Active Directory基础之三
Operations master roles
=====================
当在domain上进行了某项更改的时候, 这个更改会被复制到这个域内的所有的域控制器上. 有些修改, 比如说对schema进行的修改, 会被复制到整个forest. 这种复制叫做多主体复制(multimaster replication).
在multimaster replication的过程中, 如果更新源同时发生在两台域控制器上, 并且修改的是同一个object的同一个属性, 那么就会发生复制冲突. 为了避免复制冲突, Active Directory使用单主复制(single master replication)机制, 它指明修改仅能执行在某个指定的域控制器上. 这样, 就不可能有网络上不同地方同时修改一个对象的现象发生了. Active Directory在重要的修改上都会使用单主复制, 比如说增加一个新的domain, 或者修改forest范围级的schema.
域或者forest内的使用单主复制的操作会被安排到一起, 放在特定的角色中. 这些角色被称作operations master roles. 对于每一个operations master role, 仅在域控制器扮演这个role的时候, 它才能做相关的目录修改. 负责扮演特定role的域控制器被称为那个角色的operation master. Active Directory会存储哪个域控扮演那个role的信息.
Active Directory定义了5个operation master roles, 每一个都有一个默认的位置. Operation master roles可以是forest范围级的, 也可以使域范围级的. 如下图.
forest范围级的role
===============
forest范围级的role对于一个forest来说是唯一的, 它们包括:
- Schema Master
- 控制所有对schema的更新. schema包含主要的对象类表和主要的属性表, 这些对象类别和属性会被用来创建所有的Active Directory对象, 比如说用户, 计算机, 和打印机.
- Domain naming master
- 控制forest内Domain的添加和删除. 当你添加一个新的domain到forest时, 只有扮演着domain naming master role的域控制器可以被用来添加新domain.
在整个forest内, 只能有一个schema master, 也只能有一个domain naming master.
domain范围级的role
===============
domain范围级的role在每一个domain内都是唯一的, 它们包括:
- Primary domain controller emulator(PDC)
- 扮演着类似Windows NT PDC的角色, 支持在Microsoft Windows NT混合模式域中的, 任何的运行着的备用域控制器. 这类域含有运行着Windows NT 4.0的域控制器. PDC emulator是你在新domain中创建的第一个domain.
- Relative identifier master(RID)
- 当创建一个新object的时候, 域控制器会创建一个新的安全主体, 这个安全主体(security principal)代表着这个新对象, 域控制器会赋予这个新object一个独一无二的安全标识符(security identifier (SID)). 这个SID包含有那个域的SID, 这个域的SID与其它这个域内创建的安全标示符都相同. 这个object的SID包含的另外一个部分就是RID了, 这个RID在域创建的所有security principal中是独一无二的. RID master会为域内的域控制器分配RID块. 然后那个域控制器会将这个RID赋给新创建的对象.
- Infrastucture master
- 当把对象从一个domain转移到另一个domain中时, infrastructure master会更新域内的相关的对象引用. 对象引用包含对象的全局唯一标示符(GUID), 用于区分的名字, 还有SID. Active Directory会定期更新对象引用中用于区别的名字, 还有SID, 通过这样的方式来反映出对object的修改, 比如在域内或域间的对象移动, 或者是对象的删除.
forest中的每一个domain都有自己的PDC emulator, RID master, 还有infrastructure master.