Роли FSMO Active Directory в Windows

В этой статье в основном вы узнаете о ролях гибкой единой основной операции (FSMO) в Active Directory.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   197132

Сводка

Active Directory — это центральный репозиторий, в котором хранятся все объекты предприятия и соответствующие атрибуты. Это иерархическая база данных с поддержкой нескольких мастеров, которая может хранить миллионы объектов. Изменения в базе данных могут обрабатываться в любом контроллере домена (DC) на предприятии независимо от того, подключен или отключен dc от сети.

Многомастерская модель

База данных с несколькими мастерами, например Active Directory, обеспечивает гибкость, позволяющую вносить изменения в любой dc на предприятии. Но он также вводит возможность конфликтов, которые потенциально могут привести к проблемам после репликации данных на остальную часть предприятия. Одновековая Windows конфликтующих обновлений — это наличие алгоритма разрешения конфликтов, который обрабатывает несоответствия в значениях. Это делается путем решения в DC, к которому были написаны последние изменения, который является последним автором выигрывает. Изменения во всех остальных DCs удаляются. Хотя этот метод может быть приемлем в некоторых случаях, иногда конфликты слишком сложно разрешить с помощью последнего метода победы автора. В таких случаях лучше предотвратить конфликт, а не пытаться устранить его после факта.

Для некоторых типов изменений Windows методы предотвращения конфликтов с обновлениями Active Directory.

Одномастерная модель

Чтобы предотвратить конфликтующие обновления в Windows, Active Directory выполняет обновления для определенных объектов одним способом. В односерийной модели обработка обновлений разрешена только одному dc во всем каталоге. Она похожа на роль основного контроллера домена (PDC) в более ранних версиях Windows, таких как Microsoft Windows NT 3.51 и 4.0. В более ранних версиях Windows, PDC отвечает за обработку всех обновлений в заданном домене.

Active Directory расширяет единую модель, найденную в более ранних версиях Windows, включая несколько ролей, а также возможность передачи ролей в любой DC на предприятии. Поскольку роль Active Directory не привязана к единой DC, ее называют ролью FSMO. В настоящее время Windows существует пять ролей FSMO:

  • Хозяин схемы.
  • Мастер именования домена
  • Мастер RID
  • Эмулятор PDC
  • Мастер инфраструктуры

Роль мастера схемы FSMO

Держатель ролей FSMO— это держатель роли dc, ответственный за выполнение обновлений схемы каталогов, то есть контекст именования схемы или LDAP://cn=schema,cn=configuration,dc= <domain> . Это единственный dc, который может обрабатывать обновления схемы каталога. После завершения обновления схемы оно реплицируется из мастера схемы во все другие DCs в каталоге. В каталоге есть только один мастер схемы.

Роль магистра FSMO для имен домена

Мастером именования домена для роли FSMO является dc, ответственный за внесение изменений в пространство имен доменных имен в лесу каталога, то есть контекст именования разделов\Конфигурация или LDAP://CN=Partitions, CN=Configuration, DC= <domain> . Это единственный домен, который может добавлять или удалять домен из каталога. Он также может добавлять или удалять перекрестные ссылки на домены во внешних каталогах.

Роль master FSMO RID

Держатель роли master FSMO RID — это единственный dc, отвечающий за обработку запросов пула RID из всех DCs в заданном домене. Он также отвечает за удаление объекта из домена и его размещение в другом домене во время перемещения объекта.

Когда dc создает основной объект безопасности, например пользователь или группа, он прикрепит к объекту уникальный ИД безопасности (SID). Этот SID состоит из:

  • Sid домена, который является одинаковым для всех СИД, созданных в домене.
  • Относительный ID (RID), уникальный для каждого основного сида безопасности, созданного в домене.

Каждому Windows dc в домене выделяется пул РИД, который разрешено назначать создамые им принципы безопасности. Если выделенный пул RID в DC опускается ниже порогового значения, dc выдает запрос на дополнительные riD-решения мастеру RID домена. Мастер rid домена отвечает на запрос, ирисуя RID из неуловимого пула RID домена, и назначает их пулу запрашиваемого DC. В каталоге есть один мастер RID для каждого домена.

