FSMO五種角色的作用、查找及規(guī)劃

網(wǎng)絡(luò), FSMO, PDC, BDC

作者：施衛(wèi)國(guó)

　　FSMO中文翻譯成操作主控，在說(shuō)明FSMO的作用以前，先給大家介紹兩個(gè)概念:

　　單主復(fù)制:所謂的單主復(fù)制就是指從一個(gè)地方向其它地方進(jìn)行復(fù)制，這個(gè)主要是用于以前的NT4域，我們知道，在NT4域的年代，域網(wǎng)絡(luò)上區(qū)分PDC和BDC，所有的復(fù)制都是從PDC到BDC上進(jìn)行的，因?yàn)镹T4域用的是這種復(fù)制機(jī)構(gòu)，所以要在網(wǎng)絡(luò)上進(jìn)行對(duì)域的修改就必須在PDC上進(jìn)行，在BDC上進(jìn)行是無(wú)效的。如果你的網(wǎng)絡(luò)較小的話，那么這種機(jī)構(gòu)的缺點(diǎn)不能完全的體現(xiàn)，但是如果是一個(gè)跨城區(qū)的網(wǎng)絡(luò)，比如你的PDC在上海，而BDC在北京的話，那么你的網(wǎng)絡(luò)修改就會(huì)顯得非常的麻煩。

　　多主復(fù)制:多主復(fù)制是相對(duì)于單主復(fù)制而言的，它是指所有的域控制器之間進(jìn)行相互復(fù)制，主要是為了彌補(bǔ)單主復(fù)制的缺陷，微軟從Windows 2000域開始，不再在網(wǎng)絡(luò)上區(qū)分PDC和BDC，所有的域控制器處于一種等價(jià)的地位，在任意一臺(tái)域控制器上的修改，都會(huì)被復(fù)制到其它的域控制器上。

　　既然Windows 2000域中的域控制器都是等價(jià)的，那么這些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取決于它是網(wǎng)絡(luò)中的第幾臺(tái)域控制器，而取決于FSMO五種角色在網(wǎng)絡(luò)中的分布情況，現(xiàn)在開始進(jìn)入正題，F(xiàn)SMO有五種角色，分成兩大類:

　　1、森林級(jí)別(即一個(gè)森林只存在一臺(tái)DC有這個(gè)角色):

　　(1)、Schema Master中文翻譯成:架構(gòu)主控

　　(2)、Domain Naming Master中文翻譯成:域命名主控

　　2、域級(jí)別(即一個(gè)域里面只存一臺(tái)DC有這個(gè)角色):

　　(1)、PDC Emulator 中文翻譯成:PDC仿真器

　　(2)、RID Master 中文翻譯成:RID主控

　　(3)、Infrastructure Master 中文翻譯成:基礎(chǔ)架構(gòu)主控

本主題由 zh_cxl 于 2009-1-15 16:58 推薦

請(qǐng)把您的問題都發(fā)表到論壇，不通過論壇短消息或即時(shí)聊天軟件討論技術(shù)問題
Thinkpad X200 + Windows 7 Ultimate X64 + VirtualBox 3.1.0

回復(fù) 引用

報(bào)告 使用道具

管理員

技術(shù)積分: 18
論壇資產(chǎn): 11225 wb
其他積分: 57
來(lái)自: 廣州

2樓

yansy 發(fā)表于 2006-3-8 10:37 | 只看該作者

　　一、接下來(lái)就來(lái)說(shuō)明一下這五種角色空間有什么作用:

