Роли FSMO Active Directory в Windows

Эта статья помогает узнать о ролях Flexible Single Master Operation (FSMO) в Active Directory.

Применимо к:   Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Оригинальный номер базы знаний:   197132

Сводка

Active Directory — это центральный репозиторий, в котором хранятся все объекты предприятия и соответствующие им атрибуты. Это иерархическая база данных с поддержкой нескольких источников, способная хранить миллионы объектов. Изменения в базе данных могут обрабатываться на любом контроллере домена (DC) корпорации, независимо от того, подключен ли контроллер домена к сети.

Модель с поддержкой нескольких источников

Базы данных с поддержкой нескольких источников, такие как Active Directory, обеспечивают гибкость, позволяя вносить изменения на любом контроллере домена корпорации. Тем не менее, это может приводить к возникновению конфликтов, из-за которых возможны проблемы после репликации данных на оставшиеся части корпорации. Один из способов разрешения конфликтных обновлений в Windows является наличие алгоритма, обрабатывающего несоответствия в значениях. Это выполняется разрешением контроллера домена, в котором были внесены последние изменения, то есть методом сохранения изменений, внесенных последним. Изменения, внесенные остальными контроллерами домена, игнорируются. Несмотря на то, что этот метод может быть приемлемым в некоторых случаях, иногда конфликты слишком сложны для того, чтобы разрешить их методом сохранения изменений, внесенных последним. В таких случаях лучше предотвратить конфликт, а не пытаться устранить его после возникновения.

Для определенных типов изменений Windows использует методы для предотвращения возникновения конфликтующих обновлений Active Directory.

Модель с одним источником

Для предотвращения конфликтующих обновлений в Windows, для определенных объектов Active Directory выполняет обновления с использованием одного источника. В модели с одним источником, только один контроллер домена в директории может обрабатывать обновления. Это похоже на роль основного контроллера домена (PDC) в более ранних версиях Windows, таких как Microsoft Windows NT 3.51 и 4.0. В более ранних версиях Windows PDC отвечает за обработку всех обновлений для указанного домена.

Active Directory расширяет модель с одним источником из более ранних версий Windows, добавляя поддержку нескольких ролей и возможность передачи переноса ролей любому контроллеру домена корпорации. Так как роль Active Directory не привязана к одному контроллеру домена, она называется ролью FSMO. В настоящее в Windows существует пять ролей FSMO:

  • Хозяин схемы.
  • Хозяин именования доменов
  • Хозяин RID
  • Эмулятор PDC
  • Хозяин инфраструктуры

Как правило, обладание ролью FSMO выполняется только в том случае, если контроллер домена реплицировал контекст наименования (NC), в котором хранится обладание с момента запуска службы каталогов. Перед использованием роли убедитесь, что захват роли FSMO достигает предыдущего владельца.

Роль FSMO хозяина схемы

Владельцем роли FSMO хозяина схемы является контроллер домена, отвечающий за внесение обновлений в схему каталога, то есть контекст наименования схемы или LDAP://cn=schema,cn=configuration,dc=<domain>. Это единственный контроллер домена, который может обрабатывать обновления схемы каталога. После завершения обновления схема реплицируется из хозяина схемы во все остальные контроллеры домена каталога. В каждом лесу имеется только один хозяин схемы.

Требования к начальной репликации и подключению

  • Этот владелец роли FSMO активен только в том случае, если с момента запуска службы каталогов владелец роли успешно выполнил входящую репликацию схемы контекста именования.
  • Контроллеры домена и элементы леса обращаются к роли FSMO только при обновлении схемы.

Роль FSMO хозяина именования доменов

Владелец роли FSMO хозяина именования доменов — это котроллер домена, отвечающий за внесение изменений в пространство доменных имен каталога на уровне леса, то есть контекст именования Partitions\Configuration или LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Это единственный контроллер домена, который может добавлять или удалять домены из каталога. Также он может добавлять или удалять перекрестные ссылки на домены во внешних каталогах.

