Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в этом режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называются FSMO (Flexible Single Master Operations). Некоторые роли должны быть в составе каждого леса, остальные - в каждом домене леса.
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена:
хозяин схемы - управляет всеми изменениями схемы;
хозяин именования доменов - управляет добавлением и удалением доменов;
хозяин относительных идентификаторов (RID) - устанавливает относительные идентификаторы для каждого контроллера домена;
эмулятор основного контроллера домена (PDC) - является главным контроллером домена с резервными контроллерами (BDC) под управлением Windows NT;
хозяин инфраструктуры - распространяет изменения в группах на другие домены.
Данные роли должны быть уникальными в пределах каждого домена. Это означает, что в каждом домене в составе леса может быть только один хозяин относительных идентификаторов, один эмулятор основного контроллера домена и один хозяин инфраструктуры.
Чтобы просмотреть и изменить хозяев операций домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Хозяева операций.
Хозяин относительных идентификаторов
На вкладке RID вы можете указать, какой контроллер домена будет отвечать за размещение пулов относительных идентификаторов для других контроллеров домена. Каждый раз при создании объекта пользователя, группы или компьютера контроллер домена назначает данному объекту уникальный идентификатор безопасности (SID). Он состоит из идентификатора безопасности домена (который одинаков для всех объектов, созданных в этом домене) и относительного идентификатора безопасности (RID), уникального для каждого созданного в домене объекта. Генерация новых относительных идентификаторов безопасности осуществляется хозяином относительных идентификаторов, что гарантирует их уникальность.
Передачу роли хозяина относительных идентификаторов другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином относительных идентификаторов. На вкладке RID окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина относительных идентификаторов будет выполнять указанный контроллер.
Эмулятор основного контроллера домена
На вкладке PDC вы можете указать, какой контроллер домена будет эмулировать функции главного контроллера домена.
Если в домене есть компьютеры без установленного клиентского ПО Windows 2000 или резервные контроллеры домена Windows NT, эмулятор основного контроллера домена работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена.
При работе домена Windows Server 2003 в основном режиме эмулятор основного контроллера получает преимущественную репликацию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно из-за неверно введенного пароля на одном контроллере домена, прежде чем отказать в доступе, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена.
Передачу роли эмулятора основного контроллера домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым эмулятором основного контроллера. На вкладке PDC окна хозяев операций домена щелкните кнопку Изменить.
Хозяин инфраструктуры
На вкладке Инфраструктура вы можете указать, какой контроллер домена будет осуществлять согласование объектов домена. Хозяин инфраструктуры отвечает за обновление ссылок "группа - пользователь" при переименовании или изменении членов группы.
При переименовании или перемещении члена группы (и его размещении в другом домене, отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.
Безопасность не подвергается риску в период между переименованием члена группы и ее обновлением. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.
Передачу роли хозяина инфраструктуры другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином инфраструктуры. На вкладке Инфраструктура окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина инфраструктуры будет выполнять указанный контроллер.
Хозяин схемы
Роль хозяина схемы присваивается первому контроллеру домена в первом домене леса. Лес может иметь только одного хозяина схемы. Модификация схемы может осуществляться только с контроллера - хозяина схемы.
Для передачи роли хозяина схемы другому контроллеру откройте оснастку Active Directory Schema, щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Change Domain Controller (Изменить контроллер домена). Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина схемы. Затем щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Operations Master (Хозяин операций). Нажмите кнопки Change и OK.
Хозяин именования доменов
Так как хозяин именования доменов управляет добавлением и удалением доменов, он создается на первом домене и эта роль остается у него независимо от масштабов леса. Только один сервер леса выполняет роль именования доменов.
Для передачи роли хозяина именования доменов откройте консоль Active Directory - домены и доверия из меню Администрирование. Щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Подключение к контроллеру домена. Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина именования доменов и нажмите кнопку OK.
Затем снова щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Хозяин операций. В открывшемся окне нажмите кнопку Изменить и укажите контроллер, которому вы передаете роль хозяина именования доменов.
