FSMO: различия между версиями
| [непроверенная версия] | [непроверенная версия] |
Нет описания правки Метка: добавление ссылки |
|||
| Строка 20: | Строка 20: | ||
|Лес доменов |
|Лес доменов |
||
|Недопустимо |
|Недопустимо |
||
|Отвечает за состав леса, принимает и удаляет домены. |
|Отвечает за состав леса, принимает и удаляет домены. Данная роль имеет среднюю критичность, так как без нее все ваши текущие домены будут работать, вы лишь не сможете создавать новые. |
||
|- |
|- |
||
|Владелец относительных идентификаторов |
|Владелец относительных идентификаторов |
||
| Строка 33: | Строка 33: | ||
|Домен |
|Домен |
||
|Возможно |
|Возможно |
||
|Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT. |
|Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT. Благодаря этой роли, производится обновление групповых политик. Так же данная роль несет функционал NTP сервера в домене. |
||
|- |
|- |
||
|Владелец инфраструктуры домена |
|Владелец инфраструктуры домена |
||
| Строка 65: | Строка 65: | ||
* [http://support.microsoft.com/kb/255690/ru/ Просмотр и передача роли FSMO с помощью графического интерфейса пользователя] |
* [http://support.microsoft.com/kb/255690/ru/ Просмотр и передача роли FSMO с помощью графического интерфейса пользователя] |
||
* [http://support.microsoft.com/kb/255504/RU/ Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена] |
* [http://support.microsoft.com/kb/255504/RU/ Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена] |
||
* [http://pyatilistnik.org/fsmo-hozyaeva-operatsiy-v-windows-server-2008-r2-1-chast/ Роли fsmo в Windows Server 2008 R2] |
|||
[[Категория:Active Directory]] |
[[Категория:Active Directory]] |
||
Версия от 22:37, 27 апреля 2017
FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции.
В зависимости от типа операции уникальность FSMO подразумевается в пределах или леса доменов, или домена.
Различные типы FSMO выполняются одним или несколькими контроллерами домена. Выполнение FSMO сервером называют ролью сервера. (Например, сервер выполняет роли владельца доменных имён и владельца схемы).
Типы FSMO (ролей)
| Название | Оригинальное название | Пределы уникальности | Возможность появления в сети старого владельца после захвата роли новым | Описание |
|---|---|---|---|---|
| Владелец схемы | Schema Master | Лес доменов | Недопустимо | Отвечает за внесение изменений в схему Active Directory. Эта роль необходима для предотвращения противоречивых изменений с двух серверов. |
| Владелец доменных имён | Domain Naming Master | Лес доменов | Недопустимо | Отвечает за состав леса, принимает и удаляет домены. Данная роль имеет среднюю критичность, так как без нее все ваши текущие домены будут работать, вы лишь не сможете создавать новые. |
| Владелец относительных идентификаторов | Relative ID Master | Домен | Недопустимо | Выдает и удаляет относительные идентификаторы любых объектов (пользователей, компьютеров, принтеров) в домене. |
| Эмулятор основного контроллера домена | Primary Domain Controller Emulator
(PDC Emulator) |
Домен | Возможно | Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT. Благодаря этой роли, производится обновление групповых политик. Так же данная роль несет функционал NTP сервера в домене. |
| Владелец инфраструктуры домена | Infrastructure Master | Домен | Невозможно[1] | Поддерживает идентификаторы удаляемых или перемещаемых объектов на время репликации изменений (с удалением или перемещением) между контроллерами домена. |
Захват и передача роли
Все роли могут быть переданы от одного контроллера домена другому при условии работоспособности обоих серверов. В случае, когда один из серверов не может продолжать работу, используется процедура захвата (англ. seize) роли другим сервером, выполняемая системным администратором вручную. В этом случае не производится обращений к прежнему владельцу роли. Новый контроллер домена просто «приступает к исполнению обязанностей». Необходимо помнить, что появление в сети прежнего владельца роли после её захвата новым не допустимо для трёх из пяти ролей (владелец схемы, владелец доменных имен, владелец относительных идентификаторов).
Каждый контроллер домена содержит в себе достаточно информации для выполнения любой роли в домене, любой домен в лесу содержит достаточно информации для выполнения любой роли в пределах леса.
Те роли, которые связаны с внесением изменений в структуру каталога, должны в обязательном порядке сохранять уникальность. Например, если два различных владельца относительных идентификаторов выдадут одному и тому же объекту разные идентификаторы, это вызовет противоречивость и нарушение целостности каталога. Роли, использующиеся для обеспечения атомарности операций (владелец инфраструктуры домена) или для совместимости со старыми приложениями (эмулятор основного контроллера домена), не требуют обязательной уникальности. Каждый из серверов сможет успешно выполнить свою задачу. Тем не менее, структура каталога предписывает для каждой FSMO-роли единственный сервер.
В случае захвата роли, контроллер, исполняющий эту роль, теряет эту возможность до вывода его из домена и смены SID. Такой порядок предусмотрен для сохранения целостности каталога в случае сбоя.
Назначение ролей
По умолчанию, при создании домена все роли назначаются первому созданному контроллеру домена, в случае создания леса доменов, все роли (уровня леса) исполняет начальный (корневой) домен.
Примечания
Источники
- Алексей Выгодский Microsoft Exchange 2003 Server, Питер, 2006, ISBN 5-469-00386-8
- Просмотр и передача ролей FSMO в Windows Server 2003