Windows 2000 Active Directory FSMO 角色
生活随笔
收集整理的這篇文章主要介紹了
Windows 2000 Active Directory FSMO 角色
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
注:本文同樣適用于Windows 2003/2008 R2版本的活動(dòng)目錄 http://support.microsoft.com/kb/197132/zh-cn 概要 Microsoft Windows 2000 Active Directory 是中央儲(chǔ)存庫,其中存儲(chǔ)了企業(yè)中的所有對(duì)象及其各自的屬性。它是啟用多主機(jī)的分層數(shù)據(jù)庫,能夠存儲(chǔ)數(shù)百萬個(gè)對(duì)象。由于它是多主機(jī)的,因此對(duì)該數(shù)據(jù)庫的更改可以在企業(yè)中任何給定的域控制器 (DC) 上進(jìn)行,而不管該 DC 是否與網(wǎng)絡(luò)相連接。 ? Windows 2000 多主機(jī)模式 使用啟用了多主機(jī)的數(shù)據(jù)庫(如 Active Directory),可以在企業(yè)中任何 DC 上進(jìn)行靈活的更改,但是該數(shù)據(jù)庫同時(shí)可能引起沖突,在將數(shù)據(jù)復(fù)制到企業(yè)的其他部分時(shí)可能會(huì)引發(fā)問題。Windows 2000 處理更新沖突的一種方法是通過使用沖突解決算法來處理值的差異,該算法使用最后寫入更改的 DC(即,“最后寫入者獲勝”),而丟棄所有其他 DC 中的更改。雖然在有些情況下可以接受該解決方法,但有時(shí)候沖突太復(fù)雜而不能使用“最后寫入者獲勝”方法進(jìn)行解決。此種情況下,最好是防止沖突發(fā)生,而不是在發(fā)生沖突后嘗試解決。
針對(duì)某些類型的更改,Windows 2000 會(huì)結(jié)合使用防止發(fā)生 Active Directory 更新沖突的方法。 ? Windows 2000 單主機(jī)模式 為防止 Windows 2000 中的更新沖突,Active Directory 以單主機(jī)方式對(duì)某些對(duì)象執(zhí)行更新。在單主機(jī)模式中,只允許整個(gè)目錄中的一個(gè) DC 處理更新。這與賦予 Windows 早期版本(如 Microsoft Windows NT 3.51 和 4.0)中的主域控制器 (PDC) 的角色相似,其中 PDC 負(fù)責(zé)處理給定域中的所有更新。
Windows 2000 Active Directory 擴(kuò)展了 Windows 早期版本中的單主機(jī)模式以包括多個(gè)角色,且可以將角色轉(zhuǎn)移給企業(yè)中的任何域控制器 (DC)。由于 Active Directory 角色未綁定到單個(gè) DC 上,因此稱它為“Flexible Single Master Operation (FSMO)”角色。目前在 Windows 2000 中有五種 FSMO 角色:
如果 DC 創(chuàng)建諸如用戶或組之類的安全主體對(duì)象,它會(huì)將唯一的安全 ID (SID) 附加到該對(duì)象上。此 SID 由域 SID(在一個(gè)域中創(chuàng)建的所有 SID 的域 SID 均相同)和相關(guān) ID (RID)(在一個(gè)域中創(chuàng)建的每個(gè)安全主體 SID,其相關(guān) ID 是唯一的)組成。
