管理操作主机角色
操作主机角色(简称FSMO角色)是AD DS域服务部署后,作为实现一个或多个特殊功能标识。操作主机角色只能部署在域控制器中。实现的功能包括:架构修改、添加/重命名域、生成SID、用户身份认证、全局编录相关等特殊功能,操作主机角色可以转移给其他域控制器。
FSMO简介
AD DS域服务在整个体系架构中体现“分布式”特点,支持域中所有域控制器之间目录数据库的“多主机复制”,因此域中的所有域控制器是指上是对等关系。但是也有部分不通的地方,体现在域控制器拥有不同的操作主机角色。
类型
AD DS域服务定义五个操作主机角色,分别是:
・架构主机角色(Schema Master)。
・域命令主机角色(Domain Naming Master)。
・RID主机角色(Relative Identifier Master)。
・PDC模拟主机角色(PDC Emulator Master)。
・基础架构主机角色(Infrastructure Master)。
1.林范围操作主机角色
林范围内包括以下两种操作主机角色。
・架构主机角色(Schema Master)
・域命名主机角色(Domain Naming Master)
林中上述角色必须是唯一的,意味着在整个林中,只能有一个架构主机角色和一个域命名主机角色。
2.域范围操作主机角色
域范围内包括以下三种操作主机角色
・PDC主机橘色(PDC Emulator Master)。
・RID主机角色(RID Master)。
・基础结构主机橘色(INfrasturucture Master)。
每个域中上述角色都必须是唯一的,即林中的每个域都只能有一个RID主机角色,PDC方针主机角色以及基础结构主机角色。
各个FSMO角色作用
1.架构主机(Schema Master)
林中只能有一个架构主机(Schema Master)角色,作用域是林级别。例如,域对象中的域用户,用户具备多个属性(密码、显示名、登录名、部门、电话等),这些内容需要定义。
架构角色的作用是定义所有域对象属性,或者可以形象的称之为定义数据库字段以及存储方式。如果要修改域对象的属性,只能从架构主机所在的域控制器中进行操作。微软公司的部分服务器产品在部署时都需要修改Active Directory架构,例如Exchange Server,如果部署过程中无法在线联系架构主机,Exchange Server将不能安装。
2.域命令主机(Dmomain Naming Master)
整个林中只能有一个域命名主机角色。作用域是林级别。
域命名主机角色的作用为负责控制域林内域的添加或删除,即如果在域林内添加一个新域,必须由于命名主机判断域名合法,操作才可以继续。如果域命名主机不在线,就无法完成域林内新域的创建。除了对域名做出诠释,域命名主机还要负责添加或删除描述外部目录的交叉引用对象。
任何运行Windows Server 2012的域控制器都可以担当域命名主机角色,如果运行Windows Server 2012的域控制器作为域命名主机角色,则必须启用为“全局编录”服务。
3.PDC主机(PDC Emulator Master)
PDC主机角色在林中的每个域中只能有一个PDC主机角色。作用域是域级别。
PDC主机角色的作用如下。
・作用一:兼容性。兼容低版本域控制器。
・作用二:PDC Emulator Master所在的域控制器优先称为主域浏览器,注意浏览器不是上网使用的IE或者其他浏览器,而是网络中的一种计算机角色。通过“Net Accounts”命令可以查看是否是主域控制器。
・作用三:活动目录数据库得的优先复制权。正常情况下活动目录数据库复制周期是5分钟,如果活动目录数据库中发生紧急事件,例如修改用户口令。这种情况下源域控制器就 会在最短事件内溶质PDC主机,由PDC主机来同一管理发生的紧急事件。如果一台域控制器发现用户输入的口令和Active Directory中存储的口令不一致,域控制器考虑到有两种可能性,一种可能是用户输入错误,一种可能是用户输入的口令是正确的,但是活动目录数据库还没有接受到最新的变化(复制需要时间)。域控制器为了避免判断失误,向PDC主机发出查询,通过PDC主机验证口令的正确性。
・作用四:时间同步或者叫对时。域中所有的主机会跟PDC主机对时,当前域的PDC主机会跟整个林的林根中的PDC主机对时,使整个森林的时间保持一致。
・作用五:防止重复套用组策略。使用组策略时,组策略编辑器默认连到PDC主机,防止组策略套用时出错。
4.RID主机(RID Master)
每个域中只能有一个Relative Identifier Master角色。作用域是域级别。
RID主机角色的作用如下:
・作用一:在域中建立对象(例如:用户,组,计算机等),每一个对象都要有一个独一无二的SID,一个SID是由两个号码所组成:Domain ID(当前域的ID)+Relative ID(相对ID或者简称RID)。为了避免两个域对象的SID一样,必须确保RID的唯一性(域ID相同)。RID Master的任务是生成编码。默认状态下,域控制器首先向RID Master申请一定数量的RID编码(500个),创建域对象时分配给目标对象。用完后再次申请。一个域用户对应的SID格式为S-1-5-21-D1-D2-D3-RID,S是SID的缩写,1是SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。以默认域管理员“Administrator”为例,SID是“S-1-5-21-2403734384-2466188990-2453692268-500”,其中RID是500.如果Relative Identifier Master主机宕机,一段时间内创建域对象可能没有问题,因为域控制器可能有部分编码可用,一旦没有资源可用,将没有办法创建新的域对象。
