FSMO角色介绍
?FSMO(Flexible Single Master Operation靈活的單主機(jī)操作),在說(shuō)明FSMO的作用以前,先給大家介紹兩個(gè)概念:
??? 單主機(jī)復(fù)制:就是從一個(gè)地方向其他地方復(fù)制,主要應(yīng)用在以前的NT4域內(nèi),在NT4域時(shí)代,于網(wǎng)絡(luò)上分PDC和BDC,所有復(fù)制都是從PDC到BDC上進(jìn)行的,所以在網(wǎng)絡(luò)上對(duì)域修改必須要在PDC上進(jìn)行,在BDC上修改是無(wú)效的。
??? 多主機(jī)復(fù)制:相對(duì)單主機(jī)而言,它是指所有的域控制器之間進(jìn)行相互復(fù)制,從windows開(kāi)始不再網(wǎng)路上區(qū)分PDC和PDC,所有的域控制器都是等價(jià)的,在任意一臺(tái)上修改,都會(huì)被復(fù)制到其他的域控制器上。
??? 從windows 2000開(kāi)始,域控制器去取決域它是網(wǎng)絡(luò)中的地幾臺(tái)控制器,取決域FSMON的五種角色:
???? Active Directory 安裝向?qū)?(Dcpromo.exe) 將這五種 FSMO 角色全部分配給林根域中的第一臺(tái)域控制器。每個(gè)新子域或樹(shù)域中的第一臺(tái)域控制器將獲得三個(gè)域范圍的角色。
??? 1. 森里級(jí)別(即一個(gè)森里只存在一臺(tái)DC有這個(gè)角色)
??????
?????? (1) Schema Master? 架構(gòu)主機(jī)
????????用來(lái)修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在活動(dòng)目錄里存在著各種各樣的對(duì)像,比如用戶、計(jì)算機(jī)、打印機(jī)等,這些對(duì)像有一系列的屬性,活動(dòng)目錄本身就是一個(gè)數(shù)據(jù)庫(kù),對(duì)像和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)?系,那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來(lái)定義的,就是Schema Master。Sechema是可以擴(kuò)展的,但是必須在?Schema Master上擴(kuò)展。
??????? 建議:在占有Schema Master的域控制器上不需要高性能,因?yàn)槲覀儾皇墙?jīng)常對(duì)Schema進(jìn)行操作的,除非是經(jīng)常會(huì)對(duì)Schema進(jìn)行擴(kuò)展,不過(guò)這種情況非常的少,但我們必須保證可用性,否則在安裝Exchnage或LCS之類的軟件時(shí)會(huì)出錯(cuò)。
???? (2)Domain Naming Master 域命名主控
????? 它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的?話,那么就必須要和Domain Naming Master進(jìn)行聯(lián)系,如果Domain Naming Master處于Down機(jī)狀態(tài)的話,你的添?加和刪除操作那上肯定會(huì)失敗的。
? ?建議:對(duì)占有Domain Naming Master的域控制器同樣不需要高性能,我想沒(méi)有一個(gè)網(wǎng)絡(luò)管理員會(huì)經(jīng)常在森林里添加或者刪除域吧?當(dāng)然高可用性是有必要的,否則就沒(méi)有辦法添加刪除森里的域了。
????
??? 2. 域級(jí)別 (即一個(gè)域里只存在一臺(tái)有個(gè)角色)
??????? (1) PDC Emulator? PDC仿真器
????????在前面已經(jīng)提過(guò)了,Windows 2000域開(kāi)始,不再區(qū)分PDC還是BDC,但實(shí)際上有些操作則必須要由PDC來(lái)完成,那么這些操作在Windows 2003域里面怎么辦呢?那就由PDC Emulator來(lái)完成,主要是以下操作:
???
??????? A. 處理密碼驗(yàn)證要求;
?????? 在默認(rèn)情況下,Windows 2003域里的所有DC會(huì)每5分鐘復(fù)制一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會(huì)先被復(fù)制到PDC Emulator,然后由PDC Emulator觸發(fā)一個(gè)即時(shí)更新,以保證密碼的實(shí)時(shí)性,當(dāng)然,實(shí)際上由于網(wǎng)絡(luò)復(fù)制也是需要時(shí)間的,所以還是會(huì)存在一定的時(shí)間差,至于這個(gè)時(shí)間差是多少,則取決于你的網(wǎng)絡(luò)規(guī)模和線路情況。
???????