Роль FSMO эмулятора PDC

Эмулятор PDC необходим для синхронизации времени на предприятии. Windows включает службу времени W32Time (Windows время), требуемую протоколом проверки подлинности Kerberos. Все Windows компьютеры на предприятии используют общее время. Цель службы времени — убедиться, что служба Windows времени использует иерархическую связь, контролируемую полномочиями. Это не позволяет циклам обеспечить надлежащее общее использование времени.

Эмулятор PDC домена является авторитетным для домена. Эмулятор PDC в корне леса становится авторитетным для предприятия и должен быть настроен для сбора времени из внешнего источника. Все держатели ролей PDC FSMO следуют иерархии доменов при выборе своего связанного партнера по времени.

В домене Windows роль эмулятора PDC сохраняет следующие функции:

  • Изменения пароля, внесенные другими DCs в домене, реплицированы преимущественно в эмулятор PDC.
  • При сбоях проверки подлинности в том или ином dc из-за неправильного пароля сбои перенаправляются в эмулятор PDC перед сообщением о сбое неправильного пароля пользователю.
  • Блокировка учетной записи обрабатывается в эмуляторе PDC.
  • Эмулятор PDC выполняет все функции, которые Windows NT 4.0 Серверный PDC или более ранний PDC выполняет для Windows NT 4.0 или более ранних клиентов.

Эта часть роли эмулятора PDC становится ненужной в следующей ситуации:
Все рабочие станции, серверы членов и контроллеры доменов, работающие Windows NT 4.0 или более ранних, обновлены до 2000 Windows 2000.

Эмулятор PDC по-прежнему выполняет другие функции, описанные в Windows 2000.

В следующих сведениях описываются изменения, которые происходят в процессе обновления:

  • Windows клиенты (рабочие станции и серверы-члены) и клиенты на уровне ниже уровня, которые установили клиентский пакет распределенных служб, не выполняют каталог записей (например, изменения паролей) в dc, рекламируемом как PDC. Они используют любой DC для домена.
  • После обновления контроллеров доменов резервного копирования (BDCs) в доменах с Windows 2000 г. эмулятор PDC не получает запросов на реплику на уровне ниже уровня.
  • Windows (рабочие станции и серверы-члены) и клиенты на уровне, которые установили клиентский пакет распределенных служб, используют Active Directory для поиска сетевых ресурсов. Они не требуют службы Windows NT браузера.

Роль магистра инфраструктуры FSMO

Если объект в одном домене ссылается на другой объект в другом домене, он представляет ссылку по:

  • The GUID
  • SID (для ссылок на принципы безопасности)
  • DN объекта, на который ссылается

Держатель ролей FSMO инфраструктуры — это dc, ответственный за обновление SID объекта и его отличительное имя в ссылке на объект с перекрестным доменом.

Примечание

Роль Мастера инфраструктуры (IM) должна быть у dc, которая не является сервером глобального каталога (GC). Если мастер инфраструктуры работает на сервере глобального каталога, он прекратит обновление сведений об объектах, так как не содержит ссылок на объекты, которые он не удерживает. Это потому, что сервер глобального каталога содержит частичную реплику каждого объекта в лесу. В результате ссылки на объекты меж домена в этом домене не будут обновляться, и в журнал событий DC будет входить предупреждение об этом.

Если все DCs в домене также имеют глобальный каталог, все DCs имеют текущие данные. Не важно, какая dc-компания занимает главную роль в инфраструктуре.

При включении необязательной функции Recycle Bin каждый dc несет ответственность за обновление ссылок на объекты с перекрестным доменом при перемещении, переименовании или удалении ссылок на ссылаемого объекта. В этом случае не существует задач, связанных с ролью инфраструктуры FSMO. И не важно, какой контроллер домена владеет ролью Мастер инфраструктуры. Дополнительные сведения см. в 6.1.5.5.5 Infrastructure FSMO Role.