為域中的每個(gè) Windows 2000 DC 分配一個(gè) RID 池,以允許將其分配給它所創(chuàng)建的安全主體。如果分配給某個(gè) DC 的 RID 池低于閾值,該 DC 將向域的 RID 主機(jī)發(fā)布請(qǐng)求以獲取更多 RID。域 RID 主機(jī)通過從域的未分配 RID 池中檢索 RID 來響應(yīng)請(qǐng)求,并將這些 RID 分配給請(qǐng)求的 DC 的池。目錄中的每個(gè)域中都有一臺(tái) RID 主機(jī)。 PDC 模擬器 FSMO 角色 PDC 模擬器對(duì)于在企業(yè)中同步時(shí)間是必需的。Windows 2000 包含 Kerberos 身份驗(yàn)證協(xié)議所需的 W32Time(Windows 時(shí)間)時(shí)間服務(wù)。企業(yè)中所有基于 Windows 2000 的計(jì)算機(jī)都使用公共的時(shí)間。時(shí)間服務(wù)的目的是確保 Windows 時(shí)間服務(wù)使用可以控制授權(quán)且不允許循環(huán)的層級(jí)關(guān)系來確保使用合適的公共時(shí)間。
域中的 PDC 模擬器是域的權(quán)威。林根目錄的 PDC 模擬器成為企業(yè)的權(quán)威,應(yīng)配置其從外部源中收集時(shí)間。所有 PDC FSMO 角色擁有者都遵循域的層級(jí)來選擇其入站時(shí)間伙伴。
在 Windows 2000 域中,PDC 模擬器角色擁有者保留以下功能:
下面的信息介紹在升級(jí)過程中發(fā)生的更改:
注意:結(jié)構(gòu)主機(jī) (IM) 角色應(yīng)由非全局編錄 (GC) 服務(wù)器的域控制器擔(dān)任。如果結(jié)構(gòu)主機(jī)在全局編錄服務(wù)器上運(yùn)行,它將會(huì)停止更新對(duì)象信息,原因是它只包含對(duì)它所擁有的對(duì)象的引用。這是因?yàn)槿志庝浄?wù)器擁有林中每個(gè)對(duì)象的部分副本。因此,不會(huì)更新域中的跨域?qū)ο笠?#xff0c;并且將向此 DC 的事件日志中寫入該影響的警告。
如果域中的所有域控制器同時(shí)也承載全局編錄,則所有域控制器均擁有當(dāng)前數(shù)據(jù),此時(shí)哪個(gè)域控制器擔(dān)任結(jié)構(gòu)主機(jī)角色并不重要。
針對(duì)某些類型的更改,Windows 2000 會(huì)結(jié)合使用防止發(fā)生 Active Directory 更新沖突的方法。 ? Windows 2000 單主機(jī)模式 為防止 Windows 2000 中的更新沖突,Active Directory 以單主機(jī)方式對(duì)某些對(duì)象執(zhí)行更新。在單主機(jī)模式中,只允許整個(gè)目錄中的一個(gè) DC 處理更新。這與賦予 Windows 早期版本(如 Microsoft Windows NT 3.51 和 4.0)中的主域控制器 (PDC) 的角色相似,其中 PDC 負(fù)責(zé)處理給定域中的所有更新。
Windows 2000 Active Directory 擴(kuò)展了 Windows 早期版本中的單主機(jī)模式以包括多個(gè)角色,且可以將角色轉(zhuǎn)移給企業(yè)中的任何域控制器 (DC)。由于 Active Directory 角色未綁定到單個(gè) DC 上,因此稱它為“Flexible Single Master Operation (FSMO)”角色。目前在 Windows 2000 中有五種 FSMO 角色:
- 架構(gòu)主機(jī)
- 域命名主機(jī)
- RID 主機(jī)
- PDC 模擬器
- 結(jié)構(gòu)主機(jī)后臺(tái)程序
如果 DC 創(chuàng)建諸如用戶或組之類的安全主體對(duì)象,它會(huì)將唯一的安全 ID (SID) 附加到該對(duì)象上。此 SID 由域 SID(在一個(gè)域中創(chuàng)建的所有 SID 的域 SID 均相同)和相關(guān) ID (RID)(在一個(gè)域中創(chuàng)建的每個(gè)安全主體 SID,其相關(guān) ID 是唯一的)組成。
