域控制器已經搭建完成了,我們總是在網上看到FSMO各種角色,可是我們有深入的瞭解過嗎?下面讓我們
一起跟隨這邊文章,深入的理解活動目錄的FSMO角色
五種角色架構
AD域環境中五大主機角色
在Win2003多主機複製環境中,任何域控制器理論上都可以更改ActiveDirectory中的任何對象。但實際上並非如此,某些AD功能不允許在多臺DC上完成,否則可能會造成AD數據庫一致性錯誤,這些特殊的功能稱爲“靈活單一主機操作”,常用FSMO來表示,擁有這些特殊功能執行能力的主機被稱爲FSMO角色主機。在Win2003 AD域中,FSMO有五種角色,分成兩大類:
森林級別(在整個林中只能有一臺DC擁有訪問主機角色)
1:架構主機 (Schema Master)
2:域命令主機 (Domain Naming Master)
域級別(在域中只有一臺DC擁有該角色
3:PDC模擬器(PDC Emulator)
4:RID主機 (RID Master)
5:基礎架構主機 (Infrastructure Master)
1:架構主機
控制活動目錄整個林中所有對象和屬性的定義,具有架構主機角色的DC是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複製到目錄林中的所有其它域控制器中。架構主機是基於目錄林的,整個目錄林中只有一個架構主機。
2:域命令主機
向目錄林中添加新域。
從目錄林中刪除現有的域。
添加或刪除描述外部目錄的交叉引用對象.
3:PDC模擬器
向後兼容低級客戶端和服務器,擔任NT系統中PDC角色
密碼最終驗證服務器,當一用戶在本地DC登錄,而本地DC驗證本地用戶輸入密碼無效時,本地DC會查詢PDC模擬器,詢問密碼是否正確。
首選的組策略存放位置,組策略對象(GPO)由兩部分構成:GPT和GPC,其中GPC存放在AD數據庫中,GPT默認存放PDC模擬器在\\windows\sysvol\sysvol\<domainname>目錄下,然後通過DFS複製到本域其它DC中。name域主機瀏覽器,提供通過網上鄰居查看域環境中所有主機的功能
4:主機角色:RID主機
Win2003環境中,所有的安全主體都有SID,SID由域SID+序列號組合而成,後者稱爲“相對ID”(Relative ID,RID),在Win2003環境中,由於任何DC都可以創建安全主體,爲保證整個域中每個DC所創建的安全主體對應的SID在整個域範圍唯一性,設立該主機角色,負責向其它DC分配RID池(默認一次性分配500個),所有非RID主機在創建安全實體時,都從分配給的RID池中分配RID,以保證SID不會發生衝突! 當非RID主機中分配的RID池使用到80%時,會繼續RID主機,申請分配下一個RID地址池!
5:基礎架構主機
基礎結構主機的作用是負責對跨域對象引用進行更新,以確保所有域間操作對象的一致性。
基礎架構主機工作機制是定期會對沒有保存在本機的引用對象信息,而對於GC來說,會保存當前林中所有對象信息。如果基礎架構主機與GC在同一臺機,基礎架構主機就不會更新到任何對象。所以在多域情況下,強烈建議不要將基礎架構主機設爲GC。
二:標準圖形界面查看和更改操作主機角色的方法
1:查看和更改架構主機角色:
步驟:註冊:regsvr32 schmmgmt 在MMC中添加AD架構管理單元打開MMC控制檯,
選中“Active Directory架構”擊“右鍵”,選擇“操作主機”
打開更改架構頁面後,點擊"更改"就可以進行架構主機角色的更改
2.查看和更改PDC模擬器,RID主機以及基礎結構主機
在打開的頁面中,通過點擊“更改”按鈕就可以對RID主機,PDC模擬器以及基礎結構主機角色進行更改
3.查看和更改域命名主機角色
步驟:點擊“開始-設置-控制面板-管理工具-Active Directory域和信任關係”: 選中“Active Directory域和信任關係”,右鍵單擊,選擇“操作主機”
在打開的窗口中,點擊“更改”按鈕就可以實現對域命名主機角色進行更改
四:使用命令行工具查看和更改操作主機角色
有多個工具可以實現在命令行下查看操作主機角色,下面只列出幾種常見方法
注意,下面對應的工具有些需要安裝Win2003 Support Tools工具
1:使用Netdom工具查看操作主機角色
Netdom Query FSMO
3.利用自制監視器Replmon查看和檢查操作主機角色
