詳解FSMO的五種角色和FSMO角色辨別方法及角色轉換方法
阿新 • • 發佈:2019-02-14
FSMO中文翻譯成操作主控,在說明FSMO的作用以前,先給大家介紹兩個概念:
單主複製:所謂的單主複製就是指從一個地方向其它地方進行復制,這個主要是用於以前的NT4域,我們知道,在NT4域的年代,域網路上區分PDC和BDC,所有的複製都是從PDC到BDC上進行的,因為NT4域用的是這種複製機構,所以要在網路上進行對域的修改就必須在PDC上進行,在BDC上進行是無效的。如果你的網路較小的話,那麼這種機構的缺點不能完全的體現,但是如果是一個跨城區的網路,比如你的PDC在上海,而BDC在北京的話,那麼你的網路修改就會顯得非常的麻煩。多主複製:多主複製是相對於單主複製而言的,它是指所有的域控制器之間進行相互複製,主要是為了彌補單主複製的缺陷,微軟從Windows 2000域開始,不再在網路上區分PDC和BDC,所有的域控制器處於一種等價的地位,在任意一臺域控制器上的修改,都會被複制到其它的域控制器上。 既然Windows 2000域中的域控制器都是等價的,那麼這些域控制器的作用是什麼呢?在Windows 2000域中的域控制器的作用不取決於它是網路中的第幾臺域控制器,而取決於FSMO五種角色在網路中的分佈情況,現在開始進入正題,FSMO有五種角色,分成兩大類: 1、 森林級別(即一個森林只存在一臺DC有這個角色):(1)、Schema Master中文翻譯成:架構主控(2)、Domain Naming Master中文翻譯成:域命名主控2、 域級別(即一個域裡面只存一臺DC有這個角色):(1)、PDC Emulator 中文翻譯成:PDC模擬器(2)、RID Master 中文翻譯成:RID主控(3)、Infrastructure Master 中文翻譯成:基礎架構主控 一、接下來就來說明一下這五種角色空間有什麼作用:1、 Schema Maste用是修改活動目錄的源資料。我們知道在活動目錄裡存在著各種各樣的對像,比如使用者、計算機、印表機等,這些對像有一系列的屬性,活動目錄本身就是一個數據庫,對像和屬性之間就好像表格一樣存在著對應關係,那麼這些對像和屬性之間的關係是由誰來定義的,就是Schema Maste,如果大家部署過Excahnge的話,就會知道Schema是可以被擴充套件的,但需要大家注意的是,擴充套件Schema一定是在Schema Maste進行擴充套件的,在其它域控制器上或成員伺服器上執行擴充套件程式,實際上是通過網路把資料傳送到Schema上然後再在Schema Maste上進行擴充套件的,要擴充套件Schema就必須具有Schema Admins組的許可權才可以。 2、 建議:在佔有Schema Maste的域控制器上不需要高效能,因為我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴充套件,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchnage或LCS之類的軟體時會出錯。3、 Domain Naming Master這也是一個森林級別的角色,它的主要作用是管理森林中域的新增或者刪除。如果你要在你現有森林中新增一個域或者刪除一個域的話,那麼就必須要和Domain Naming Master進行聯絡,如果Domain Naming Master處於Down機狀態的話,你的新增和刪除操作那上肯定會失敗的。4、 建議:對佔有Domain Naming Master的域控制器同樣不需要高效能,我想沒有一個網路管理員會經常在森林裡新增或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法新增刪除森裡的域了。5、 PDC Emulator在前面已經提過了,Windows 2000域開始,不再區分PDC還是BDC,但實際上有些操作則必須要由PDC來完成,那麼這些操作在Windows 2000域裡面怎麼辦呢?那就由PDC Emulator來完成,主要是以下操作:⑴、處理密碼驗證要求;在預設情況下,Windows 2000域裡的所有DC會每5分鐘複製一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會先被複制到PDC Emulator,然後由PDC Emulator觸發一個即時更新,以保證密碼的實時性,當然,實際上由於網路複製也是需要時間的,所以還是會存在一定的時間差,至於這個時間差是多少,則取決於你的網路規模和線路情況。⑵、統一域內的時間;微軟活動目錄是用Kerberos協議來進行身份認證的,在預設情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式攻擊。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的。⑶、向域內的NT4 BDC提供複製資料來源;對於一些新建的網路,不大會存在Windows 2000域裡包含NT4的BDC的現象,但是對於一些從NT4升級而來的Windows 2000域卻很可能存有這種情況,這種情況下要向NT4 BDC複製,就需要PDC Emulator。⑷、統一修改組策略的模板;⑸、對Winodws 2000以前的作業系統,如WIN98之類的計算機提供支援;對於Windows 2000之前的作業系統,它們會認為自己加入的是NT4域,所以當這些機器加入到Windows 2000域時,它們會嘗試聯絡PDC,而實際上PDC已經不存在了,所以PDC Emulator就會成為它們的聯絡物件!建議:從上面的介紹裡大家應該看出來了,PDC Emulator是FSMO五種角色裡任務最重的,所以對於佔用PDC Emulator的域控制器要保證高效能和高可用性。4、RID Master在Windows 2000的安全子系統中,使用者的標識不取決於使用者名稱,雖然我們在一些許可權設定時用的是使用者名稱,但實際上取決於安全主體SID,所以當兩個使用者的SID一樣的時候,儘管他們的使用者名稱可能不一樣,但Windows的安全子系統中會把他們認為是同一個使用者,這樣就會產生安全問題。而在域內的使用者安全SID=Domain SID+RID,那麼如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重複。建議:對於佔有RID Master的域控制器,其實也沒有必要一定要求高效能,因為我們很少會經常性的利用批處理或指令碼向活動目錄新增大量的使用者。這個請大家視實際情況而定了,當然高可用性是必不可少的,否則就沒有辦法新增使用者了。5、 Infrastructure MasterFSMO的五種角色中最無關緊要的可能就是這個角色了,它的主要作用就是用來更新組的成員列表,因為在活動目錄中很有可能有一些使用者從一個OU轉移到另外一個OU,那麼使用者的DN名就發生變化,這時其它域對於這個使用者引用也要發生變化。這種變化就是由Infrastructure Master來完成的。建議:其實在活動目錄森林裡僅僅只有一個域或者森林裡所有的域控制器都是GC(全域性編錄)的情況下,Infrastructure Master根本不起作用,所以一般情況下對於佔有Infrastructure Master的域控制器往忽略效能和可能性。
單主複製:所謂的單主複製就是指從一個地方向其它地方進行復制,這個主要是用於以前的NT4域,我們知道,在NT4域的年代,域網路上區分PDC和BDC,所有的複製都是從PDC到BDC上進行的,因為NT4域用的是這種複製機構,所以要在網路上進行對域的修改就必須在PDC上進行,在BDC上進行是無效的。如果你的網路較小的話,那麼這種機構的缺點不能完全的體現,但是如果是一個跨城區的網路,比如你的PDC在上海,而BDC在北京的話,那麼你的網路修改就會顯得非常的麻煩。多主複製:多主複製是相對於單主複製而言的,它是指所有的域控制器之間進行相互複製,主要是為了彌補單主複製的缺陷,微軟從Windows 2000域開始,不再在網路上區分PDC和BDC,所有的域控制器處於一種等價的地位,在任意一臺域控制器上的修改,都會被複制到其它的域控制器上。