Требования к начальной репликации и подключению

  • Этот владелец роли FSMO активен только в том случае, если с момента запуска службы каталогов владелец роли успешно выполнил входящую репликацию конфигурации контекста именования.

  • Члены домена леса обращаются к владельцу роли FSMO только при обновлении перекрестных ссылок. Контроллеры домена обращаются к владельцу роли FSMO в следующих случаях:

    • Домены добавляются или удаляются в лесу.
    • Добавляются новые экземпляры разделов каталогов приложений на контроллерах домена. Например, DNS-сервер был включен в список разделов каталогов приложений DNS по умолчанию.

Роль FSMO хозяина RID

Владелец роли FSMO хозяина RID — это единый контроллер домена, отвечающий за обработку запросов пула RID от всех контроллеров домена в указанном домене. Он также отвечает за удаление объекта из своего домена и помещение его в другой домен во время перемещения объекта.

Если контроллер домена создает объект субъекта безопасности, например пользователя или группу, он присоединяет к объекту уникальный идентификатор безопасности (SID). Этот идентификатор безопасности включает:

  • Идентификатор безопасности домена, одинаковый для всех идентификаторов безопасности, созданных в домене.
  • Относительный идентификатор (RID), уникальный для каждого идентификатора безопасности субъекта безопасности, созданного в домене.

Каждому контроллеру домена Windows в домене выделяется пул относительных идентификаторов (RID), которые разрешено назначать созданным субъектам безопасности. Если выделенный пул RID контроллера домена оказывается ниже порогового значения, контроллер домена выполняет запрос дополнительных идентификаторов RID к хозяину RID в домене. Хозяин RID в домене отвечает на запрос, извлекая идентификаторы RID из невыделенного пула RID домена и назначая их пулу запрашивающего контроллера домена. Для каждого домена в каталоге имеется один хозяин RID.

Требования к начальной репликации и подключению

  • Этот владелец роли FSMO активен только в том случае, если он успешно выполняет входящую репликацию доменного контекста именования с момента запуска службы каталогов.
  • Контроллеры домена обращаются к владельцу роли FSMO при извлечении нового пула RID. Новый пул RID доставляется контроллерам домена через репликацию AD.

Роль FSMO эмулятора PDC

Эмулятор PDC необходим для синхронизации времени на предприятии. Windows включает в себя W32Time, службу времени, используемую протоколом проверки подлинности Kerberos. Все компьютеры под управлением Windows на предприятии используют единое время. Цель службы времени Windows — обеспечить использование иерархических отношений, управляющих полномочиями. Она не позволяет циклам обеспечить надлежащее использование единого времени.

Эмулятор PDC домена является полномочным для домена. Эмулятор PDC в корне леса становится полномочным для предприятия и должен быть настроен на получение времени из внешнего источника. Все владельцы роли PDC FSMO следуют иерархии доменов при выборе партнера по входящему времени.

В домене Windows владелец роли эмулятора PDC сохраняет следующие функции:

  • Изменения паролей, внесенные другими контроллерами домена в домене, реплицируются преимущественно в эмулятор PDC.
  • Если в заданном контроллере домена происходят сбои проверки подлинности из-за неправильного пароля, сбои перенаправляются в эмулятор PDC перед тем, как пользователю будет отправлено сообщение о сбое из-за неправильного пароля.
  • Блокировка учетной записи обрабатывается в эмуляторе PDC.
  • Эмулятор PDC выполняет все функции, которые PDC под управлением Windows NT 4.0 или более ранней версии выполняет для клиентов под управлением Windows NT 4.0 или более ранней версии.

Эта часть роли эмулятора PDC становится ненужной в следующих ситуациях:
Все рабочие станции, рядовые серверы и контроллеры домена, работающие под управлением Windows NT 4.0 или более ранней версии, обновлены до Windows 2000.

Эмулятор PDC по-прежнему выполняет другие функции, описанные в среде Windows 2000.