為域中的每個(gè) Windows 2000 DC 分配一個(gè) RID 池,以允許將其分配給它所創(chuàng)建的安全主體。如果分配給某個(gè) DC 的 RID 池低于閾值,該 DC 將向域的 RID 主機(jī)發(fā)布請(qǐng)求以獲取更多 RID。域 RID 主機(jī)通過從域的未分配 RID 池中檢索 RID 來響應(yīng)請(qǐng)求,并將這些 RID 分配給請(qǐng)求的 DC 的池。目錄中的每個(gè)域中都有一臺(tái) RID 主機(jī)。 PDC 模擬器 FSMO 角色 PDC 模擬器對(duì)于在企業(yè)中同步時(shí)間是必需的。Windows 2000 包含 Kerberos 身份驗(yàn)證協(xié)議所需的 W32Time(Windows 時(shí)間)時(shí)間服務(wù)。企業(yè)中所有基于 Windows 2000 的計(jì)算機(jī)都使用公共的時(shí)間。時(shí)間服務(wù)的目的是確保 Windows 時(shí)間服務(wù)使用可以控制授權(quán)且不允許循環(huán)的層級(jí)關(guān)系來確保使用合適的公共時(shí)間。
域中的 PDC 模擬器是域的權(quán)威。林根目錄的 PDC 模擬器成為企業(yè)的權(quán)威,應(yīng)配置其從外部源中收集時(shí)間。所有 PDC FSMO 角色擁有者都遵循域的層級(jí)來選擇其入站時(shí)間伙伴。
在 Windows 2000 域中,PDC 模擬器角色擁有者保留以下功能:
- 域中其他 DC 執(zhí)行的密碼更改優(yōu)先復(fù)制到 PDC 模擬器中。
- 如果由于密碼錯(cuò)誤而在域中給定的 DC 上發(fā)生身份驗(yàn)證失敗,則在向用戶報(bào)告密碼錯(cuò)誤失敗信息之前先將該信息傳送給 PDC 模擬器。
- 在 PDC 模擬器上執(zhí)行帳戶鎖定。
- PDC 模擬器可執(zhí)行基于 Microsoft Windows NT 4.0 Server 的 PDC 或早期 PDC 為基于 Windows NT 4.0 的客戶端或早期客戶端執(zhí)行的所有功能。
下面的信息介紹在升級(jí)過程中發(fā)生的更改:
- Windows 2000 客戶端(工作站和成員服務(wù)器)和安裝了分布式服務(wù)客戶端軟件包的下層客戶端并不優(yōu)先在公布自身為 PDC 的 DC 上執(zhí)行目錄寫操作(如密碼更改),它們可使用域中任何 DC。
- 下層域中的備份域控制器 (BDC) 升級(jí)到 Windows 2000 后,PDC 模擬器不再接收下層的復(fù)制請(qǐng)求。
- Windows 2000 客戶端(工作站和成員服務(wù)器)和安裝了分布式服務(wù)客戶端軟件包的下層客戶端使用 Active Directory 來分配網(wǎng)絡(luò)資源。它們不請(qǐng)求 Windows NT 瀏覽器服務(wù)。
注意:結(jié)構(gòu)主機(jī) (IM) 角色應(yīng)由非全局編錄 (GC) 服務(wù)器的域控制器擔(dān)任。如果結(jié)構(gòu)主機(jī)在全局編錄服務(wù)器上運(yùn)行,它將會(huì)停止更新對(duì)象信息,原因是它只包含對(duì)它所擁有的對(duì)象的引用。這是因?yàn)槿志庝浄?wù)器擁有林中每個(gè)對(duì)象的部分副本。因此,不會(huì)更新域中的跨域?qū)ο笠?#xff0c;并且將向此 DC 的事件日志中寫入該影響的警告。
如果域中的所有域控制器同時(shí)也承載全局編錄,則所有域控制器均擁有當(dāng)前數(shù)據(jù),此時(shí)哪個(gè)域控制器擔(dān)任結(jié)構(gòu)主機(jī)角色并不重要。
轉(zhuǎn)載于:https://blog.51cto.com/lingping/970785
總結(jié)
以上是生活随笔為你收集整理的Windows 2000 Active Directory FSMO 角色的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: LINUX下使用https访问站点
- 下一篇: 一步一步使用Ext JS MVC与Asp