複製監視器Replication Monitor(ReplMon)是針對Windows Server的故障查找工具,不但是定位活動目錄複製故障強有利的工具,同時也可以使用該工具查看和檢查操作主機角色狀態。
步驟:選中當前DC,右鍵單擊,選擇“Properties”
在彈出窗口中,選擇“FSMO Roles”分窗口,出現如下界面:
在該窗口,列出所有的FSMO操作主機,同時通過“Query”按鈕,可以檢測出當前DC 與FSMO操作主機之間通訊是否正常。
四:使用命令行工具查看和更改操作主機角色
有多個工具可以實現在命令行下查看操作主機角色,下面只列出幾種常見方法
注意,下面對應的工具有些需要安裝Win2003 Support Tools工具
1:使用Netdom工具查看操作主機角色 Netdom Query FSMO
2:使用Dsquery工具查看操作主機角色
Dsquery Server –Hasfsmo Schema //查看架構主機
Dsquery Server –Hasfsmo Name //查看域 主機
Dsquery Server –Hasfsmo PDC //查看PDC模擬器主機
Dsquery Server –Hasfsmo RID //查看RID主機
Dsquery Server –Hasfsmo Infr //查看基礎結構主機
3:使用Ntdsutil工具更改操作主機角色
Ntdsutil工具的功能非常強大,可以進行AD數據庫維護,查看和更換操作主機角色以及刪除無法通過圖形界面刪除的DC遺留的元數據。通過Ntdsutil工具不但可以清理無效的DC信息,也可以使用Transfer子命令轉移操作主機角色,使用Seize子命令奪取操作主機角色。
更改操作主機角色:
在命令行模式下傳送(transfer)與佔用(seize)操作主機角色
傳送與佔用的區別:
傳送是指在域或森林內,原來的操作主機是工作正常的情況下,把原有操作主機功能傳給額外的域控,不會有數據丟失的情況(可理解成公司內正常工作的交接)
佔用是指在域或森林內,原有操作主機無法正常響應的情況下,爲保證域內功能的正常使用,直接從額外域控上將原有主機的角色搶佔過來,但由於無法聯繫原來的操作主機,原有信息將會丟失,所以不到萬不得已,不要用搶佔。
以架構主機爲例進行傳送操作:
(1).打開cmd-輸入ntdsutil—roles
(2). 輸入connections— connect to server 要傳送的服務器名
(3).連接到服務器成功後,輸入quit退回上級菜單,?後查看可執行的操作
(4).如需傳送操作主機角色使用transfer,如佔用使用seize,下例演示傳送命名主機
在圖中可看到,命名主機成功傳送至win2k8這臺域控,其它操作主機角色的傳送和佔用操作也與上面類似,不再贅述(注意不管是傳送還是佔用操作主機,一定要先連接到想要得到操作主機角色的域控後,再進行傳送或是佔用操作)。
五:操作主機角色放置優化配置建議
默認情況下,架構主機和域命名主機角色是在根域的第一臺DC上,而PDC模擬器,RID主機和基礎結構主機默認放置在當前域的第一臺DC上。特別是在單域環境中,按默認安裝,第一臺DC會同時擁有這五種FSMO操作主機角色。萬一這臺DC損壞,會對域環境造成極大風險!
常見的操作主機角色放置建議如下:
1:架構主機:擁有架構主機角色的DC不需要高性能,因爲在實際環境中不會經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少。但要保證可用性,否則在安裝Exchange等會擴展AD架構的軟件時會出錯。
2:域命名主機:對佔有域命名主機的DC也不需要高性能,在實際環境中也不會經常在森林裏添加或者刪除域的。但要保證高可用性是有必要的,以保證在添加刪除當前林中域時可以使用。
一般建議由同一臺DC承擔架構主機與域域命名主機角色,並由GC放置在同一臺DC中。
3:PDC模擬器:從上述PDC功能中可以看出,PDC模擬器是FSMO五種角色裏任務最重的,必須保持擁有PDC的DC有高性能和高可用性。
4:RID主機:對於佔有RID Master的域控制器,沒有必要一定要求高性能,因爲給其它DC分配RID池的操作不是經常性發生,但要求高可用性,否則在添加用戶時出錯。
5:基礎架構主機:對於單域環境,基礎架構主機實際上不起作用,因爲基礎架構主機主要作用是對跨域對象引用進行更新,對於單域,不存在跨域對象的更新。基礎架構主機對性能和可用性方面的要求較低。