Роли мастера операций

Большая часть функций контроллеров домена в Windows 2000 и Windows Server 2003 создана для работы в распределенной среде с несколькими хозяевами, в резуль­тате чего устраняется нерезервированная точка отказа, присущая Windows NT с PDC. Но все-таки пять функций все так же требуют использования одного сервера, по­скольку их функции не совместимы с распределенным подходом. Эти роли мастера операций (Operations Master — OM), известные еще как гибкие операции с одним мас­тером (Flexible Single Master Operations — FSMO), можно описать следующим образом:

  • Мастер схемы (Schema master). В одном лесе AD существует только одна главная копия схемы AD с разрешением записи в нее. Это сделано специально, чтобы ог­раничить доступ к схеме и минимизировать потенциальные конфликты реплика­ции. Во всем лесе службы Active Directory может быть только один мастер схемы.
  • Мастер именования доменов (Domain naming master). Мастер именования доменов отвечает за добавление доменов в лес Active Directory. Эта роль OM должна быть помещена в сервер глобального каталога, поскольку для ее работы требуются записи для всех доменов и объектов. В лесе может быть только один мастер именования доменов.
  • Эмулятор PDC (PDC emulator). Эмулятор PDC делает именно то, на что указы­вает его название: обслуживает низкоуровневые клиенты, выполняя функции, которые в NT выполнял главный контроллер домена. При работе в собствен­ных режимах Windows 2000 или Windows Server 2003 эти функции не нужны. Важно отметить, что при выходе из строя сервера, эмулирующего PDC, у любо­го клиента низкого уровня возникнут проблемы с доменными функциями (как если бы отказал PDC в системе NT). В каждом домене Active Directory может быть только одна роль эмулятора PDC.
  • Мастер RID (RID master). Все объекты в Active Directory, которым могут быть предоставлены полномочия, однозначно идентифицируются идентификатора­ми безопасности (Security ID — SID). Каждый SID состоит из SID домена, кото­рый одинаков для всех объектов одного домена, и относительного идентифика­тора (Relative ID — RID), который уникален для каждого объекта этого домена. Назначая SID, контроллер домена должен иметь возможность назначать соот­ветствующий RID из пула, который он получает от мастера RID. Когда этот пул будет исчерпан, он затребует у мастера RID еще один пул. Если мастер RID не работоспособен, вы не сможете создавать новые объекты в своем домене, когда конкретный контроллер домена израсходует выделенный ему пул идентифика­торов RID. В каждом домене Active Directory имеется только один мастер RID .
  • Мастер инфраструктуры (Infrastructure master) — Мастер инфраструктуры управляет ссылками на объекты домена за пределами собственного домена. Другими словами, DC в одном домене содержит список всех объектов собственного домена плюс список ссылок на другие объекты из других доменов леса. Ес­ли объект, на который имеется ссылка, изменяется, мастер инфраструктуры учитывает эти изменения. Поскольку мастер инфраструктуры имеет дело толь­ко со ссылками на объекты и не копирует сами эти объекты, он не должен нахо­диться на сервере глобального каталога в средах с несколькими доменами. Ис­ключениями являются случаи, когда каждый контроллер домена является сер­вером глобального каталога, и среда с единственным доменом. В первом случае ссылки на объекты других доменов не нужны, так как доступны их полные ко­пии. Во втором случае роль мастера инфраструктуры не используется, посколь­ку все копии объектов являются локальными по отношению к домену.
  • Перенос роли OM в другой контроллер домена — при аварийном восстановления или просто для целей проектирования — достигается двумя методами. Первый метод исполь­зует функцию мастера изменений схемы (Change Schema Master) оснастки схемы Active Directory. Но в случаях аварийного восстановления из-за отказа мастера схемы, мастера именования доменов или мастера RID и недоступности резервных копий роли OM могут быть выполнены с помощью средства командной строки ntdsutil. Имейте в виду, что эту утилиту следует использовать только в чрезвы­чайных случаях, и ни в коем случае не возвращать старый сервер OM в домен в опера­тивном режиме, так как при этом в системе могут возникнуть серьезные конфликты.

    Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

    Оставить комментарий

    Вы должны быть авторизованы, чтобы разместить комментарий.