Передача роли FSMO

В Эллес большинство операций — создание пользователей, групп, добавление серверов и рабочих станций в домен — могут выполняться на любом контроллере домена, за исключением контроллеров, работающих в режиме RODC (Read-Only Domain Controller), которые не поддерживают запись в базу данных. Все остальные контроллеры обладают правами на запись и участвуют в репликации изменений между собой.

Такая топология называется репликацией с множеством равноправных участников (multi-master). Служба репликации Эллес автоматически распространяет изменения по всем активным контроллерам домена.

При возникновении конфликтов (например, одновременного изменения одного объекта на нескольких контроллерах) применяется правило: более позднее по времени изменение имеет приоритет. Однако для критических операций, таких как изменение схемы каталога, создание дочернего домена или выделение диапазонов RID, наличие конфликтов недопустимо.

Для обеспечения уникальности и целостности таких операций реализован механизм ролей хозяев операций (Flexible Single-Master Operations, FSMO). Эти роли распределены между контроллерами домена и могут быть переданы вручную с одного контроллера на другой. Только контроллер, владеющий соответствующей ролью FSMO, может выполнять критические операции.

FSMO-роль не может быть передана контроллеру домена RODC.

При попытке назначить новую роль на RODC в модальном окне Хозяева операций отображается предупреждение, а поле Новый владелец роли заблокировано и недоступно для выбора.

dsm fsmo rodc
Рис. 1. Пример предупреждения

Поддерживаемые роли FSMO доступны в следующих сервисах:

  • «Пользователи и компьютеры»:

    • RID — управляет выделением уникальных идентификаторов RID;

    • PDC  — эмулирует функции первичного контроллера домена;

    • Инфраструктура — поддерживает актуальность ссылок на объекты из других доменов;

  • «Домены и доверия»:

    • Хозяин схемы — управляет изменениями схемы Active Directory;

    • Хозяин именования доменов управляет добавлением и удалением доменов в лесу.

Для передачи роли в одном из сервисов:

  1. Переключитесь на контроллер домена, которому должна быть передана роль (см. «Смена контроллера домена»).

  2. В дереве каталогов щелкните правой кнопкой на имени домена и выберите Хозяева операций.

    dsm uac fsmo transfer action
    Рис. 2. Пример меню перехода к передаче FSMO-ролей

  3. В диалоговом окне выберите тип операций. Например, в сервисе «Пользователи и компьютеры»: RID, PDC, Инфраструктура.

    dsm uac fsmo transfer dialog
    Рис. 3. Пример диалогового окна передачи FSMO-ролей

  4. В строке поля Новый владелец роли нажмите Назначить.

  5. Подтвердите выбор.

    После успешного завершения в строке Владелец роли отобразится новый контроллер домена.

  6. Нажмите Закрыть.

Если текущий контроллер домена уже является владельцем выбранной роли, поле Новый владелец роли не отображается — передача не требуется.