　　1、 Schema Maste

　　用是修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在活動(dòng)目錄里存在著各種各樣的對(duì)像，比如用戶、計(jì)算機(jī)、打印機(jī)等，這些對(duì)像有一系列的屬性，活動(dòng)目錄本身就是一個(gè)數(shù)據(jù)庫(kù)，對(duì)像和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)系，那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來(lái)定義的，就是Schema Maste，如果大家部署過Excahnge的話，就會(huì)知道Schema是可以被擴(kuò)展的，但需要大家注意的是，擴(kuò)展Schema一定是在Schema Maste進(jìn)行擴(kuò)展的，在其它域控制器上或成員服務(wù)器上執(zhí)行擴(kuò)展程序，實(shí)際上是通過網(wǎng)絡(luò)把數(shù)據(jù)傳送到Schema上然后再在Schema Maste上進(jìn)行擴(kuò)展的，要擴(kuò)展Schema就必須具有Schema Admins組的權(quán)限才可以。

　　2、建議:在占有Schema Maste的域控制器上不需要高性能，因?yàn)槲覀儾皇墙?jīng)常對(duì)Schema進(jìn)行操作的，除非是經(jīng)常會(huì)對(duì)Schema進(jìn)行擴(kuò)展，不過這種情況非常的少，但我們必須保證可用性，否則在安裝Exchnage或LCS之類的軟件時(shí)會(huì)出錯(cuò)。

　　3、 Domain Naming Master

　　這也是一個(gè)森林級(jí)別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的話，那么就必須要和Domain Naming Master進(jìn)行聯(lián)系，如果Domain Naming Master處于Down機(jī)狀態(tài)的話，你的添加和刪除操作那上肯定會(huì)失敗的。

　　4、建議:對(duì)占有Domain Naming Master的域控制器同樣不需要高性能，我想沒有一個(gè)網(wǎng)絡(luò)管理員會(huì)經(jīng)常在森林里添加或者刪除域吧?當(dāng)然高可用性是有必要的，否則就沒有辦法添加刪除森里的域了。

　　5、 PDC Emulator

　　在前面已經(jīng)提過了，Windows 2000域開始，不再區(qū)分PDC還是BDC，但實(shí)際上有些操作則必須要由PDC來(lái)完成，那么這些操作在Windows 2000域里面怎么辦呢?那就由PDC Emulator來(lái)完成，主要是以下操作:

　?、?、處理密碼驗(yàn)證要求;

　　在默認(rèn)情況下，Windows 2000域里的所有DC會(huì)每5分鐘復(fù)制一次，但有一些情況是例外的，比如密碼的修改，一般情況下，一旦密碼被修改，會(huì)先被復(fù)制到PDC Emulator，然后由PDC Emulator觸發(fā)一個(gè)即時(shí)更新，以保證密碼的實(shí)時(shí)性，當(dāng)然，實(shí)際上由于網(wǎng)絡(luò)復(fù)制也是需要時(shí)間的，所以還是會(huì)存在一定的時(shí)間差，至于這個(gè)時(shí)間差是多少，則取決于你的網(wǎng)絡(luò)規(guī)模和線路情況。

　?、?、統(tǒng)一域內(nèi)的時(shí)間;

　　微軟活動(dòng)目錄是用Kerberos協(xié)議來(lái)進(jìn)行身份認(rèn)證的，在默認(rèn)情況下，驗(yàn)證方與被驗(yàn)證方之間的時(shí)間差不能超過5分鐘，否則會(huì)被拒絕通過，微軟這種設(shè)計(jì)主要是用來(lái)防止回放式攻擊。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的，這個(gè)統(tǒng)一時(shí)間的工作就是由PDC Emulator來(lái)完成的。

　?、?、向域內(nèi)的NT4 BDC提供復(fù)制數(shù)據(jù)源;

　　對(duì)于一些新建的網(wǎng)絡(luò)，不大會(huì)存在Windows 2000域里包含NT4的BDC的現(xiàn)象，但是對(duì)于一些從NT4升級(jí)而來(lái)的Windows 2000域卻很可能存有這種情況，這種情況下要向NT4 BDC復(fù)制，就需要PDC Emulator。

　?、?、統(tǒng)一修改組策略的模板;

　?、伞?duì)Winodws 2000以前的操作系統(tǒng)，如WIN98之類的計(jì)算機(jī)提供支持;

　　對(duì)于Windows 2000之前的操作系統(tǒng)，它們會(huì)認(rèn)為自己加入的是NT4域，所以當(dāng)這些機(jī)器加入到Windows 2000域時(shí)，它們會(huì)嘗試聯(lián)系PDC，而實(shí)際上PDC已經(jīng)不存在了，所以PDC Emulator就會(huì)成為它們的聯(lián)系對(duì)象!

