 2000
Чтобы предотвратить возникновение конфликтующих обновлений, Active Directory использует для обработки изменений определенных объектов модель с поддержкой одного ведущего узла. В соответствии с этой моделью только один контроллер домена имеет право вносить обновления. Это похоже на роль, которую выполнял основной контроллер домена (PDC) в ранних версиях Windows (например, Windows NT 3.51 и 4.0), обрабатывая все обновления в определенном домене.
В Active Directory для Windows 2000 расширенная модель с одним ведущим узлом включает поддержку нескольких ролей и возможность передавать роли другим контроллерам в рамках домена. Поскольку роли Active Directory жестко не привязаны к одному контроллеру домена, их называют ролями FSMO (Flexible Single Master Operation, или операции одиночного гибкого хозяина). В Windows 2000 существует пять ролей FSMO:
хозяин схемы
хозяин именования домена
хозяин RID
эмулятор основного контроллера домена
хозяин инфраструктуры
Роль FSMO «Хозяин схемы»
Контроллер домена, выполняющий роль хозяина схемы, отвечает за обновление схемы каталога (т. е. контекста присвоения имен схемы или LDAP://cn=schema,cn=configuration,dc=<домен>). Вносить изменения в схему каталога может только этот контроллер домена. После обработки обновлений они реплицируются от хозяина схемы на другие контроллеры домена. В каталоге может быть только один хозяин схемы.
Роль FSMO «Хозяин именования домена»
Контроллер домена, выполняющий роль хозяина именования домена, отвечает за изменение пространства имен домена для каталога в рамках леса (т. е. контекста именования «разделы\конфигурация» или LDAP://CN=Partitions, CN=configuration, DC=<домен>). Только этот контроллер имеет право удалять и добавлять домены в каталог. Кроме того, он добавляет и удаляет перекрестные ссылки на домены во внешних каталогах.
Роль FSMO «Хозяин RID»
Контроллер домена, выполняющий роль хозяина RID, отвечает за обработку запросов пула RID от остальных контроллеров в рамках определенного домена, а также удаление объектов из домена и помещение их в другой домен.
Когда контроллер домена создает основной объект-участник безопасности (например, пользователя или группу), он назначает ему идентификатор защиты (SID). Этот идентификатор состоит из SID домена (единый для всех идентификаторов защиты, созданных в одном домене) и относительного идентификатора (RID) (уникальный для каждого участника безопасности, созданного в одном домене).
Каждый контроллер домена Windows 2000 в домене имеет пул относительных идентификаторов (RID), которые он может назначать создаваемым участникам безопасности. Когда количество RID в пуле контроллера домена снижается ниже порогового значения, он запрашивает у хозяина RID новые идентификаторы. Хозяин RID извлекает идентификаторы из нераспределенного пула домена и назначает их в пул запрашивающего контроллера домена. В каждом домене каталога существует только один хозяин RID.
Роль FSMO «Эмулятор основного контроллера домена»
Эмулятор основного контроллера домена необходим для синхронизации времени в рамках организации. В состав Windows 2000 входит служба времени W32Time (время Windows), которую использует протокол проверки Kerberos. Все компьютеры под управлением Windows 2000 в рамках одной организации используют общее время. Предотвращая зацикливание, служба времени обеспечивает использование правильного общего времени.
Эмулятор PDC действует в рамках домена. Эмулятор PDC в корне леса распространяет свое влияние на всю организацию и должен получать время из внешнего источника. При выборе источника времени обладатели роли эмулятора PDC следуют иерархии доменов.
В домене Windows 2000 эмулятор PDC выполняет следующие функции.
Произведенные другими контроллерами домена изменения паролей в первую очередь реплицируются на эмулятор PDC.
Перед выводом соответствующего сообщения об ошибке попытки использования неправильного пароля при прохождении проверки на определенном контроллере домена докладываются эмулятору PDC.
Эмулятор PDC обрабатывает случаи блокирования учетных записей.
Эмулятор PDC теряет свое значение, если все рабочие станции, рядовые серверы и контроллеры домена нижнего уровня обновляются до Windows 2000. В этом случае справедливы следующие утверждения.
Клиенты Windows 2000 (рабочие станции и рядовые серверы), а также клиенты нижнего уровня, на которых установлен клиентский пакет распределенных служб, не отдают при выполнении записей в каталог (например, изменений пароля) предпочтения контроллеру домена, объявившему себя PDC, а используют для этого любой контроллер домена.
После обновления до уровня Windows 2000 резервных контроллеров (BDC) в доменах нижнего уровня эмулятор PDC перестает получать запросы на репликацию с нижнего уровня.
Клиенты Windows 2000 (рабочие станции и рядовые серверы), а также клиенты нижнего уровня, на которых установлен клиентский пакет распределенных служб, используют Active Directory для определения сетевых ресурсов. Им не нужна служба обозревателя Windows NT.
Роль FSMO «Хозяин инфраструктуры»
Ссылка на объект одного домена в объекте другого домена определяется идентификатором GUID, SID (для участников безопасности) и различающимся именем (DN) объекта. Контроллер домена, выполняющий роль хозяина инфраструктуры, отвечает за обновление идентификаторов защиты и различающихся имен объектов в междоменных объектных ссылках.
Примечание. Роль хозяина инфраструктуры не должна выполняться контроллером домена, который является сервером глобального каталога. В противном случае хозяин инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылок на объекты, которых не хранит. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу. В результате междоменные объектные ссылки в этом домене обновляться не будут, а в журнале событий данного контроллера домена появится соответствующее предупреждение.
Информация в данной статье применима к:
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server