Мастер схемы
Большая часть функций контроллеров домена в Windows 2000 Server, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 разрабатывалась с таким расчетом, чтобы их можно было распределять для устранения единой точки отказа, которая существовала при использовании первичных контроллеров домена (Primary Domain Controllers — PDC) в Windows NT. Однако для пяти функций по-прежнему должен использоваться единственный сервер, поскольку подразумеваемые под ними функциональные возможности не поддаются распределению. Эти функции раньше назывались ролями FSMO (Flexible Single Master Operations — гибкие операции с одним мастером), а теперь называются просто ролями мастера (Operations Master — ОМ) и описаны ниже.
- Мастер схемы (schema master). В одном лесе AD DS существует только одна главная копия схемы AD с разрешением записи в нее. Так было сделано специально для того, чтобы ограничить доступ к схеме и свести к минимуму вероятность возникновения конфликтов репликации. В пределах леса AD DS только один сервер может исполнять роль мастера схемы.
- Мастер именования доменов (domain naming master). Мастер именования доменов отвечает за добавление доменов в лес AD DS. Эта роль ОМ должна размещаться на сервере глобального каталога, поскольку ей для работы нужны записи обо всех доменах и объектах. Роль мастера именования доменов в лесе может выполнять только один сервер.
- Эмулятор PDC (PDC emulator). Раньше эта роль применялась для эмуляции унаследованного первичного контроллера домена Windows NT 4.0 для низкоуровневых клиентов. В Windows Server 2008 R2 она по-прежнему продолжает существовать и позволяет выполнять определенные функции, например, создавать для домена сервер синхронизации основного времени. В каждом домене AD DS роль эмулятора PDC может исполнять только один сервер.
- Мастер RID (RID master). Все объекты в AD DS, которым могут предоставляться разрешения, обязательно идентифицируются уникальным образом за счет использования специального идентификатора безопасности (Security ID — SID). Каждый SID-идентификатор состоит из SID-идентификатора домена, который выглядит одинаково для всех объектов в данном домене, и относительного идентификатора (Relative ID — RID), который является уникальным для каждого объекта в этом домене. При назначении SID-идентификаторов контроллер домена назначает соответствующий RID-идентификатор из специального пула, который он получает от мастера RID. После истощения данного пула он запрашивает у мастера RID еще один пул. В случае выхода мастера RID из строя возможность создавать новые объекты в домене может исчезнуть, если у какого-то конкретного контроллера домена заканчиваются RID-идентификаторы в выделенном для него пуле. В каждом домене AD DS роль мастера RID может выполнять только какой-то один сервер.