一、 Active Directy角色概念
Ø 角色就是我們常說的FSMO,DC的作用不是取決於它是網絡中的第幾臺DC,而是取決於FSMO五個角色在網絡中的分佈情況,FSMO角共分成兩大類:
² 第一類,森林級別(也就是每個森林中只能有一臺DC存在的)
1. Schema Master:架構主控
2. Domain Naming Master:域命名主控
² 第二類,域級別(也是每個域中只能有一臺DC存在的)
3. PDC Emulator:PDC仿真器
4. RID Master:RID主控
5. Iinfrastructure Master:基礎架構主控
² 也就是,如果就一個域(當然就一個森林了),那麼角色的數量就是5個,如果此時再加入一個子域,那麼角色的數量就變成8個,假設域的數量爲N,那麼FSMO的數量=N*3+2。
Ø 下面介紹五種角色的作用
² Schema Master
用於修改Active Directy的源數據,Active Directy本身就是一個數據庫,用戶、計算機等,這些對象都有一系列的屬性,對象和屬性之間就像表格一樣存在對應關係,那這些關係就是由Schema Master來定義。我們都知道Schema是可以擴展的,無論是在部暑Exchange還是由2003域升級至2008域的時候,都需要進行Schema的擴展,實際上擴展Schema一定是在Schema Master進行的,即使在其它的DC進行擴展程序,實際上也是通過網絡把數據傳送至Schema上,再在Schema Master進行擴展。需要注意的是,進行Schema擴展必須具有Schema Admins組的權限纔可以。總而言之,具有Schema Master的DC是唯一可以更新Schema的主機。
² Domain Naming Master
在現有森林中添加或刪除一個域的話,就必須要和Domain Naming Master進行聯繫,如果Domain Naming Master處理於Down狀態的話,所做的操作肯定失敗。
² PDC Master
PDC的作用有以下幾個:
l 處理密碼驗證要求
默認情況下,所有DC會每5分鐘複製一次。一般情況下,一旦密碼被修改,會先複製到PDC Master,然後由PDC Master以通知的方式,觸發一個即時更新,以保證密碼的實時性。當然,如果你的多少SITES的話,那麼複製的時間取決於你各SITES之間的同步排程。
l 統一域內的時間
Active Driecty是用Kerberos協議來進行身份驗證的,默認情況下,用戶端與DC之間的時差不能超過5分鐘,否則會驗證失敗。所以域內的時間必須統一,那麼這項工作就由PDC Master來完成。
l 統一修改組策略模板
此角色是FSMO裏最重要的角色,所佔用的DC必須保證較高的性能和可用性。
² RID Master
負責向其它DC分配RID池,默認每一次RID分配512個SID,在創建對象(如用戶、計算機、打印機)時,需將RID與域範圍內的標識符相結合,創建唯一的SID。如果RID Master在Down機的情況下,最多隻能再創建512個對象。通過RID Master可以在同一個目錄林中不同的域之間移動所有對象。當用戶擁有同一檔SID時(雖然這種情況不太可能發生),儘管他們的帳號不一樣,系統也認爲是同一個帳號。所以說,帳號可以變,但SID不會變。
² Iinfrastructure Master
FSMO五個角色中最無足輕重的角色,主要作用就是用來更新組的成員列表,當一些用戶從一個OU移到另一個OU時發生的變化,就由它來完成(我常幹這種事,哈!)。
二、 關於FSMO規劃的一些建議
建議安着以下的原則來進行規劃
Ø Domain Naming Master佔用的DC必須同時也GC
Ø 不能把Infrastructrue Master和GC放在同一臺DC上
Ø 將Schema Master 和Domain Naming Master放在森林根域的GC服務器上
Ø 將Schema Master 和Domain Naming Master放在同一臺DC上
Ø 將PDC Master、RID Master、Iinfrastructure放在同一臺且性能較高的DC上
Ø 不要把PDC Master、RID Master、Iinfrastructure放到GC服務器上
三、 FSMO的遷移
假設現在有一個域suzhou.com,並且只有一個SITES,此域中只有2臺DC,分別爲DC1、DC2,現在FSMO全部在DC1上(至於如何查看FSMO都在哪裏,請安裝系統盤自帶的support tool,然後執行netdom query fsmo)。現在DC1突然Down機,系統無法啓動,那麼就必須先把FSMO遷移到DC2,下面來看看步驟:
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to Suzhou.com
server connections:quit
select operation target: list sites
Found 1 site(s)
0-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
select operation target: select site 0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=suzhou,DC=com
select operation target: select domain 0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com t,DC=com
Domain - DC=suzhou,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
CN=DC02,CN=Servers,CN= Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
*在彈出的對話框中,點擊確認*
fsmo maintenance:Seize infrastructure master
*在彈出的對話框中,點擊確認*
fsmo maintenance:Seize PDC
*在彈出的對話框中,點擊確認*
fsmo maintenance:Seize RID master
*在彈出的對話框中,點擊確認*
fsmo maintenance:Seize schema master
*在彈出的對話框中,點擊確認*
fsmo maintenance:quit
ntdsutil: quit
最後一點重要的說明,Seize是在FSMO不在線的情況(也是原來FSMO所在的DC無法運行了,就是Down的情況)下使用,如果一切運行正常,只要做下遷移,需要使用Transfer,步驟相同。