Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
На протяжении этой серии статей я рассказал вам, что Active Directory состоит из лесов, которые наполнены деревьями доменов, и что по названию каждого домена можно определить его место внутри леса. Представив такую иерархическую природу Active Directory, легко можно предположить, что домены, которые расположены в вершине этой иерархии (или что контроллеры доменов внутри этих доменов) наиболее важные. На самом деле это необязательно так. В этой статье я расскажу о правилах, которым подчиняются контроллеры домена внутри леса Active Directory.
Ранее в этой серии я рассказывал о том, как реализованы домены в операционной системе Windows NT. Также как и домены Active Directory, домены Windows NT поддерживали использование нескольких контроллеров домена. Помните, что контроллеры домена отвечают за аутентификацию пользователей. Поэтому, если контроллер домена не доступен, то никто не сможет зайти в сеть. Специалисты компании Microsoft поняли это достаточно рано и разработали, чтобы в операционной системе Windows поддерживалось несколько контроллеров домена, на то случай, если один из контроллеров выйдет из строя, для аутентификации пользователей будет доступен другой контроллер домена. Использование нескольких контроллеров домена, позволяет также распределить работу, которая требует вмешательства контроллера домена между несколькими компьютерами, и снизить нагрузку на один конкретный сервер.
Хотя в операционной системе Windows NT поддерживается работа с несколькими контроллерами домена внутри домена, один из этих контроллеров домена необходимо было считать более важным, чем другие. Он был известен, как основной контроллер домена (Primary Domain Controller или PDC). Как вы помните, на контроллере домена содержится база данных всех учетных записей пользователей внутри домена (наряду с другими вещами). Эта база данных называется менеджером безопасности учетных записей (Security Accounts Manager или SAM).
В операционной системе Windows NT на PDC хранилась главная копия базы данных. Другие контроллеры домена внутри домена в операционной системе Windows NT назывались резервными контроллерами домена (Backup Domain Controllers или BDC). Каждый раз, когда необходимо сделать изменение в базе данных контроллера домена, это изменение также должно было записано в PDC. Затем PDC должен был скопировать это изменение на все BDC в домене. В обычных обстоятельствах PDC был единственным контроллером домена в домене Windows NT domain, для которого необходимо было устанавливать обновления, касающиеся контроллеров домена. Если PDC переставал работать, существовал способ представить BDC в качестве PDC, в результате чего этот контроллер домена работал в качестве единственного PDC.
Домены Active Directory устроены немного сложнее. Active Directory использует модель Multi master replication (копирование на нескольких мастеров). Это означает, что каждый контроллер домена внутри домена открыт для записи. Не существует больше концепции PDC и BDC. Если администратору необходимо сделать изменение в базе данных Active Directory database, то это изменение происходит на любом котроллере домена в домене, а затем копируется на все остальные контроллеры домена.
Хотя модель multimaster replication model и звучит, как очень неплохая идея, она открывает дорогу для противоречащих изменений. Например, что случиться, если два различных администратора применят два противоречащих изменения на двух различных контроллера домена одновременно?
В большинстве случаев Active Directory предполагает, что самые последние изменения имеют наивысший приоритет и правильность. В некоторых случаях последовательность конфликтов является слишком серьезной, чтобы всех их разрешить. В таких случаях, Microsoft взяла за основу такую позицию, что лучше предупредить появление конфликта в первый раз, чем потом попытаться разрешить его после того, как он уже произошел.
Для обработки таких ситуаций компания Windows придумала назначить определенным контроллерам доменов выполнение ролей Flexible Single Master Operation или FSMO. Обычно это значит, что домены Active Directory полностью поддерживают модель multimaster replication except за исключением некоторых случаев, в которых домен возвращается к использованию модели single master replication model. Существует три различных роли FSMO, которые назначаются на уровне домена, а также две дополнительные роли, которые назначаются на уровне леса.
В большинстве случаев роли FSMO сами о себе заботятся. Однако вам очень важно знать, на каких контроллерах доменов размещаются эти роли. По умолчанию первый контроллер домена в лесу содержит все пять ролей. Когда создаются дополнительные домены, первый контроллер домена в каждом домене получает все три роли FSMO уровня домена.
Причина, по которой важно знать, на каком контроллере домена располагаются эти роли, заключается в том, что аппаратное обеспечение, в конечном счете, устаревает и становится непригодным. Однажды я видел ситуацию, когда сетевой администратор собирался установить сеть Active Directory для своей компании. Ожидая прибытия новых заказанных серверов, администратор установил Windows на устаревший компьютер, чтобы попробовать новые различные инструменты управления Active Directory.
Когда, наконец, прибыли новые сервера, администратор настроил их в качестве контроллеров домена в уже созданном домене, вместо того, чтобы создать новый лес. Конечно, это означало, что на устаревшем компьютере размещались роли FSMO для домена в лесу. Все работало великолепно до тех пор, пока администратор не решил удалить устаревший компьютер из сети. Хотя он и правильно удалил этот сервер, возникли проблемы. Администратор был неопытным, поэтому просто отформатировал жесткий диск устаревшего компьютера. Вдруг неожиданно в Active Directory начало возникать огромное количество проблем. Если бы этот администратор понимал, что на компьютере, который он удалил из домена, размещались роли FSMO для домена и для леса, то этой проблемы можно было бы избежать. В связи с этим, для ситуации, подобной данной, есть способ для захвата ролей с устаревшего сервера, чтобы ваша сеть смогла нормально работать дальше.
Более подробно о специфических функциях ролей FSMO я расскажу в следующей статье из этой серии. Однако, я хочу быстро упомянуть, что это за роли. Как вы, наверно, помните, я упоминал, что есть три роли, специфичные для домена, и две роли, специфичные для леса.
Роли, специфичные для домена, включают в себя Relative identifier (относительный идентификатор), Primary Domain Controller Emulator (эмулятор основного контроллера домена) и Infrastructure Master (мастер инфраструктуры). Роли уровня леса (forest level role) включают в себя Schema Master (мастер схемы) и Domain Naming master (мастер наименования домена). Ниже приводится краткое описание того, что делают эти роли:
Schema Master: поддерживает официальную копию схемы базы данных Active Directory database schema.
Domain Naming Master: поддерживает список доменов внутри леса.
Relative Identifier Master: отвечает за то, чтобы каждый объект Active Directory в домене получит уникальный идентификатор безопасности (security identifier).
Primary Domain Controller Emulator: действует, как основной контроллер домена (Primary Domain Controller) в домена, в которых имеются контроллеры домена, работающие под управлением операционной системы Windows NT.
Infrastructure Master: отвечает за обновление идентификатора безопасности (security identifier), а также за то, чтобы различались название объектов домена при междоменных ссылках.
Надеюсь, что теперь вы понимаете важность ролей FSMO, даже если вы и не понимаете, что сами по себе делают эти роли. В следующей статье из этой серии я расскажу более подробно о ролях FSMO, чтобы помочь вам понять то, для чего они нужны на самом деле. Я также покажу вам, как четко определить на каком сервере, какие роли будут размещаться.
www.windowsnetworking.com
Tags: dns, domain, mac, pdc, replication