Як відомо, в Active Directory реалізована реплікація в режимі multi-master. У той же час деякі операції вигідніше проводити в режимі з одним головним сервером, тобто в режимі single-master (з виділеним основним контролером операцій). Цей контролер відповідає за виконання конкретних функцій, які називаються ролями контролера операцій. Оскільки ці ролі не мають жорсткої прив'язки до конкретного сервера в рамках домену чи лісу, їх називають переміщуваними (FSMO, Flexible Single Master Operations). Таких ролей у мережі Windows 2000 п'ять, і розподіляються вони за двома різними групами.
Ролі, унікальні в рамках лісу
Schema Master
Роль, відповідальна за управління змінами і модифікаціями схеми. У рамках лісу існує єдиний сервер, який зберігає доступну для запису копію схеми. Відповідно, для внесення до неї змін необхідно зв'язатися з цим контролером домену.
Domain Naming Master
Роль, що управляє всіма доменними іменами в рамках лісу і відстежує додавання і видалення доменів. У разі його недосяжності створення нового домену в рамках лісу стає неможливим.
Ролі, унікальні в рамках домену
PDC (Primary Domain controller) Emulator
Найбільш часто використовується в роботі контролер. Відповідає за роботу з обліковими записами користувачів, групові політики та безпека інформаційних баз резервних контролерів домену. Крім того, при наявності в мережі резервних контролерів домену NT 4.0 грає роль головного контролера домену. При цьому у випадку, якщо пароль користувача відкинутий резервним контролером, то перед тим, як відкинути запит на доступ до ресурсу, цей запит буде переданий PDC Emulator'у, і тільки після підтвердження відмови користувач побачить стандартне повідомлення про невірність пароля.
Infrastructure Master
Цей контролер відповідає за всі Міждомена відносини, зокрема управляє членством в Міждомена групах. Наприклад, у разі зміни імені члена групи або його видалення з групи цей контролер оновлює всі посилання з групи на цього користувача. При цьому всі зміни реплицируются в режимі multi-master, що змушує розносити на різні фізичні сервери роль Infrastructure Master і сервер глобального каталогу.
Relative ID (RID) Master
Цей контролер надає новим користувачам і групам користувачів відносні ідентифікатори (RID). Даний ідентифікатор необхідний для формування унікального ідентифікатора безпеки (SID) для кожного нового об'єкта типу «користувач», «група користувачів» або «комп'ютер».
Управління носіями ролей FSMO
Як ми бачимо, у порівнянні з доменом NT 4.0 кількість службових контролерів зросла. Якщо запорукою стабільної роботи домену NT 4.0 була наявність головного контролера домену (PDC) і сервера динамічного розподілу IP-адрес (DHCP), то кількість потенційних вузьких місць мережі Windows 2000 представляється помітно більшим. Відповідно збільшилося і кількість утиліт адміністрування, що використовуються в повсякденній роботі, доскональне знання яких є запорукою стабільної роботи мережі. Крім успадкованих і звичних утиліт Server manager і User Manager зі складу NT 4.0, для адміністрування мережі Windows 2000 застосовуються додатково ще шість програмних засобів, розгляду яких ми і присвятимо цей розділ.
Монітор реплікації (Replication monitor)
Ця утиліта, що входить до складу Windows 2000 Support Tools, дозволяє переглянути поточний розподіл ролей FSMO і перевірити доступність відповідного контролера. Її функції носять інформаційно-допоміжний характер, оскільки з її допомогою неможливо передати роль іншому контролеру домену. Самою важливою і корисною функцією цієї утиліти є можливість визначення доступності носіїв ролі.
Утиліта командного рядка NetDom.exe
Ця утиліта командного рядка також входить до складу Windows 2000 Support Tools. При всій своїй простенький і убогому інтерфейсі (хоча яким ще може бути інтерфейс у MS-DOS-додатків?) Ця програма є найпотужнішим інструментом адміністрування, особливо у випадку, коли використання нових графічних адміністративних утиліт ще не стало автоматичним. Найбільш важливими є можливості перегляду носіїв ролей, перенесення робочих станцій і серверів між доменами і управління довірчими відносинами між доменами. Ця програма варта того, щоб її використовувати.
Утиліта командного рядка NTDSUtil.exe
Цю утиліту можна сміливо назвати NetDom extended, оскільки крім функцій утиліти NetDom.exe вона містить функції перерозподілу носіїв ролей FSMO. Ця програма дуже ефективна, але оцінити по достоїнству її зможуть лише ті, для кого командні рядка MS-DOS і UNIX shell до цих пір є улюбленими інструментами адміністрування мережі. Найбільшою перевагою цієї утиліти є те, що вона дозволяє переносити всі п'ять ролей. Це дуже важливо, оскільки завдання зміни носіїв ролей FSMO, виконана розглянутими нижче GUI-додатками, вимагає застосування двох утиліт.
Оснащення Active directory Users and Computers
Оснащення "являє собою подальший розвиток ідей, закладених в утиліти User Manager і Server Manager зі складу NT 4.0. Вона дозволяє повністю управляти доменом як на рівні користувачів і груп, так і на рівні розподілу ролей в рамках домену. Її використання дозволяє переміщати ролі PDC Emultor, Rid Master і Infrastructure Master з граничною простотою.
Оснащення Active Directory Domains and Trusts
Використання цієї оснащення дає можливість переміщати роль Domain Naming Master. Ідеологічно можна було б очікувати від даної оснащення та управління роллю Schema Master, однак ця функція надійно захована в надрах Windows 2000 Support Tools. Бажаючі поекспериментувати з налаштуваннями Schema Master повинні в ручному режимі додати snap-in управління схемою до консолі адміністрування. Перш ніж почати діяти, візьміть до відома, що всі зміни схеми незворотні!
Ролі FSMO і стабільність мережі Windows 2000
Тепер поговоримо про проблему стійкості нашої мережі і про те значення, яке кожна з ролей має для стабільності мережі в цілому. По роботі з мережею NT 4.0 ми пам'ятаємо, що вихід з ладу DHCP-, WINS-і DNS-серверів приводив до серйозних проблем при роботі з мережею. Однак за роки управління мережами NT 4.0 системні фахівці набули досвід, що дозволяє в мінімальні терміни відновити працездатність мережі. Всі нижческазане пропонується як інформація до роздумів на тему визначення вразливих місць мережі Windows 2000.
Унікальні ролі лісу.
Як ми вже говорили, в рамках ліси існують дві унікальні ролі: Schema Master і Domain Naming Master. Як правило, носієм цих двох ролей є один фізичний сервер. Крім того, оскільки ці ролі досить статичні і будь-яка зміна в них має виходити від провідного системного фахівця, є розумним розмістити їх поблизу від мережевого департаменту.
Schema Master
З усіх ролей FSMO ця роль створює найменше проблем у разі тимчасового обриву зв'язку. За великим рахунком, цей сервер потрібний тільки для внесення будь-яких змін у схему, що трапляється досить рідко. Однак для встановлення низки серверних додатків (наприклад, таких як Microsoft Exchange 2000) наявність цієї ролі в мережі обов'язково. За будь-яких модифікаціях схеми необхідно пам'ятати, що будь-яке її зміна є незворотнім. Тому, якщо ви не впевнені в правильності дій, передайте роль майстра схеми на контролер домену і ізолюйте його від решти мережі. Тоді всі зміни, які ви зробите в схемі, не поширяться відразу по лісу, а у вас буде можливість відновити status-quo.
Domain Naming Master
Це єдина роль рівня лісу, що має права на зміну об'єктів домену. Її участь є необхідним не тільки при створенні і імені домену в лісі, але й при операціях з перехресними посиланнями на зовнішні каталоги. У межах лісу лише один сервер може бути носієм даної ролі. Найбільш часто причиною неможливості скористатися утилітою DCPromo є недоступність сервера DNM. Носії ролей Domain Naming Master і Schema Master слід розміщувати на одному контролері домену. Після закінчення етапу впровадження та доопрацювання мережі ці ролі втратять свою споконвічно високу значимість. Тим не менш необхідно забезпечити гарантовано високу якість зв'язку між їх носіями і сервером глобального каталогу. Ідеальним варіантом буде їх розміщення на одному фізичному сервері, що висуває підвищені вимоги як до матеріальної частини цього комп'ютера, так і до якості його сполуки.
Унікальні ролі домену
PDC emulator
Недоступність носія цієї ролі тягне за собою максимум неприємностей як для користувачів, так і для служби технічної підтримки. Типовими ознаками його відмови є неможливість доступу до масиву облікових записів домену та налаштувань Group Policy. Таким чином, у разі виходу з ладу цього сервера вся робота домену може бути паралізована. У конференціях неодноразово висувалася пропозиція знизити роль цього сервера шляхом переведення домену в native-режим. Мотивується цей крок тим, що в однорідному домені потреба в PDC emulator відпадає. При цьому не враховується, що навіть після переведення домену в native-режим PDC Emulator як і раніше продовжує відпрацьовувати всі зміни паролів.
Крім того, не слід забувати, що ця роль здатна сильно знизити продуктивність контролера домену. Коли цей факт отримує підтвердження, слід перемістити роль PDC Emulator на інший сервер, що не несе на собі будь-яких додаткових ролей.
RID master
Ця роль досить специфічна. Як було сказано вище, її основна функція полягає у формуванні відносного ідентифікатора безпеки (RID, relative identifier), використовуваного операційною системою для формування нового об'єкта захисту. На сервері цій ролі є база з кількома мільйонами RID, унікальних в межах існуючого лісу. При створенні нового контролера домену RID Master виділяє йому деякий масив RID-ідентифікаторів, які можуть бути використані при створенні нових об'єктів захисту. Відповідно, якщо цей запас підійде до кінця і при цьому RID Master виявиться недоступний, то створення нових об'єктів захисту буде неможливо. У нашій пілотної мережі така відмова одного разу стався при збої зв'язку між контролером домену і сервером RID Master. При цьому робота в режимі без зв'язку з RID Master тривала майже тиждень, що дозволяє з тим або іншим ступенем впевненості встановити час реакції на відмову RID Master на 2-3 дні в залежності від інтенсивності створення нових об'єктів захисту.
Infrastructure master
Це сама «незрозуміла» роль мережі Windows 2000. І як тільки її не називають у конференціях - і сервер центральної захисту лісу, і головний сервер безпеки, контролюючий відбувається в лісі ... Насправді цей сервер відповідає за перетворення імен при Міждомена взаємодіях. Прикладом такої взаємодії може бути приєднання користувача з домену А до групи домену Б.
Важливою особливістю носія цієї ролі є те, що на одному фізичному сервері не можна розміщувати Infrastructure Master і сервер глобального каталогу. В іншому випадку через сусідство з глобальним каталогом IM завжди буде містити самі останні дані, не потребуючи в оновленні. У цьому випадку IM ніколи не отримає посилання на об'єкт, не обслуговується цим контролером домену. Отже, якщо не примусити IM шукати посилання на невідомий об'єкт, то він ніколи не буде оновлювати свою інформацію. Зрозуміло, в однодоменних режимі необхідність в IM мінімальна.
Мабуть, найбільшу складність у процесі міграції представляє усвідомлення необхідності того чи іншого сервера в рамках конкретної мережевої структури. На жаль, нерідкі випадки, коли системні адміністратори кидають всі сили на відновлення функціонування другорядного сервера, необхідність якого в їх мережі досить сумнівна.
1. Ролі Schema Master і Domain Naming Master слід розміщувати на одному комп'ютері. Причому на цьому ж фізичному сервері повинен бути розміщений сервер глобального каталогу. Якщо на ньому відбудеться відмову, то перехоплювати цю роль слід тільки у разі необхідності внесення будь-яких змін в схему або створення нового домену.
2. Роль PDC Emulator висуває підвищені вимоги до апаратного забезпечення сервера і є явним кандидатом на розміщення на окремому контролері домену. У випадку виходу його з ладу для нормального функціонування мережі необхідний перехоплення цієї ролі.
3. Роль Infrastructure Master повинна бути однією на домен, при цьому вона не повинна фізично розташовуватися на тому ж сервері, що і сервер глобального каталогу.