・作用二:跨域访问、迁移域对象时,通过RID Master确认域对象的唯一性。
RID角色支持与对象的最大数量是1,073,741,823,可以通过“dcdiag /v”明林个查看RID角色支持的最大数量
5.基础结构主机(Infrastructure Master)
每个域中只能有一个基础结构主机角色。作用域是域级别。
基础结构主机的作用为负责对跨域对象的引用进行更行。基础结构主机角色将其数据于全局编录的数据进行比较,全局编录通过“复制”接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新。如果基础结构主机角色发现数据已过期,则将从全局编录请求更新的数据,然后基础结构主机角色将这些更新数据“复制”到域中的其他域控制器。
应用环境
林环境:整个林中只有一台“架构主机”域“域命名主机”,这两个角色默认由林根域内的第一台域控制器所扮演。
域环境:每一个域拥有自己的“RID主机”,“PDC模拟主机”域“基础架构主机”,这三个角色默认由该域内的第一台域控制器所扮演。如果存在子域,每个字域内都存在各自的“RID主机”、“PDC模拟主机”域“基础架构主机”三种主机角色。
主域控制器
部署AD DS域服务后,如果网络部署多台域控制器,到底拥有哪些角色的域控制器被称为主域控制器?主域控制器是指拥有“PDC模拟主机(PDC Emulator Master)”角色的域控制。注意,PDC Emulator Master角色可以在不同于控制器之间切换,通过角色“Transfer”(需要主域控的配合)或者“Seize”(当主域不可用时)来实现。
FSMO角色转移
FSMO角色不会自动转移,必须手工执行操作。如果承担FSMO角色的域控制器宕机,并且无法修复,必须强制夺取FSMO角色。但是,并不是Active Directory的所有功能都失效,只有需要使用FSMO角色功能时才会失效。例如,无法新建用户,用户无法更改密码。
执行“Size”时,如果住域控可用,首先尝试使用“转移”操作转移可用的角色,当“转移”不成功时,才会执行“占用”操作。
注意:一旦Schema Master、Dmomain Naming Master或者Relative Identifier Master角色被占用后,首先离线出现问题的域控制器,一定不要讲原来安装这些角色的域控制器再次上线。建议格式化具备这些角色的域控制器。
规划FSMO角色
1.Infrastructure Master角色规划
每个域内只能有一台Infrastructure Master角色的域控制器。Infrastructure Master主机的数据来自全局编录服务器(GC),全局编录服务器存储其他域的数据。由于Infrastructure Master和全局编录服务器(GC)不兼容,不要讲这2个角色放在同一台域控制器中。除非:
・域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器。
・如果域中所有域控制器都存有全局编录,则无论哪个域控制器均可承担基础结构主机角色。
2.PDC Emulator Master角色规划
从PDC Emulator Master角色的功能可以发现,具有该角色的域控制器要处理很多任务,因此该域控制器需要稳定、高效地硬件设备。如果可能,将具备该角色的域控制器单独放置。
3.Schema Master和Domain Naming Master角色规划
林中的第一台域控制器自动安装Schema Master和Domain Naming Master角色,同时也是全局编录服务器。除非硬件设备出现故障,否则建议将Schema Master和Domain Naming Master保留在默认的域控制器中。
4.Relative Identifier Master角色规划
Relative Identifier Master角色的功能主要是创建新域对象,因此建议和Relative Identifier Master和PDC Emulator Master部署同一台域控制器。
FSMO角色出现故障后带来的影响
1.Schema Master角色的域控制器宕机
Schema Master角色的域控制器宕机后,对用户没有任何影响。对于管理员来说,除非更新架构数据,例如安装Exchange Server,否则不会使用Schema Master主机。
2.Domain Naming Master角色的域控制器宕机
Domain Naming Master角色的域控制器宕机后,对用户没有任何影响。对于管理员来说,除非添加/删除域,否则不会使用Domain Naming Master主机。
3.Relative Identifier Master角色的域控制器宕机
