一、 Active Directy角色概念
Ø 角色就是我们常说的FSMO,DC的作用不是取决于它是网络中的第几台DC,而是取决于FSMO五个角色在网络中的分布情况,FSMO角共分成两大类:
² 第一类,森林级别(也就是每个森林中只能有一台DC存在的)
1. Schema Master:架构主控
2. Domain Naming Master:域命名主控
² 第二类,域级别(也是每个域中只能有一台DC存在的)
3. PDC Emulator:PDC仿真器
4. RID Master:RID主控
5. Iinfrastructure Master:基础架构主控
² 也就是,如果就一个域(当然就一个森林了),那么角色的数量就是5个,如果此时再加入一个子域,那么角色的数量就变成8个,假设域的数量为N,那么FSMO的数量=N*3+2。
Ø 下面介绍五种角色的作用
² Schema Master
用于修改Active Directy的源数据,Active Directy本身就是一个数据库,用户、计算机等,这些对象都有一系列的属性,对象和属性之间就像表格一样存在对应关系,那这些关系就是由Schema Master来定义。我们都知道Schema是可以扩展的,无论是在部暑Exchange还是由2003域升级至2008域的时候,都需要进行Schema的扩展,实际上扩展Schema一定是在Schema Master进行的,即使在其它的DC进行扩展程序,实际上也是通过网络把数据传送至Schema上,再在Schema Master进行扩展。需要注意的是,进行Schema扩展必须具有Schema Admins组的权限才可以。总而言之,具有Schema Master的DC是唯一可以更新Schema的主机。
² Domain Naming Master
在现有森林中添加或删除一个域的话,就必须要和Domain Naming Master进行联系,如果Domain Naming Master处理于Down状态的话,所做的操作肯定失败。
² PDC Master
PDC的作用有以下几个:
l 处理密码验证要求
默认情况下,所有DC会每5分钟复制一次。一般情况下,一旦密码被修改,会先复制到PDC Master,然后由PDC Master以通知的方式,触发一个即时更新,以保证密码的实时性。当然,如果你的多少SITES的话,那么复制的时间取决于你各SITES之间的同步排程。
l 统一域内的时间
Active Driecty是用Kerberos协议来进行身份验证的,默认情况下,用户端与DC之间的时差不能超过5分钟,否则会验证失败。所以域内的时间必须统一,那么这项工作就由PDC Master来完成。
l 统一修改组策略模板
此角色是FSMO里最重要的角色,所占用的DC必须保证较高的性能和可用性。
² RID Master
负责向其它DC分配RID池,默认每一次RID分配512个SID,在创建对象(如用户、计算机、打印机)时,需将RID与域范围内的标识符相结合,创建唯一的SID。如果RID Master在Down机的情况下,最多只能再创建512个对象。通过RID Master可以在同一个目录林中不同的域之间移动所有对象。当用户拥有同一档SID时(虽然这种情况不太可能发生),尽管他们的帐号不一样,系统也认为是同一个帐号。所以说,帐号可以变,但SID不会变。
² Iinfrastructure Master
FSMO五个角色中最无足轻重的角色,主要作用就是用来更新组的成员列表,当一些用户从一个OU移到另一个OU时发生的变化,就由它来完成(我常干这种事,哈!)。
二、 关于FSMO规划的一些建议
建议安着以下的原则来进行规划
Ø Domain Naming Master占用的DC必须同时也GC
Ø 不能把Infrastructrue Master和GC放在同一台DC上
Ø 将Schema Master 和Domain Naming Master放在森林根域的GC服务器上
Ø 将Schema Master 和Domain Naming Master放在同一台DC上
Ø 将PDC Master、RID Master、Iinfrastructure放在同一台且性能较高的DC上
Ø 不要把PDC Master、RID Master、Iinfrastructure放到GC服务器上
三、 FSMO的迁移
假设现在有一个域suzhou.com,并且只有一个SITES,此域中只有2台DC,分别为DC1、DC2,现在FSMO全部在DC1上(至于如何查看FSMO都在哪里,请安装系统盘自带的support tool,然后执行netdom query fsmo)。现在DC1突然Down机,系统无法启动,那么就必须先把FSMO迁移到DC2,下面来看看步骤:
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to Suzhou.com
server connections:quit
select operation target: list sites
Found 1 site(s)
0-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
select operation target: select site 0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=suzhou,DC=com
select operation target: select domain 0
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com t,DC=com
Domain - DC=suzhou,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
CN=DC02,CN=Servers,CN= Default-First-Site-Name,CN=Sites,CN=Configureation,DC=Suzhou,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
*在弹出的对话框中,点击确认*
fsmo maintenance:Seize infrastructure master
*在弹出的对话框中,点击确认*
fsmo maintenance:Seize PDC
*在弹出的对话框中,点击确认*
fsmo maintenance:Seize RID master
*在弹出的对话框中,点击确认*
fsmo maintenance:Seize schema master
*在弹出的对话框中,点击确认*
fsmo maintenance:quit
ntdsutil: quit
最后一点重要的说明,Seize是在FSMO不在线的情况(也是原来FSMO所在的DC无法运行了,就是Down的情况)下使用,如果一切运行正常,只要做下迁移,需要使用Transfer,步骤相同。