Основы работы в сети. Часть 7. Введение в роли FSMO

Опубликовано: 23 Марта, 2023

До сих пор в этой серии статей я объяснял, что Active Directory состоит из леса, заполненного деревьями доменов, и что имена каждого домена указывают его положение в лесу. Учитывая иерархическую природу Active Directory, можно легко предположить, что домены, расположенные ближе к вершине иерархии (или, скорее, контроллеры доменов в этих доменах) являются наиболее важными. Хотя это не обязательно так. В этой статье я расскажу о правилах, которыми пользуются отдельные контроллеры домена в лесу Active Directory.

Ранее в этой серии статей я говорил о том, что домены в Windows NT охватывают все. Как и домены Active Directory, домены Windows NT поддерживали использование нескольких контроллеров домена. Помните, что контроллеры домена отвечают за аутентификацию пользователей при входе в систему. Следовательно, если контроллер домена недоступен, никто не сможет войти в сеть. Microsoft поняла это на раннем этапе и разработала Windows, позволяющую использовать несколько контроллеров домена, чтобы в случае сбоя контроллера домена для проверки подлинности входа в систему был доступен другой контроллер домена. Наличие нескольких контроллеров домена также позволяет разделить рабочую нагрузку, связанную с доменом, на несколько компьютеров, а не на один сервер.

Хотя Windows NT поддерживала несколько контроллеров домена в домене, один из этих контроллеров домена считался более важным, чем другие. Это было известно как основной контроллер домена или PDC. Как вы помните, контроллер домена содержит базу данных всех учетных записей пользователей в домене (среди прочего). Эта база данных называлась диспетчером учетных записей безопасности или базой данных SAM.

В Windows NT главный контроллер домена хранил главную копию базы данных. Другие контроллеры домена в домене Windows NT были известны как резервные контроллеры домена или BDC. Каждый раз, когда необходимо было внести изменение в базу данных контроллера домена, это изменение записывалось в основной контроллер домена. Затем PDC реплицировал изменение на все BDC в домене. При нормальных обстоятельствах PDC был единственным контроллером домена в домене Windows NT, к которому можно было применять обновления, связанные с доменом. В случае сбоя PDC существовал способ повышения BDC до PDC, что позволяло этому контроллеру домена действовать как единственный PDC домена.

Домены Active Directory работают немного по-другому. Active Directory использует модель репликации с несколькими мастерами. Это означает, что каждый контроллер домена в домене доступен для записи. Концепции PDC и BDC больше не существует. Если администратору необходимо внести изменения в базу данных Active Directory, это изменение может быть применено к любому контроллеру домена в домене, а затем реплицировано на остальные контроллеры домена.

Хотя модель репликации с несколькими мастерами, вероятно, кажется хорошей идеей, она открывает двери для противоречивых изменений. Например, что произойдет, если два разных администратора одновременно внесут противоречивые изменения в два разных контроллера домена?

В большинстве случаев Active Directory предполагает, что самое последнее изменение имеет приоритет. В некоторых ситуациях последствия конфликта слишком серьезны, чтобы полагаться на этот тип разрешения конфликта. В этих случаях Microsoft считает, что лучше предотвратить возникновение конфликта, чем пытаться разрешить конфликт после того, как он возник.

Чтобы справляться с такими ситуациями, Windows предназначена для назначения определенных контроллеров домена для выполнения ролей Flexible Single Master Operation (FSMO). По сути, это означает, что домены Active Directory полностью поддерживают репликацию с несколькими мастерами, за исключением определенных обстоятельств, при которых домен возвращается к использованию модели репликации с одним мастером. Существуют три разные роли FSMO, которые назначаются на уровне домена, и две дополнительные роли, которые назначаются на уровне леса.

Где находятся роли FSMO?

По большей части роли FSMO в значительной степени заботятся о себе. Однако вам важно знать, на каких контроллерах домена размещаются эти роли. По умолчанию на первом контроллере домена в лесу размещаются все пять ролей. По мере создания дополнительных доменов первый контроллер домена, подключенный к сети в каждом домене, содержит все три роли FSMO на уровне домена.

Причина, по которой так важно знать, какие контроллеры домена выполняют эти роли, заключается в том, что оборудование со временем устаревает и выводится из эксплуатации. Однажды я видел ситуацию, когда сетевой администратор готовился развернуть сеть Active Directory для своей компании. В ожидании прибытия новых заказанных серверов администратор установил Windows на старом ПК, чтобы начать экспериментировать с различными инструментами управления Active Directory.

Когда новые серверы наконец прибыли, администратор настроил их как контроллеры домена в уже созданном домене, а не создавал новый лес. Конечно, это означало, что мусорный компьютер держал роли FSMO для домена в лесу. Все работало нормально, пока администратор не решил удалить «мусорный» ПК из сети. Если бы он правильно вывел из эксплуатации этот сервер, проблем бы не было. Однако, будучи неопытным, он просто переформатировал жесткий диск машины. Внезапно в Active Directory начались многочисленные проблемы. Если бы этот администратор понял, что машина, которую он удалил из домена, содержит роли FSMO домена и леса, проблем можно было бы избежать. Кстати, в такой ситуации есть способ захватить роли FSMO с умершего сервера, чтобы ваша сеть могла возобновить нормальную работу.

Что такое роли FSMO?

Подробнее о конкретных функциях ролей FSMO я расскажу в следующей статье этой серии. Однако я хочу быстро упомянуть, что это за роли. Как вы помните, я упомянул, что существует три роли, специфичные для домена, и две роли, специфичные для леса.

Роли, специфичные для домена, включают относительный идентификатор, эмулятор основного контроллера домена и хозяина инфраструктуры. Роли на уровне леса включают в себя мастера схемы и мастера именования доменов. Ниже приводится краткое описание того, что делают эти роли:

Мастер схемы: поддерживает достоверную копию схемы базы данных Active Directory.

Мастер именования доменов: ведет список доменов в лесу.

Мастер относительного идентификатора: отвечает за то, чтобы каждый объект Active Directory в домене получал уникальный идентификатор безопасности.

Эмулятор основного контроллера домена: действует как основной контроллер домена в доменах, содержащих контроллеры домена под управлением Windows NT.

Мастер инфраструктуры: Мастер инфраструктуры отвечает за обновление идентификатора безопасности объекта и отличительного имени в междоменной ссылке на объект.

Вывод

Надеюсь, вы уже понимаете важность ролей FSMO, даже если вы не понимаете, что на самом деле делают сами правила. В следующей статье этой серии я рассмотрю роли FSMO более подробно и помогу вам понять, что они на самом деле делают. Я также покажу вам, как окончательно определить, на каком сервере размещены различные роли.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023