Мастер схемы

Большая часть функций контроллеров домена в Windows 2000 Server, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 разрабатывалась с таким рас­четом, чтобы их можно было распределять для устранения единой точки отказа, кото­рая существовала при использовании первичных контроллеров домена (Primary Domain Controllers — PDC) в Windows NT. Однако для пяти функций по-прежнему должен использо­ваться единственный сервер, поскольку подразумеваемые под ними функциональные воз­можности не поддаются распределению. Эти функции раньше назывались ролями FSMO (Flexible Single Master Operations — гибкие операции с одним мастером), а теперь называ­ются просто ролями мастера (Operations Master — ОМ) и описаны ниже.

• Мастер схемы (schema master). В одном лесе AD DS существует только одна главная копия схемы AD с разрешением записи в нее. Так было сделано специально для того, чтобы ограничить доступ к схеме и свести к минимуму вероятность возникновения конфликтов репликации. В пределах леса AD DS только один сервер может испол­нять роль мастера схемы.
• Мастер именования доменов (domain naming master). Мастер именования доменов отвечает за добавление доменов в лес AD DS. Эта роль ОМ должна размещаться на сервере глобального каталога, поскольку ей для работы нужны записи обо всех доме­нах и объектах. Роль мастера именования доменов в лесе может выполнять только один сервер.
  
• Эмулятор PDC (PDC emulator). Раньше эта роль применялась для эмуляции унас­ледованного первичного контроллера домена Windows NT 4.0 для низкоуровневых клиентов. В Windows Server 2008 R2 она по-прежнему продолжает существовать и по­зволяет выполнять определенные функции, например, создавать для домена сервер синхронизации основного времени. В каждом домене AD DS роль эмулятора PDC мо­жет исполнять только один сервер.
• Мастер RID (RID master). Все объекты в AD DS, которым могут предоставляться разрешения, обязательно идентифицируются уникальным образом за счет использо­вания специального идентификатора безопасности (Security ID — SID). Каждый SID-идентификатор состоит из SID-идентификатора домена, который выглядит одинако­во для всех объектов в данном домене, и относительного идентификатора (Relative ID — RID), который является уникальным для каждого объекта в этом домене. При назначении SID-идентификаторов контроллер домена назначает соответствующий RID-идентификатор из специального пула, который он получает от мастера RID. После истощения данного пула он запрашивает у мастера RID еще один пул. В случае выхода мастера RID из строя возможность создавать новые объекты в домене может исчезнуть, если у какого-то конкретного контроллера домена заканчиваются RID-идентификаторы в выделенном для него пуле. В каждом домене AD DS роль мастера RID может выполнять только какой-то один сервер.