　　建議:從上面的介紹里大家應(yīng)該看出來(lái)了，PDC Emulator是FSMO五種角色里任務(wù)最重的，所以對(duì)于占用PDC Emulator的域控制器要保證高性能和高可用性。

請(qǐng)把您的問題都發(fā)表到論壇，不通過論壇短消息或即時(shí)聊天軟件討論技術(shù)問題
Thinkpad X200 + Windows 7 Ultimate X64 + VirtualBox 3.1.0

回復(fù) 引用

報(bào)告 使用道具 TOP

管理員

技術(shù)積分: 18
論壇資產(chǎn): 11225 wb
其他積分: 57
來(lái)自: 廣州

3樓

yansy 發(fā)表于 2006-3-8 10:37 | 只看該作者

　　4、RID Master

　　在Windows 2000的安全子系統(tǒng)中，用戶的標(biāo)識(shí)不取決于用戶名，雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶名，但實(shí)際上取決于安全主體SID，所以當(dāng)兩個(gè)用戶的SID一樣的時(shí)候，盡管他們的用戶名可能不一樣，但Windows的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶，這樣就會(huì)產(chǎn)生安全問題。而在域內(nèi)的用戶安全SID=Domain SID+RID，那么如何避免這種情況?這就需要用到RID Master，RID Master的作用是:分配可用RID池給域內(nèi)的DC和防止安全主體的SID重復(fù)。

　　建議:對(duì)于占有RID Master的域控制器，其實(shí)也沒有必要一定要求高性能，因?yàn)槲覀兒苌贂?huì)經(jīng)常性的利用批處理或腳本向活動(dòng)目錄添加大量的用戶。這個(gè)請(qǐng)大家視實(shí)際情況而定了，當(dāng)然高可用性是必不可少的，否則就沒有辦法添加用戶了。

　　5、 Infrastructure Master

　　FSMO的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了，它的主要作用就是用來(lái)更新組的成員列表，因?yàn)樵诨顒?dòng)目錄中很有可能有一些用戶從一個(gè)OU轉(zhuǎn)移到另外一個(gè)OU，那么用戶的DN名就發(fā)生變化，這時(shí)其它域?qū)τ谶@個(gè)用戶引用也要發(fā)生變化。這種變化就是由Infrastructure Master來(lái)完成的。

　　建議:其實(shí)在活動(dòng)目錄森林里僅僅只有一個(gè)域或者森林里所有的域控制器都是GC(全局編錄)的情況下，Infrastructure Master根本不起作用，所以一般情況下對(duì)于占有Infrastructure Master的域控制器往忽略性能和可能性。

　　二、在說(shuō)完FSMO五種角色的作用以后，我們?nèi)绾沃肋@五種角色在網(wǎng)絡(luò)中的分布情況呢?

　　對(duì)于新建的網(wǎng)絡(luò)，這五種角色都集中在森林中的第一臺(tái)域控制器上，但是如果是別人已經(jīng)建好的網(wǎng)絡(luò)，比如我們?nèi)ソ邮忠恍┚W(wǎng)絡(luò)的時(shí)候，很可能這五種角色已經(jīng)被轉(zhuǎn)移到其它的域控制器上了。這時(shí)我們可以通過三種方法來(lái)知道，分別是GUI介面，命令行及腳本:

　　1、 GUI介面:

　　GUI介面下不能一次性獲得五種角色的分布，

　　⑴、Schema Maste

　　點(diǎn)擊“開始-運(yùn)行”，輸入:“regsvr32 schmmgmt”，回車:

1.jpg (7.63 KB)