??????? B.統(tǒng)一域內(nèi)的時(shí)間;
?????? 微軟活動(dòng)目錄是用Kerberos協(xié)議來(lái)進(jìn)行身份認(rèn)證的,在默認(rèn)情況下,驗(yàn)證方與被驗(yàn)證方之間的時(shí)間差不能超過(guò)5分鐘,否則會(huì)被拒絕通過(guò),微軟這種設(shè)計(jì)主要是用來(lái)防止回放式攻擊。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的,這個(gè)統(tǒng)一時(shí)間的工作就是由PDC Emulator來(lái)完成的。
??????? C.向域內(nèi)的NT4 BDC提供復(fù)制數(shù)據(jù)源;
????? 對(duì)于一些新建的網(wǎng)絡(luò),不大會(huì)存在Windows 2000域里包含NT4的BDC的現(xiàn)象,但是對(duì)于一些從NT4升級(jí)而來(lái)的Windows 2000域卻很可能存有這種情況,這種情況下要向NT4 BDC復(fù)制,就需要PDC Emulator。
??????? D.統(tǒng)一修改組策略的模板;
??????? E.對(duì)Windows2000以前的操作系統(tǒng),如Win98之類的計(jì)算機(jī)提供支持;
???? 對(duì)于Windows 2000之前的操作系統(tǒng),它們會(huì)認(rèn)為自己加入的是NT4域,所以當(dāng)這些機(jī)器加入到Windows 2000域時(shí),它們會(huì)嘗試聯(lián)系PDC,而實(shí)際上PDC已經(jīng)不存在了,所以PDC Emulator就會(huì)成為它們的聯(lián)系對(duì)象!
?????? ??建議:從上面的介紹里大家應(yīng)該看出來(lái)了,PDC Emulator是FSMO五種角色里任務(wù)最重的,所以對(duì)于占用?PDC mulator的域控制器要保證高性能和高可用性。
?????? (2) RID Master? RID主控
??????? 在Windows 2000以上的安全子系統(tǒng)中,用戶的標(biāo)識(shí)不取決于用戶名,雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶名,但實(shí)際上取決于安全主體的SID,所以當(dāng)兩個(gè)用戶的SID一樣的時(shí)候,盡管他們的用戶名可能不一樣,但?Windows的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶,這樣就會(huì)產(chǎn)生安全問(wèn)題。而在域內(nèi)的用戶、組和計(jì)算機(jī)的安?全I(xiàn)D=Domain SID+RID,那么如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池?給域內(nèi)的DC和防止安全主體的SID重復(fù)。
??? 建議:對(duì)于占有RID Master的域控制器,其實(shí)也沒(méi)有必要一定要求高性能,因?yàn)槲覀兒苌贂?huì)經(jīng)常性的利用批處理或?腳本向活動(dòng)目錄添加大量的用戶。這個(gè)請(qǐng)大家視實(shí)際情況而定了,當(dāng)然高可用性是必不可少的,否則就沒(méi)有辦法?添加用戶
??????? (3) Infrastructure Master?
