Ρόλοι FSMO της υπηρεσίας καταλόγου Active Directory των Windows 2000

Περίληψη

Η υπηρεσία καταλόγου Active Directory των Microsoft Windows 2000 είναι ένα κεντρικό αρχείο φύλαξης, στο οποίο αποθηκεύονται όλα τα αντικείμενα μιας επιχείρησης και οι αντίστοιχες ιδιότητές τους. Πρόκειται για μια ιεραρχική βάση δεδομένων με δυνατότητα multi-master, η οποία έχει τη δυνατότητα αποθήκευσης εκατομμυρίων αντικειμένων. Εξαιτίας της δυνατότητας multi-master, η επεξεργασία των αλλαγών στη βάση δεδομένων είναι δυνατό να γίνει σε οποιονδήποτε δεδομένο ελεγκτή τομέα (DC) της επιχείρησης, ανεξάρτητα αν ο ελεγκτής τομέα είναι ή δεν είναι συνδεδεμένος στο δίκτυο.

Περισσότερες πληροφορίες

Μοντέλο Multi-Master των Windows 2000

Μια βάση δεδομένων με δυνατότητα multi-master, όπως η υπηρεσία καταλόγου Active Directory, έχει την ευελιξία να επιτρέπει την πραγματοποίηση αλλαγών σε οποιονδήποτε ελεγκτή τομέα της επιχείρησης, αλλά εμφανίζει επίσης την πιθανότητα διενέξεων, οι οποίες ενδέχεται να οδηγήσουν σε ζητήματα μόλις γίνει αναπαραγωγή των δεδομένων στο υπόλοιπο τμήμα της επιχείρησης. Ένας τρόπος χειρισμού των ενημερωμένων εκδόσεων που έρχονται σε διένεξη από τα Windows 2000 είναι η χρήση ενός αλγορίθμου επίλυσης διενέξεων για τον χειρισμό των ασυμφωνιών των τιμών, με την επίλυσή τους στον ελεγκτή τομέα στον οποίο καταγράφηκαν πιο πρόσφατα οι αλλαγές (δηλαδή, "ο υπολογιστής με την τελευταία εγγραφή κερδίζει"), ενώ απορρίπτει τις αλλαγές σε όλους τους άλλους ελεγκτές τομέα. Αν και αυτή η μέθοδος επίλυσης ενδέχεται να είναι αποδεκτή σε ορισμένες περιπτώσεις, υπάρχουν φορές όπου οι διενέξεις είναι πάρα πολύ δύσκολο να επιλυθούν χρησιμοποιώντας την προσέγγιση "η τελευταία εγγραφή κερδίζει". Σε τέτοιες περιπτώσεις, είναι καλύτερα να αποτρέψετε την εμφάνιση της διένεξης αντί να προσπαθήσετε να την επιλύσετε μετά την εμφάνισή της.


Για συγκεκριμένους τύπους αλλαγών, τα Windows 2000 ενσωματώνουν μεθόδους για να αποτρέψουν την εμφάνιση ενημερωμένων εκδόσεων της υπηρεσίας καταλόγου Active Directory που έρχονται σε διένεξη.

Μοντέλο Single-Master των Windows 2000

Για να αποτρέψετε τη διένεξη ενημερωμένων εκδόσεων στα Windows 2000, η υπηρεσία καταλόγου Active Directory εκτελεί ενημερώσεις σε συγκεκριμένα αντικείμενα με τη μέθοδο single-master. Σε ένα μοντέλο single-master, μόνο ο ελεγκτής τομέα ολόκληρου του καταλόγου επιτρέπεται να επεξεργάζεται ενημερωμένες εκδόσεις. Αυτό είναι παρόμοιο με το ρόλο που δίνεται σε έναν πρωτεύοντα ελεγκτή τομέα (PDC) παλαιότερων εκδόσεων των Windows (όπως τα Microsoft Windows NT 3.51 και 4.0), στις οποίες ο PDC έχει την ευθύνη της επεξεργασίας όλων των ενημερωμένων εκδόσεων ενός δεδομένου τομέα.