Relative Identifier Master角色的域控制器宕机后,对用户没有任何影响。对于管理员来说,除非要在域内新建域对象,同时上次Relative Identifier Master角色分配的RID已经用完,否则不会使用Relative Identifier Master主机。
4.Infrastructure Master角色的域控制器宕机
Infrastructure Master角色的域控制器宕机后,对用户没有任何影响。对于管理员来说,除非大量迁移用户或者改变用户名称,否则不会使用Infrastructure Master主机。
5.PDC Emulator Master角色的域控制器宕机
PDC Emulator Master角色的域宕机后,短时间内就会给用户带来影响。例如域用户不能修改密码。对于管理员来说,当PDC Emulator Master角色的域控制器宕机后,应该尽快修复该主机或者夺取PDC Emulator Master角色。
查看FSMO角色
使用“Netdom”命令一次性查看所有FSMO角色所在的域控制器。在命令行提示符下,键入如下命令。
Netdom query fsmo
回车,命令行执行,显示有所操作主机角色所在的域控制器。
DS命令组查看FSMO角色
使用“dsquery server”命令查看FSMO角色。在命令行提示符下,键入如下命令:
dsquery server-hasfsmo schema
命名执行后,以DN名称方式显示Domain Naming Master角色所在的域控制器
dsquery server -hasfsmo rid
命令执行后,以DN名称方式显示Relative Identifier Master主机角色所在的域控制器
dsquery server-hafsmo pdc
命令执行后,以DN名称方式显示Infrastructure Master角色所在的域控制器。
dsquery server -hasfsmo infr
命令执行后,以DN名称方式显示Infrastructure Master角色所在的域控制器。
PowerShell命令组查看FSMO角色
使用“PowerShell”命令查看FSMO角色
键入如下命令。
get-adforest book.com | FT SchemaMaster,DomainNamingMaster
命令执行后,显示Schema Master以及Domain Naming Master知己所在的域控制器。
get-addomain book.com | FT InfrastructureMaster,PDCEmulator,RIDMaster
命令执行后,显示Infrastructure Master、PDCEmulator MasterRelative Identifier Master所在的域控制器。
查看主域控制器
主域控制器指的是运行PDC Emulator Master角色的域控制器。除了上一节中介绍的方法外,还可以通过“Net”命令确认主域控制器。
通过“Net”命令查看主域控制器。键入以下命令。
Net accounts
命令执行后,如果计算机角色显示为“PRIMARY”,则域控制器为主域控制器。如果计算机角色显示为“BACKUP”,则域控制器为额外域控制器。
转移FSMO角色
FSMO角色可以在不同的域控制器之间转移,转移过程支持逆向操作。转移前需要域管理员规划FSMO角色在域控制器的位置,确保FSMO角色功能的正常操作。
案例环境
本例中包括两台运行Windows Server 2012 AD DS域服务的域控制器
1.第一台域控制器“DC.book.com”
架构主机角色部署在名称为“DC.book.com”域控制器中,该域控制器也是林中的第一台域控制器(根域),默认安装所有FSMO角色。
2.第二台域控制器“bdc.book.com”
第二台域控制器名称为“bdc.book.com”,默认该域控制器中没有部署任何FSMO角色,所有FSMO角色部署在第一台域控制器中。
注意事项
转移操作主机时注意以下问题。
・转移主机角色过程中,具备操作主机角色的域控制器必须始终在线。
・操作主机转移过程支持逆向操作。
・Domain Naming Master、PDC Emulator Master、Relative Identifier Maste、Infrastructure Master角色可以使用图形界面和“Ntdsutil”命令行方式实现,Schema Master角色只能在使用命令行方式转移。转移操作主机命令如表6-2所示。
表6-2 转移操作主机命令
| 命令 | 完成的功能 |
| Transfer PDC | 转移PDC Emulator Master角色 |
| Transfer PID master | 转移Relative Identifier Master角色 |
| Transfer infrastructure master | 转移Infrastructure Master角色 |
| Transfer domain naming master | 转移Domain Naming Master角色 |
| Transfer schema master | 转移Scheama Master角色 |
图形模式转移FSMO角色(略)