?????????FSMO的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了,它的主要作用就是用來(lái)更新組的成員列表,因?yàn)樵诨顒?dòng)目錄中很有可能有一些用戶從一個(gè)OU轉(zhuǎn)移到另外一個(gè)OU,那么用戶的DN名就發(fā)生變化,這時(shí)其它域?qū)τ谶@個(gè)?用戶引用也要發(fā)生變化。這種變化就是由Infrastructure Master來(lái)完成的。
???????? 建議:其實(shí)在活動(dòng)目錄森林里僅僅只有一個(gè)域或者森林里所有的域控制器都是GC(全局編錄)的情況下,?Infrastructure Master根本不起作用,所以一般情況下對(duì)于占有Infrastructure Master的域控制器往往忽略性能和可能性。
轉(zhuǎn)移FSMO角色:
1. 登錄到基于 Windows 2000 Server 或基于 Windows Server 2003 的成員服務(wù)器,或登錄到轉(zhuǎn)移 FSMO 角色時(shí)所在林中的域控制器。我們建議您登錄到要為其分配 FSMO 角色的域控制器。登錄用戶應(yīng)該是企業(yè)管理員組的成員,才能轉(zhuǎn)移架構(gòu)主機(jī)角色或域命名主機(jī)角色,或者是轉(zhuǎn)移 PDC 模擬器、RID 主機(jī)和結(jié)構(gòu)主機(jī)角色時(shí)所在域中的域管理員組的成員。
2. 單擊“開(kāi)始”,單擊“運(yùn)行”,在“打開(kāi)”框中鍵入 ntdsutil,然后單擊“確定”。
3. 鍵入 roles,然后按 Enter。
注意:要在 Ntdsutil 實(shí)用工具中的任一提示符處查看可用命令的列表,請(qǐng)鍵入 ?,然后按 Enter。
4. 鍵入 connections,然后按 Enter。
5. 鍵入 connect to server servername,然后按 Enter,其中 servername 是要賦予其 FSMO 角色的域控制器的名稱。
6. 在“server connections”提示符處,鍵入 q,然后按 Enter。
7. 鍵入 transfer role,其中 role 是要轉(zhuǎn)移的角色。要查看可轉(zhuǎn)移角色的列表,請(qǐng)?jiān)凇癴smo maintenance”提示符處鍵入 ?,然后按 Enter,或者查看本文開(kāi)頭的角色列表。例如,要轉(zhuǎn)移 RID 主機(jī)角色,鍵入 transfer rid master。PDC 模擬器角色的轉(zhuǎn)移是一個(gè)例外,其語(yǔ)法是 transfer pdc 而非 transfer pdc emulator。
8. 在“fsmo maintenance”提示符處,鍵入 q,然后按 Enter,以進(jìn)入“ntdsutil”提示符。鍵入 q,然后按 Enter,退出 Ntdsutil 實(shí)用工具。
捕獲 FSMO角色
要使用 Ntdsutil 實(shí)用工具捕獲 FSMO 角色,請(qǐng)按照下列步驟操作:
1. 登錄到基于 Windows 2000 Server 或 Windows Server 2003 的成員計(jì)算機(jī),或者登錄到捕獲 FSMO 角色時(shí)所在林中的域控制器。我們建議您登錄要賦予其 FSMO 角色的域控制器。登錄的用戶應(yīng)當(dāng)是企業(yè)管理員組的成員(以便轉(zhuǎn)移架構(gòu)主機(jī)角色或域命名主機(jī)角色),或登錄到轉(zhuǎn)移 PDC 模擬器角色、RID 主機(jī)角色和結(jié)構(gòu)主機(jī)角色時(shí)所在域中的域管理員組成員。?
2. 單擊“開(kāi)始”,單擊“運(yùn)行”,在“打開(kāi)”框中鍵入 ntdsutil,然后單擊“確定”。
3. 鍵入 roles,然后按 Enter。?
4. 鍵入 connections,然后按 Enter。
5. 鍵入 connect to server servername,然后按 Enter,其中 servername 是要為其分配 FSMO 角色的域控制器的名稱。
6. 在“server connections”提示符處,鍵入 q,然后按 Enter。
7. 鍵入 seize role,其中 role 是您要捕獲的角色。要查看可捕獲角色的列表,請(qǐng)?jiān)凇癴smo maintenance”提示符處鍵入 ?,然后按 Enter,或者查看本文開(kāi)頭的角色列表。例如,要捕獲 RID 主機(jī)角色,可鍵入 seize rid master。PDC 模擬器角色的捕獲是一個(gè)例外,它的語(yǔ)法是 seize pdc 而非 seize pdc emulator。?
8. 在“fsmo maintenance”提示符處,鍵入 q,然后按 Enter,以進(jìn)入“ntdsutil”提示符。鍵入 q,然后按 Enter,退出 Ntdsutil 實(shí)用工具。
轉(zhuǎn)載于:https://www.cnblogs.com/penpen/archive/2010/03/08/1680757.html
總結(jié)
- 上一篇: 小谈RTMP中AMF3类型的Comman
- 下一篇: 解放学校网络管理员的双手 ——陕西省基础