Η υπηρεσία καταλόγου Active Directory των Windows 2000 επεκτείνει το μοντέλο single-master που βρίσκεται σε παλαιότερες εκδόσεις των Windows, ώστε να συμπεριλάβει πολλούς ρόλους καθώς και τη δυνατότητα μεταφοράς ρόλων σε οποιονδήποτε ελεγκτή τομέα της επιχείρησης. Επειδή ένας ρόλος της υπηρεσίας καταλόγου Active Directory δεν είναι συνδεδεμένος με έναν μεμονωμένο ελεγκτή τομέα, αναφέρεται ως ρόλος FSMO (Flexible Single Master Operation). Επί του παρόντος, στα Windows 2000 υπάρχουν πέντε ρόλοι FSMO:


 • Schema master
 • Domain naming master
 • RID master
 • PDC emulator
 • Infrastructure daemon

Ρόλος FSMO Schema Master

Ο κάτοχος του ρόλου schema master FSMO είναι ο ελεγκτής τομέα που είναι υπεύθυνος για την εκτέλεση ενημερώσεων στο σχήμα της υπηρεσίας καταλόγου (δηλαδή, το περιβάλλον ονομασίας σχήματος ή το LDAP://cn=schema,cn=configuration,dc=<τομέας>). Αυτός ο ελεγκτής τομέα είναι ο μοναδικός που έχει τη δυνατότητα επεξεργασίας ενημερωμένων εκδόσεων στο σχήμα της υπηρεσίας καταλόγου. Μόλις ολοκληρωθεί η ενημέρωση του σχήματος, αναπαράγεται από το ρόλο schema master σε όλους τους υπόλοιπους ελεγκτές τομέα του καταλόγου. Υπάρχει μόνο ένας ρόλος schema master ανά κατάλογο.

Ρόλος FSMO Domain Naming Master

Ο κάτοχος του ρόλου FSMO domain naming master είναι ο ελεγκτής τομέα που είναι υπεύθυνος για την πραγματοποίηση αλλαγών σε χώρο ονόματος τομέα ολόκληρου του συμπλέγματος δομών του καταλόγου (δηλαδή, το περιβάλλον ονομασίας Partitions\Configuration ή το LDAP://CN=Partitions, CN=Configuration, DC=<τομέας>). Αυτός ο ελεγκτής τομέα είναι ο μοναδικός που έχει τη δυνατότητα προσθήκης ή κατάργησης ενός τομέα από τον κατάλογο. Έχει επίσης τη δυνατότητα προσθήκης ή κατάργησης παραπομπών σε τομείς εξωτερικών καταλόγων.

Ρόλος FSMO RID Master

Ο κάτοχος του ρόλου FSMO RID Master είναι ο μεμονωμένος ελεγκτής τομέα που είναι υπεύθυνος για την επεξεργασία αιτήσεων RID Pool από όλους τους ελεγκτές τομέα μέσα σε έναν δεδομένο τομέα. Είναι επίσης υπεύθυνος για την κατάργηση ενός αντικειμένου από τον τομέα του και την τοποθέτησή του σε έναν άλλο τομέα κατά τη διάρκεια της μετακίνησης ενός αντικειμένου.


Όταν ένας ελεγκτής τομέα δημιουργεί ένα αντικείμενο αρχής ασφαλείας, όπως ένα χρήστη ή μια ομάδα, επισυνάπτει ένα μοναδικό αναγνωριστικό ασφαλείας (SID) στο αντικείμενο. Αυτό το SID αποτελείται από έναν τομέα SID (που είναι ίδιος για όλα τα SID που δημιουργούνται σε έναν τομέα) και από ένα σχετικό αναγνωριστικό (RID) που είναι μοναδικό για κάθε SID αρχής ασφαλείας που δημιουργείται σε έναν τομέα.


