Роли хозяина операций на уровне всего домена

Каждый домен Active Directory должен содержать следующие роли.

  • Хозяин относительных идентификаторов (RID master).
  • Хозяин эмулятора основного контроллера домена.
  • Хозяин инфраструктуры

Данные роли должны быть уникальными в пределах каждого домена. Это означает, что в каждом домене в составе леса может быть только один хозяин относительных идентификаторов, один хозяин эмулятора основного контроллера домена и один хозяин инфраструктуры.

Хозяин RID

Хозяин относительных идентификаторов назначает ряд относительных идентификаторов (RID) каждому контроллеру в своем домене. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина относительных идентификаторов.

Каждый раз при создании объекта пользователя, группы или компьютера, контроллер домена назначает данному объекту уникальный код безопасности SID. Код безопасности SID состоит из кода безопасности домена, который одинаков для всех кодов безопасности, созданных в этом домене, и относительного кода безопасности RID, уникального для каждого кода безопасности, созданного в домене.

Для перемещения объекта между доменами (с помощью служебной программы Movetree.exe) необходимо произвести перемещение на контроллере, выполняющем роль хозяина относительных идентификаторов домена, содержащего в данный момент этот объект.

Хозяин эмулятора PDC

Если в домене есть компьютеры без установленного клиентского программного обеспечения Windows 2000 или Windows XP Professional. либо резервные контроллеры домена Windows NT, хозяин эмулятора PDC работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина эмулятора PDC.

Хозяина эмулятора PDC по умолчанию является ответственным за синхронизацию времени на всех контроллерах домена. Он устанавливает время в соответствии с произвольный контроллером родительского домена. Для эмулятора PDC родительского домена должна быть настроена синхронизация с внешним источником времени. Синхронизировать время на эмуляторе PDC с внешним сервером можно с помощью команды net time, имеющей следующий синтаксис:

net time \\ имя_сервера /setsntp :источник_времени

В результате время на всех принадлежащих лесу компьютерах под управлением Windows Server 2003 или Windows 2000 отличается не более чем на несколько секунд.

Эмулятор PDC получает предпочтительную репликацию изменений паролей, произведенных другими контроллерами домена. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно по причине неверного пароля на одном контроллере домена, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена, прежде чем отказать в доступе.

Контроллер домена, которому присвоена роль эмулятора PDC, поддерживает два протокола проверки подлинности.

  • Протокол Kerberos V5.
  • Протокол NTLM.

Хозяин инфраструктуры

В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры. Хозяин инфраструктуры отвечает за обновление ссылок из объектов его домена на объекты в других доменах. Хозяин инфраструктуры сравнивает свои данные с данными в глобальном каталоге. Глобальные каталоги регулярно получают обновления для объектов во всех доменах через репликацию, поэтому данные в глобальных каталогах всегда являются самыми последними. Если хозяин инфраструктуры обнаруживает у себя устаревшие данные, он запрашивает обновленные данные из глобального каталога. Затем хозяин инфраструктуры выполняет репликацию обновленных данных на другие контроллеры домена.

Внимание!

  • В домене с несколькими контроллерами не следует назначать роль хозяина инфраструктуры контроллеру, который поддерживает глобальный каталог. Если хозяина инфраструктуры и глобальный каталог расположить на одном контроллере домена, то хозяин инфраструктуры не будет работать. Он не сможет находить устаревшие данные и выполнять репликацию изменений на другие контроллеры домена.

    В случае если все контроллеры домена также содержат глобальный каталог, они всегда будут иметь последние данные, и тогда неважно, какой из контроллеров домена выполняет роль хозяина инфраструктуры.

Хозяин инфраструктуры также отвечает за обновление ссылок «группа-пользователь» при переименовании или изменении членов группы. При переименовании или перемещении члена группы (и размещении данного члена в другом домене, отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Это предотвращает потерю пользователем членства в группе при переименовании или перемещении его учетной записи. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.

Безопасность не подвергается риску в период времени между переименованием члена группы и обновлением этой группы. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.

Сведения о перемещении ролей хозяина операций см. в разделе Передача ролей хозяев операций. Сведения о действиях при неполадках хозяина операций см. в разделе Действия при неполадках хозяина операций.

Наши рекомендации