Если в домене Windows NT 4.0 один контроллер всегда является основным (primary), а все остальные выполняют роль резервных систем, то в Windows 200х все контроллеры равнозначны. Однако для обеспечения правильной синхронизации данных между различными контроллерами некоторые функции зафиксированы только за одной системой. Такие функции носят название Flexible Single Master Operation role (FSMO). В доменах Windows 200.x их пять:
Schema master (один на лес);
Domain naming master (один на лес);
RID master (один на домен);
PDC emulator (один на домен);
Infrastructure master (один на домен).
При первоначальной установке домена все пять ролей зафиксированы за первым контроллером. Впоследствии их можно переносить на другие контроллеры, учитывая специфику структуры организации. Важно только, чтобы при исключении контроллера домена администратор контролировал, что все эти пять операций не потеряли хозяина.
Смена хозяев операций
Три роли (PDC, RID, Infrastructure) легко переносятся с помощью оснастки AD Пользователи и компьютеры. Необходимо просто открыть оснастку. подключиться к тому контроллеру домена, на который планируется перенести соответствующую роль, и выполнить соответствующую команду в меню. Все операции по переносу ролей можно выполнить в командной строке. Для этого используется утилита ntdsutil. Главное, что эту утилиту можно использовать не только для переноса ролей при работающих контроллерах, но и для назначения нового владельца роли в случае аварийного выхода из строя прежнего хозяина.
Назначение ролей следует использовать с осторожностью, при наличии полной уверенности в том. что прежний хозяин не будет вновь доступен в сети. Появление двух хозяев одной роли может привести к неработоспособности всего домена.
Опишем кратко последовательность операций, которые необходимо выполнить для назначения контроллеру домена новой роли. 1. Открыть утилиту и набрать команду ROLES. 2. Указать, к каким контроллерам необходимо подключиться, для чего набрать команду connections и ввести команду подключения к необходимому контроллеру, после чего закрыть опцию CONNECTIONS, набрав quit. 3. Выбрать нужную команду seize ..., чтобы переписать соответствующую роль.
Утилита сначала попытается корректно перенести выбранную роль, и лишь при недоступности соответствующего контроллера будет выполнена операция перезаписи.
Если в структуре предприятия присутствует несколько доменов, то совмещение ролей Infrastructure Master с сервером глобального каталога недопустимо.
Сервер глобального каталога (GC)
Контроллеры домена хранят информацию об объектах текущего (собственного) домена. Поскольку в логической структуре предприятия может существовать несколько доменов, то для выполнения операций, затрагивающих объекты разных доменов, необходим доступ к соответствующим контроллерам. Для ускорения операций в системе существуют специальные контроллеры, которые хранят все объекты леса, но только не с полным, а с частичным набором атрибутов. Такие контроллеры называются серверами глобального каталога (Global catalog, GC). В качестве GC может быть назначен любой контроллер домена. Назначение контроллера домена сервером глобального каталога производится через оснастку AD Сайты и Службы. Раскрыв узел, соответствующий нужному контроллеру, в свойствах NTDS Settings необходимо включить параметр использования контроллера в качестве GC.
В локальных сетях рекомендуется назначать серверами глобального каталога не менее двух контроллеров домена.
Серверы GC хранят наиболее часто используемые атрибуты объектов. Условно можно считать, что объем хранимых на GC данных снижается примерно в 2 раза по сравнению с "полным" вариантом описания объекта. Но если конкретным приложениям необходим частый доступ к нереплицируемым атрибутам, то администратор может внести изменения в параметры GC, откорректировав схему организации. Для этого достаточно в консоли управления оснасткой AD Schema включить репликацию в свойствах соответствующих атрибутов; по умолчанию этой оснастки нет в списке меню, ее следует добавить в консоль управления.
Некоторые приложения активно используют обращения k GC. Например, MS Exchange Server. В этих случаях сервер GC обязательно должен быть включен в соответствующий сайт ("рядом" с таким приложением).
В реальной сети необходимо обеспечить некую разумную избыточность GC, имея в виду, что каждый дополнительный GC — это и дополнительный объем копирования данных, передача которых может привести к повышенной нагрузке на системы и каналы связи.
