活動目錄域FSMO五種角色查看轉移規(guī)劃圖文

2017-03-27

7716

FSMO 中文翻譯成操作主控，在說明FSMO 的作用以前，先給大家介紹兩個概念：單主復制：所謂的單主復制就是指從一個地方向其它地方進行復制，這個主要是用于以前的NT4域，我們知道，在NT4域的年

FSMO 中文翻譯成操作主控，在說明FSMO 的作用以前，先給大家介紹兩個概念：單主復制：所謂的單主復制就是指從一個地方向其它地方進行復制，這個主要是用于以前的NT4域，我們知道，在NT4域的年代，域網(wǎng)絡上區(qū)分PDC 和BDC ，所有的復制都是從 PDC到BDC 上進行的，因為NT4域用的是這種復制機構，所以要在網(wǎng)絡上進行對域的修改就必須在PDC 上進行，在BDC 上進行是無效的。如果你的網(wǎng)絡較小的話，那么這種機構的缺點不能完全的體現(xiàn)，但是如果是一個跨城區(qū)的網(wǎng)絡，比如你的PDC 在上海，而BDC 在北京的話，那么你的網(wǎng)絡修改就會顯得非常的麻煩。

多主復制：多主復制是相對于單主復制而言的，它是指所有的域控制器之間進行相互復制，主要是為了彌補單主復制的缺陷，微軟從Windows 2000域開始，不再在網(wǎng)絡上區(qū)分PDC 和BDC ，所有的域控制器處于一種等價的地位，在任意一臺域控制器上的修改，都會被復制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等價的，那么這些域控制器的作用是什么呢? 在Windows 2000域中的域控制器的作用不取決于它是網(wǎng)絡中的第幾臺域控制器，而取決于FSMO 五種角色在網(wǎng)絡中的分布情況，現(xiàn)在開始進入正題，F(xiàn)SMO 有五種角色，分成兩大類:

1、森林級別(即一個森林只存在一臺DC 有這個角色):

(1)、Schema Master中文翻譯成:架構主控

(2)、Domain Naming Master中文翻譯成:域命名主控

2、域級別(即一個域里面只存一臺DC 有這個角色):

(1)、PDC Emulator 中文翻譯成:PDC仿真器

(2)、RID Master 中文翻譯成:RID主控

(3)、Infrastructure Master 中文翻譯成:基礎架構主控

一、接下來就來說明一下這五種角色空間有什么作用:

1、 Schema Maste

用是修改活動目錄的源數(shù)據(jù)。我們知道在活動目錄里存在著各種各樣的對像，比如用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄本身就是一個數(shù)據(jù)庫，對像和屬性之間就好像表格一樣存在著對應關系，那么這些對像和屬性之間的關系是由誰來定義的，就是Schema Maste ，如果大家部署過Excahnge 的話，就會知道Schema 是可以被擴展的，但需要大家注意的是，擴展Schema 一定是在Schema Maste進行擴展的，在其它域控制器上或成員服務器上執(zhí)行擴展程序，實際上是通過網(wǎng)絡把數(shù)據(jù)傳送到Schema 上然后再在Schema Maste 上進行擴展的，要擴展Schema 就必須具有Schema Admins組的權限才可以。

2、建議:在占有Schema Maste 的域控制器上不需要高性能，因為我們不是經(jīng)常對Schema 進行操作的，除非是經(jīng)常會對Schema 進行擴展，不過這種情況非常的少，但我們必須保證可用性，否則在安裝Exchnage 或LCS 之類的軟件時會出錯。

3、 Domain Naming Master

這也是一個森林級別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個域或者刪除一個域的話，那么就必須要和 Domain Naming Master進行聯(lián)系，如果Domain Naming Master處于Down 機狀態(tài)的話，你的添加和刪除操作那上肯定會失敗的。

4、建議:對占有Domain Naming Master 的域控制器同樣不需要高性能，我想沒有一個網(wǎng)絡管理員會經(jīng)常在森林里添加或者刪除域吧? 當然高可用性是有必要的，否則就沒有辦法添加刪除森里的域了。

5、 PDC Emulator

在前面已經(jīng)提過了，Windows 2000域開始，不再區(qū)分PDC 還是BDC ，但實際上有些操作則必須要由PDC 來完成，那么這些操作在Windows 2000域里面怎么辦呢? 那就由PDC Emulator來完成，主要是以下操作:

⑴、處理密碼驗證要求;

在默認情況下，Windows 2000域里的所有DC 會每5分鐘復制一次，但有一些情況是例外的，比如密碼的修改，一般情況下，一旦密碼被修改，會先被復制到PDC Emulator ，然后由PDC Emulator 觸發(fā)一個即時更新，以保證密碼的實時性，當然，實際上由于網(wǎng)絡復制也是需要時間的，所以還是會存在一定的時間差，至于這個時間差是多少，則取決于你的網(wǎng)絡規(guī)模和線路情況。

⑵、統(tǒng)一域內(nèi)的時間;

微軟活動目錄是用Kerberos 協(xié)議來進行身份認證的，在默認情況下，驗證方與被驗證方之間的時間差不能超過5分鐘，否則會被拒絕通過，微軟這種設計主要是用來防止回放式攻擊。所以在域內(nèi)的時間必須是統(tǒng)一的，這個統(tǒng)一時間的工作就是由PDC Emulator來完成的。

⑶、向域內(nèi)的NT4 BDC提供復制數(shù)據(jù)源;

對于一些新建的網(wǎng)絡，不大會存在Windows 2000域里包含NT4的BDC 的現(xiàn)象，但是對于一些從NT4升級而來的Windows 2000域卻很可能存有這種情況，這種情況下要向NT4 BDC復制，就需要PDC Emulator。

⑷、統(tǒng)一修改組策略的模板;

⑸、對Winodws 2000以前的操作系統(tǒng)，如WIN98之類的計算機提供支持;

對于Windows 2000之前的操作系統(tǒng)，它們會認為自己加入的是NT4域，所以當這些機器加入到Windows 2000域時，它們會嘗試聯(lián)系PDC ，而實際上PDC 已經(jīng)不存在了，所以PDC Emulator就會成為它們的聯(lián)系對象!

建議:從上面的介紹里大家應該看出來了，PDC Emulator是FSMO 五種角色里任務最重的，所以對于占用PDC Emulator的域控制器要保證高性能和高可用性。

4、RID Master

在Windows 2000的安全子系統(tǒng)中，用戶的標識不取決于用戶名，雖然我們在一些權限設置時用的是用戶名，但實際上取決于安全主體SID ，所以當兩個用戶的SID 一樣的時候，盡管他們的用戶名可能不一樣，但Windows 的安全子系統(tǒng)中會把他們認為是同一個用戶，這樣就會產(chǎn)生安全問題。而在域內(nèi)的用戶安全 SID=Domain SID RID，那么如何避免這種情況? 這就需要用到RID Master，RID Master 的作用是:分配可用RID 池給域內(nèi)的DC 和防止安全主體的SID 重復。建議:對于占有RID Master 的域控制器，其實也沒有必要一定要求高性能，因為我們很少會經(jīng)常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了，當然高可用性是必不可少的，否則就沒有辦法添加用戶了。

5、 Infrastructure Master

FSMO 的五種角色中最無關緊要的可能就是這個角色了，它的主要作用就是用來更新組的成員列表，因為在活動目錄中很有可能有一些用戶從一個OU 轉移到另外一個OU ，那么用戶的DN 名就發(fā)生變化，這時其它域對于這個用戶引用也要發(fā)生變化。這種變化就是由Infrastructure Master來完成的。

建議:其實在活動目錄森林里僅僅只有一個域或者森林里所有的域控制器都是GC(全局編錄) 的情況下，Infrastructure Master 根本不起作用，所以一般情況下對于占有Infrastructure Master的域控制器可忽略其性能。

二、在說完FSMO 五種角色的作用以后，我們?nèi)绾沃肋@五種角色在網(wǎng)絡中的分布情況呢?

對于新建的網(wǎng)絡，這五種角色都集中在森林中的第一臺域控制器上，但是如果是別人已經(jīng)建好的網(wǎng)絡，比如我們?nèi)ソ邮忠恍┚W(wǎng)絡的時候，很可能這五種角色已經(jīng)被轉移到其它的域控制器上了。這時我們可以通過三種方法來知道，分別是GUI 介面，命令行及腳本:

1、 GUI介面:

GUI 介面下不能一次性獲得五種角色的分布，

⑴、Schema Maste

點擊“開始-運行”，輸入:“regsvr32 schmmgmt”，回車: