FSMO中文翻译成操作主控,在说明
FSMO的作用以前,先给大家介绍两个概念:
单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制,这个主要是用于以前的
NT4域,我们知道,在
NT4域的年代,域网络上区分
PDC和
BDC,所有的复制都是从
PDC到
BDC上进行的,因为
NT4域用的是这种复制机构,所以要在网络上进行对域的修改就必须在
PDC上进行,在
BDC上进行是无效的。如果你的网络较小的话,那么这种机构的缺点不能完全的体现,但是如果是一个跨城区的网络,比如你的
PDC在上海,而
BDC在北京的话,那么你的网络修改就会显得非常的麻烦。
多主复制:多主复制是相对于单主复制而言的,它是指所有的域控制器之间进行相互复制,主要是为了弥补单主复制的缺陷,微软从
Windows 2000域开始,不再在网络上区分
PDC和
BDC,所有的域控制器处于一种等价的地位,在任意一台域控制器上的修改,都会被复制到其它的域控制器上。
既然
Windows 2000域中的域控制器都是等价的,那么这些域控制器的作用是什么呢
?在
Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器,而取决于
FSMO五种角色在网络中的分布情况,现在开始进入正题,
FSMO有五种角色,分成两大类
:
1、 森林级别(即一个森林只存在一台DC有这个角色):
(1)、
Schema Master中文翻译成
:架构主控
(2)、
Domain Naming Master中文翻译成
:域命名主控
2
、 域级别(即一个域里面只存一台DC有这个角色):
(1)、
PDC Emulator 中文翻译成
:PDC仿真器
(2)、
RID Master 中文翻译成
:RID主控
(3)、
Infrastructure Master 中文翻译成
:基础架构主控
一、接下来就来说明一下这五种角色空间有什么作用:
1、
Schema Maste
用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是
Schema Maste,如果大家部署过
Excahnge的话,就会知道
Schema是可以被扩展的,但需要大家注意的是,扩展
Schema一定是在
Schema Maste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到
Schema上然后再在
Schema Maste上进行扩展的,要扩展
Schema就必须具有
Schema Admins组的权限才可以。
2、 建议
:在占有
Schema Maste的域控制器上不需要高性能,因为我们不是经常对
Schema进行操作的,除非是经常会对
Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装
Exchnage或
LCS之类的软件时会出错。
3、
Domain Naming Master
这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和
Domain Naming Master进行联系,如果
Domain Naming Master处于
Down机状态的话,你的添加和删除操作那上肯定会失败的。
4、 建议
:对占有
Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧
?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
5、
PDC Emulator
在前面已经提过了,
Windows 2000域开始,不再区分
PDC还是
BDC,但实际上有些操作则必须要由
PDC来完成,那么这些操作在
Windows 2000域里面怎么办呢
?那就由
PDC Emulator来完成,主要是以下操作
:
⑴、处理密码验证要求
;
在默认情况下,
Windows 2000域里的所有
DC会每
5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到
PDC Emulator,然后由
PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
⑵、统一域内的时间
;
微软活动目录是用
Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过
5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由
PDC Emulator来完成的。
⑶、向域内的
NT4 BDC提供复制数据源
;
对于一些新建的网络,不大会存在
Windows 2000域里包含
NT4的
BDC的现象,但是对于一些从
NT4升级而来的
Windows 2000域却很可能存有这种情况,这种情况下要向
NT4 BDC复制,就需要
PDC Emulator。
⑷、统一修改组策略的模板
;
⑸、对
Winodws 2000以前的操作系统,如
WIN98之类的计算机提供支持
;
对于
Windows 2000之前的操作系统,它们会认为自己加入的是
NT4域,所以当这些机器加入到
Windows 2000域时,它们会尝试联系
PDC,而实际上
PDC已经不存在了,所以
PDC Emulator就会成为它们的联系对象
!
建议
:从上面的介绍里大家应该看出来了,
PDC Emulator是
FSMO五种角色里任务最重的,所以对于占用
PDC Emulator的域控制器要保证高性能和高可用性。
4、
RID Master
在
Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体
SID,所以当两个用户的
SID一样的时候,尽管他们的用户名可能不一样,但
Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全
SID=Domain SID+RID,那么如何避免这种情况
?这就需要用到
RID Master,
RID Master的作用是
:分配可用
RID池给域内的
DC和防止安全主体的
SID重复。
建议
:对于占有
RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。
5、
Infrastructure Master
FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个
OU转移到另外一个
OU,那么用户的
DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由
Infrastructure Master来完成的。
建议
:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是
GC(全局编录
)的情况下,
Infrastructure Master根本不起作用,所以一般情况下对于占有
Infrastructure Master的域控制器往忽略性能和可能性。
查看FSMO主机角色
查看结构主机、PDC
模拟器、RID
主机角色
命令行界面:
结构主机:
dsquery <server> -hasfsmo infr
PDC
模拟器
:
dsquery <server> -hasfsmo pdc
RID
主机:
dsquery <server> -hasfsmo rid
图形界面:
1、
打开“运行”窗口,输入
dsa.msc
,回车打开
Active Directory
用户和计算机
2、
右键单击域节点,然后单击“操作主机”。
3、
在“结构”选项卡的“操作主机”下,查看当前结构主机的名称
同上方法,可查看
PDC
模拟器以及
RID
主机角色。
查看域命名主机角色
命令行界面:
域命名主机角色:
dsquery <server> -hasfsmo name
图形界面:
1、
打开“运行”窗口,输入
domain.msc
,回车打开
Active Directory
域和信任关系。
2、
右键单击
Active Directory
域和信任关系,然后单击“操作主机”。
3、
在“域命名操作主机”下,查看当前的域命名操作主机。
查看架构主机角色
命令行界面:
架构主机角色:
dsquery <server> -hasfsmo schema
图形界面:
1、
打开“运行”窗口,输入
schmmgmt.msc
,回车打开
Active Directory
架构管理单元。
2、
右键单击
Active Directory
架构管理单元,然后单击“操作主机”。
3、
在“当前架构主机”下,查看当前架构主机。
转移FSMO主机角色
转移结构主机、PDC
模拟器、RID
主机角色
命令行界面:
1、
打开“命令提示符”
,
键入:
ntdsutil
2、
在
ntdsutil
命令提示符下,键入:
roles
3、
在
fsmo maintenance
命令提示符下,键入:
connection
4、
在
service connections
命令提示符下,键入:
connect to server <DomainController>
5、
在
service connections
命令提示符下,键入:
quit
6、
在
fsmo maintenance
命令提示符下,键入:
transfer infrastructure master
图形界面:
1、
打开
Active Directory
用户和计算机。
2、
在控制台树中,右键单击“
Active Directory
用户和计算机”,然后单击“连接到域控制器”
3、
在“输入另一个域控制器的名称”中,键入要担任结构主机角色的域控制器的名称,或单击可用的域控制器列表中的该域控制器。
4、
在控制台树中,右键单击“
Active Directory
用户和计算机”,指向“所有任务”,然后单击“操作主机”。
5、
单击“结构”选项卡,然后单击“更改”。
以上是以转移结构主机为例,转移
PDC
和
RID
步骤类似,只是命令有所不同。
转移
PDC
模拟器:在第六步输入
transfer pdc master
转移
RID
主机:在第六步输入
transfer rid master
转移域命名主机角色
命令行界面:
1、
打开“命令提示符”
,
键入:
ntdsutil
2、
在
ntdsutil
命令提示符下,键入:
roles
3、
在
fsmo maintenance
命令提示符下,键入:
connection
4、
在
service connections
命令提示符下,键入:
connect to server <DomainController>
5、
在
service connections
命令提示符下,键入:
quit
6、
在
fsmo maintenance
命令提示符下,键入:
transfer naming master
图形界面:
1、
打开
Active Directory
域和信任关系
。
2、
右键单击“
Active Directory
域和信任关系”,然后单击“连接到域控制器”。
3、
在“输入另一个域控制器的名称”中,键入要担任域命名主机角色的域控制器的名称。或单击可用的域控制器列表中的该域控制器。
4、
在控制台树中,右键单击“
Active Directory
域和信任关系”,然后单击“操作主机”。
5、
单击“更改”。
转移架构主机角色
命令行界面:
1、
打开“命令提示符”
,
键入:
ntdsutil
2、
在
ntdsutil
命令提示符下,键入:
roles
3、
在
fsmo maintenance
命令提示符下,键入:
connection
4、
在
service connections
命令提示符下,键入:
connect to server <DomainController>
5、
在
service connections
命令提示符下,键入:
quit
6、
在
fsmo maintenance
命令提示符下,键入:
transfer schema master
图形界面:
1、
打开
Active Directory
架构管理单元。
2、
右键单击“
Active Directory
架构”,然后单击“更改域控制器”。
3、
单击“指定名称”并键入要担任架构主机角色的域控制器的名称。
4、
在控制台树中,右键单击“
Active Directory
架构”,然后单击“操作主机”。
5、
单击“更改”。
夺取FSMO主机角色
命令行界面:
1、
打开“命令提示符”
,
键入:
ntdsutil
2、
在
ntdsutil
命令提示符下,键入:
roles
3、
在
fsmo maintenance
命令提示符下,键入:
connections
4、
在
service connections
命令提示符下,键入:
connect to server <DomainController>
5、
在
service connections
命令提示符下,键入:
quit
6、
在
fsmo maintenance
命令提示符下,键入:
seize rid master
上面是以夺取
RID
主机为例,其余主机夺取过程以上述类似,只是第六步稍有不同。
PDC
模拟器:
seize pdc
域命名主机:
seize domain naming master
结构主机:
seize infrastructure master
架构主机:
seize schema master