В Windows все контроллеры доменов обладают равными правами. Изменения реплицируются на все контроллеры домена с помощью процесса, известного как “репликация с несколькими хозяевами”, который помогает решить возникшие проблемы.

В некоторых ситуациях предупреждение возможных конфликтов является более предпочтительной стратегией.

Пять ролей FSMO (Flexible Single-Master Operation), ранее известные как Floating Single-Master Operation, управляют многими функциональными аспектами домена или леса доменов для предупреждения возникновения конфликтов. Существует возможность вручную распределять эти роли между контроллерами доменов.

Всего имеется два типа ролей: для домена и леса. Только контроллер домена может принимать роль, предназначенную для контроллера. Любой контроллер домена в лесу может принимать роль для всего леса. Контроллер домена не имеет право принять себя роль, относящуюся к другому домену или лесу.

Для назначения ролей FSMO предназначена утилита командной строки Ntdsutil и один из методов с применением пользовательского графического интерфейса. Далее представлена информация о каждой из ролей FSMO.

Роли FSMO

Имя роли

Описание

Для домена или для леса

Domain Naming Master

Если необходимо добавить домен к лесу, имя домена должно быть уникальным. Роль Domain Naming Master для леса разрешает работу с именами доменов

Одна на лес

Infrastructure Master

Когда пользователь или группа находятся в другом домене, после изменения записей пользователей (например, изменения имени) и до отображения этой информации в группе может возникать задержка. Роль Infrastructure Master в домене группы модифицирует отношение группа-пользователь, с целью отразить внесенное изменение. Роль Infrastructure Master работает локально и полагается на репликацию данных для передачи изменений на остальные контроллеры домена

Одна на домен

PDC Emulator

Для обеспечения обратной совместимости один контроллер домена в домене Windows должен эмулировать функции PDC для контроллеров домена и клиентов Windows NT 4.0 и 3.51

Одна на домен

RID Master

Каждый контроллер домена может создавать новые объекты (пользователей, группы, учетные записи компьютеров). Однако после создания 512-ти объектов пользователей контроллер домена должен связаться с ролью RID Master домена для получения дополнительных 512-ти относительных идентификаторов. (На самом деле контроллер домена связывается с RID Master, когда остается менее 100-та относительных идентификаторов. Таким образом, RID Master может оказаться недоступной на некоторое время, не провоцируя возникновение проблем при создании объектов.) Описанная процедура позволяет гарантировать, что каждый объект имеет уникальный относительный идентификатор (RID).

Когда контроллер домена создает основной объект безопасности, к объекту добавляется идентификатор безопасности (RID). Идентификатор безопасности состоит из идентификатора безопасности домена и относительного идентификатора объекта.

Роль RID Master необходима для использования утилиты Movetree из пакета Resource Kit, применяемой для перемещения объектов между доменами

Одна на домен

Schema Master

В основе Active Directory лежит концепция схемы — формальное описание всех объектов и контейнеров службы каталогов. Поскольку схема должна быть одинаковой в пределах леса, только один компьютер может разрешать внесение изменений в схему

Одна на лес

Даже в базовом режиме PDC Emulator имеет следующие специальные роли.

· Неудачные запросы на аутентификацию.

· Роли для обслуживания клиентов, запрашивающих изменение системных данных (например, изменение пароля), что домене Windows NT 4.0 обрабатывается основным контроллером домена.

· Политика отправки измененных паролей и блокировок учетных записей.

· Роли, предназначенные для тех случаев, когда клиенты при получении точного времени подключаются к контроллеру домена, который связывается с PDC Emulator, а последняя служба, в свою очередь, взаимодействует с основным контроллером домена высшего уровня. Роль PDC Emulator корневого домена использует протокол SNTP для взаимодействия с атомными часами в Internet.

· Роль групповых политик: для редактирования или создания групповой политики необходимо связаться с основным контроллером домена. Если основной контроллер недоступен, то связь устанавливается с другим контроллером домена.