Ниже описаны изменения, которые происходят в процессе обновления:

  • Клиенты Windows (рабочие станции и рядовые серверы) и клиенты нижнего уровня, которые установили клиентский пакет распределенных служб, не выполняют операции записи в каталог (например, изменения паролей) преимущественно в контроллере домена, который объявляет себя PDC. Они используют любой контроллер домена для домена.
  • После обновления резервных контроллеров домена (BDC) в доменах нижнего уровня до версии Windows 2000 эмулятор PDC не получает запросов на создание реплик более нижнего уровня.
  • Клиенты Windows (рабочие станции и рядовые серверы) и клиенты нижнего уровня, которые установили клиентский пакет распределенных служб, используют Active Directory для поиска сетевых ресурсов. Для них не требуется служба браузера Windows NT.

Требования к начальной репликации и подключению

  • Этот владелец роли FSMO всегда активен, если эмулятор PDC находит атрибут fSMORoleOwner доменного контекста именования, указывающий на себя. Требования к входящей репликации отсутствуют.

  • Контроллеры домена обращаются к владельцу роли FSMO, если у них есть новый пароль или при сбое проверки локального пароля. Ошибка не возникает, если не удается получить доступ к эмулятору PDC или если для параметра реестра AvoidPdcOnWan установлено значение 1.

  • Следующий командлет можно использовать для проверки предварительных требований для понижения уровня контроллера домена.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl
    

    Ниже приведен пример выходных данных, когда не удается получить доступ к эмулятору PDC.

    Сообщение: сбой проверки предварительных требований для повышения уровня контроллера домена. Вы указали, что этот контроллер домена Active Directory не является последним в домене "contoso.com". Однако с другим контроллером домена для этого домена нельзя связаться. Продолжение приведет к потере всех изменений в доменных службах Active Directory, внесенных на этом контроллере домена. Для продолжения укажите параметр IgnoreLastDCInDomainMismatch.
    Контекст: Test.VerifyDcPromoCore.DCPromo.General.50
    Требование перезагрузки: False
    Состояние: ошибка

Роль FSMO хозяина инфраструктуры

Если на объект в одном домене ссылается другой объект в другом домене, он представляет ссылку по:

  • Идентификатору GUID
  • Идентификатору безопасности (для ссылок на субъекты безопасности)
  • DN объекта, на который указывает ссылка

Владелец роли FSMO инфраструктуры — это контроллер домена, отвечающий за обновление идентификатора безопасности и различающегося имени объекта в ссылке на междоменный объект.

Примечание

Роль главного хозяина инфраструктуры (IM) должен выполнять контроллер домена, который не является сервером глобального каталога (GC). Если хозяин инфраструктуры работает на сервере глобального каталога, он перестает обновлять сведения об объектах, так как не содержит ссылок на объекты, которые не хранит. Это связано с тем, что сервер глобального каталога хранит частичные реплики всех объектов в лесу. В результате ссылки на междоменные объекты в этом домене не будут обновлены, а в журнале событий этого контроллера домена будет зарегистрировано соответствующее предупреждение.

Если все контроллеры домена в домене также размещают глобальный каталог, в этом случае они располагают текущими данными. Не имеет значения, какой контроллер домена выполняет роль хозяина инфраструктуры.

Если включен необязательный компонент использования корзины, каждый контроллер домена отвечает за обновление ссылок на междоменные объекты при перемещении, переименовании или удалении указанного объекта. В этом случае нет задач, связанных с ролью FSMO инфраструктуры. И не важно, какой контроллер домена выполняет роль хозяина инфраструктуры. Дополнительные сведения см. в разделе 6.1.5.5 Роль FSMO инфраструктуры.

Требования к начальной репликации и подключению

  • Этот владелец роли FSMO активен только в том случае, если он успешно выполняет входящую репликацию доменного контекста именования с момента запуска службы каталогов.
  • Для этого владельца роли FSMO не требуется подключение. Это внутренняя функция очистки леса.