Σε κάθε ελεγκτή τομέα των Windows 2000 ενός τομέα εκχωρείται ένας χώρος συγκέντρωσης RID στον οποίο επιτρέπεται να αντιστοιχίζεται στις αρχές ασφαλείας που δημιουργεί. Όταν ένας χώρος συγκέντρωσης RID που έχουν εκχωρηθεί σε έναν ελεγκτή τομέα πέσει κάτω από ένα κατώτατο όριο, αυτός ο ελεγκτής τομέα υποβάλλει μια αίτηση για πρόσθετα RID στον RID master του τομέα. Ο ρόλος RID master ανταποκρίνεται στην αίτηση ανακτώντας τα RID από το χώρο συγκέντρωσης RID που δεν έχε εκχωρηθεί στον τομέα και τα εκχωρεί στο χώρο συγκέντρωσης του ελεγκτή τομέα που υποβάλλει την αίτηση. Υπάρχει ένας RID master ανά τομέα σε έναν κατάλογο.

Ρόλος FSMO PDC Emulator

Ο ρόλος PDC emulator είναι απαραίτητος για το συγχρονισμό της ώρας σε μια επιχείρηση. Τα Windows περιλαμβάνουν την υπηρεσία W32Time (Windows Time), που απαιτείται από το πρωτόκολλο ελέγχου ταυτότητας Kerberos. Όλοι οι υπολογιστές μιας επιχείρησης που βασίζονται σε Windows 2000 χρησιμοποιούν μια κοινή ώρα. Ο σκοπός της υπηρεσίας ώρας είναι να εξασφαλίσει ότι η υπηρεσία Windows Time χρησιμοποιεί μια ιεραρχική συσχέτιση που ελέγχει την αρχή και δεν επιτρέπει τις επαναλήψεις, ώστε να διασφαλίσει την κατάλληλη χρήση κοινής ώρας.

Ο ρόλος PDC emulator ενός τομέα είναι επίσημος για τον τομέα. Ο ρόλος PDC emulator στη ρίζα του συμπλέγματος δομών γίνεται επίσημος για την επιχείρηση και πρέπει να ρυθμίζεται για τη λήψη της ώρας από μια εξωτερική προέλευση. Όλοι οι κάτοχοι ρόλων FSMO PDC ακολουθούν την ιεραρχία τομέων κατά την επιλογή του συνεργάτη ώρας των εισερχομένων τους.


Σε έναν τομέα των Windows 2000, ο κάτοχος του ρόλου PDC emulator διατηρεί τις ακόλουθες λειτουργίες:

 • Οι αλλαγές κωδικού πρόσβασης που εκτελούνται από άλλους ελεγκτές τομέα σε έναν τομέα αναπαράγονται κατά προτίμηση στον PDC.
 • Οι αποτυχίες ελέγχου ταυτότητας που παρουσιάζονται σε έναν δεδομένα ελεγκτή τομέα ενός τομέα εξαιτίας ενός εσφαλμένου κωδικού πρόσβασης, προωθούνται στον PDC emulator πριν από την αναφορά ενός μηνύματος αποτυχίας εσφαλμένου κωδικού πρόσβασης στο χρήστη.
 • Η επεξεργασία αποκλεισμού λογαριασμού γίνεται στον PDC emulator.
 • Ο PDC emulator εκτελεί όλες τις λειτουργίες που εκτελούνται από τους PDC που βασίζονται σε Microsoft Windows NT 4.0 Server ή παλαιότερους PDC για υπολογιστές-πελάτες που βασίζονται σε Windows NT 4.0 ή παλαιότερες εκδόσεις.
Αυτό το τμήμα του ρόλου PDC emulator είναι περιττό όταν όλοι οι σταθμοί εργασίας, οι διακομιστές μέλη και οι ελεγκτές τομέα που εκτελούν Windows NT 4.0 ή παλαιότερες εκδόσεις έχουν αναβαθμιστεί σε Windows 2000. Ο PDC emulator εξακολουθεί να εκτελεί τις υπόλοιπες λειτουργίες που περιγράφονται σε ένα περιβάλλον με Windows 2000.


Οι ακόλουθες πληροφορίες περιγράφουν τις αλλαγές που πραγματοποιούνται στη διάρκεια της διαδικασίας αναβάθμισης:
 • Οι υπολογιστές-πελάτες με Windows 2000 (σταθμοί εργασίας και διακομιστές-μέλη) και οι υπολογιστές-πελάτες προηγούμενων εκδόσεων, στους οποίους έχει εγκατασταθεί το πακέτο πελάτη κατανεμημένων υπηρεσιών, δεν εκτελούν εγγραφές καταλόγου (όπως αλλαγές κωδικού πρόσβασης) κατά προτίμηση στον ελεγκτή τομέα που έχει κοινοποιήσει τον εαυτό του ως PDC. Χρησιμοποιούν οποιονδήποτε ελεγκτή τομέα για τον τομέα.
 • Όταν οι εφεδρικοί ελεγκτές τομέα (BDC) σε τομείς παλαιότερων εκδόσεων έχουν αναβαθμιστεί σε Windows 2000, ο PDC emulator δεν λαμβάνει καμία αίτηση παλαιότερων αντιγράφων.
 • Οι υπολογιστές-πελάτες με Windows 2000 (σταθμοί εργασίας και διακομιστές-μέλη) και οι υπολογιστές-πελάτες προηγούμενων εκδόσεων, στους οποίους έχει εγκατασταθεί το πακέτο πελάτη κατανεμημένων υπηρεσιών, χρησιμοποιούν την υπηρεσία καταλόγου Active Directory για να εντοπίσουν πόρους δικτύου. Δεν απαιτούν την υπηρεσία Windows NT Browser.

Ρόλος FSMO Infrastructure

Όταν έναν αντικείμενο ενός τομέα αναφέρεται από ένα άλλο αντικείμενο άλλου τομέα, αντιπροσωπεύει την αναφορά μέσω του GUID, του SID (για αναφορές σε αρχές ασφαλείας) και του DN του αντικειμένου που αναφέρεται. Ο κάτοχος του ρόλου infrastructure FSMO είναι ο ελεγκτής τομέα που είναι υπεύθυνος για την ενημέρωση του SID ενός αντικειμένου και του αποκλειστικού ονόματος σε μια αναφορά αντικειμένου μεταξύ τομέων.


ΣΗΜΕΙΩΣΗ: Ο ρόλος Infrastructure Master (IM) πρέπει να κατέχεται από έναν ελεγκτή τομέα ο οποίος δεν βρίσκεται σε ένα διακομιστή καθολικού καταλόγου (GC). Αν ο ρόλος Infrastructure Master εκτελείται σε ένα διακομιστή καθολικού καταλόγου, θα σταματήσει να ενημερώνει τις πληροφορίες αντικειμένου επειδή δεν περιέχει αναφορές σε αντικείμενα τα οποία δεν κατέχει. Αυτό συμβαίνει επειδή ένας διακομιστής καθολικού καταλόγου κατέχει τμηματικό αντίγραφο κάθε αντικειμένου του συμπλέγματος. Κατά συνέπεια, οι αναφορές σε αντικείμενα μεταξύ τομέων που βρίσκονται σε αυτόν τον τομέα δεν θα ενημερωθούν και δεν θα καταγραφεί καμία προειδοποίηση για αυτήν την συνέπεια σε αυτό το αρχείο καταγραφής συμβάντων του ελεγκτή τομέα.


Εάν όλοι οι ελεγκτές τομέα ενός τομέα φιλοξενούν επίσης τον καθολικό κατάλογο, όλοι οι ελεγκτές τομέα θα έχουν τα τρέχοντα δεδομένα και δεν είναι σημαντικό ποιος ελεγκτής τομέα είναι κάτοχος του ρόλου infrastructure master.
Ιδιότητες

Αναγνωριστικό άρθρου: 197132 - Τελευταία αναθεώρηση: 19 Δεκ 2005 - Αναθεώρηση: 1

Σχόλια