活動目錄操作主機(FSMO)角色詳解

原創 青楓口 2018-09-18 02:43

1:概述

Active Directory 域服務 (AD DS) 的邏輯結構主要可分爲Active Directory林、Active Directory域;通過林樹和域樹之間的組合可以滿足各種規模的企業的各種需求;但是無論怎麼進行設置都必須要考慮到以下5個FSMO操作主機角色的放置問題。FSMO是Flexible single master operation的縮寫,意思就是靈活單主機操作。營運主機(Operation Masters,又稱爲Flexible Single Master Operation,即FSMO)是被設置爲擔任提供特定角色信息的網域控制站,在活動目錄中有五種FSMO角色,並且分爲兩大類:

林級別(在整個林中只能有一臺DC擁有訪主機角色)

  • 架構主機 (Schema Master)

  • 域命令主機 (Domain Naming Master)

域級別(在域中只有一臺DC擁有該角色)

  • PDC模擬器(PDC Emulator)

  • RID主機 (RID Master)

  • 基礎架構主機 (Infrastructure Master)

2:FSMO角色功能

2.1:架構主機

控制活動目錄整個林中所有對象和屬性的定義,具有架構主機角色的DC是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複製到目錄林中的所有其它域控制器中。 架構主機是基於目錄林的,整個目錄林中只有一個架構主機。

2.2:域命令主機

  • 向目錄林中添加新域。

  • 從目錄林中刪除現有的域。

  • 添加或刪除描述外部目錄的交叉引用對象.

2.3:PDC模擬器

  • 向後兼容低級客戶端和服務器,擔任NT系統中PDC角色

  • 時間同步服務源,作爲本域權威時間服務器,爲本域中其它DC以及客戶機提供時間同步服務,林中根域的PDC模擬器又爲其它域PDC模擬器提供時間同步!

  • 密碼最終驗證服務器,當一用戶在本地DC登錄,而本地DC驗證本地用戶輸入密碼無效時,本地DC會查詢PDC模擬器,詢問密碼是否正確。

  • 首選的組策略存放位置,組策略對象(GPO)由兩部分構成:GPT和GPC,其中GPC存放在AD數據庫中,GPT默認存放PDC模擬器的[url=file://windows/sysvol/sysvol/%3Cdomain]\\windows\sysvol\sysvol\目錄下,然後通過DFS複製到本域其它DC中。

  • 域主機瀏覽器,提供通過網上鄰居查看域環境中所有主機的功能

2.4:主機角色:RID主機

    Win2003環境中,所有的安全主體都有SID,SID由域SID+序列號組合而成,後者稱爲“相對ID”(Relative ID,RID),在Win2003環境中,由於任何DC都可以創建安全主體,爲保證整個域中每個DC所創建的安全主體對應的SID在整個域範圍唯一性,設立該主機角色,負責向其它DC分配RID池(默認一次性分配512個),所有非RID在創建安全實體時,都從分配給的RID池中分配RID,以保證SID不會發生衝突!

2.5:基礎架構主機

基礎結構主機的作用是負責對跨域對象引用進行更新,以確保所有域間操作對象的一致性。基礎架構主機工作機制是定期會對沒有保存在本機的引用對象信息,而對於GC來說,會保存當前林中所有對象信息。如果基礎架構主機與GC在同一臺機,基礎架構主機就不會更新到任何對象。所以在多域情況下,強烈建議不要將基礎架構主機設爲GC。

將承載這些操作主機角色的域控制器放置在具有高網絡可靠性的區域,並確保 PDC 模擬器和 RID 主機始終可用。

3:如何查詢或遷移操作主機角色

3.1:如何查詢操作主機所在服務器

默認情況下這五種操作主機角色會部署在環境中的林域中,也就是部署的第一臺域控制器。因爲其是林域,所以林和域的操作主機角色會放置在這裏。我們也可以通過以下辦法來查詢環境中的實際操作主機放置的位置。

在域控制器的命令行控制檯中通過命令netdom query fsmo來查詢,可以看到這五種操作主機角色全部在第一臺域控制器中

clip_image002_thumb[1]

也可以通過使用Dsquery工具單獨查看操作主機角色

Dsquery Server –Hasfsmo Schema //查看架構主機

Dsquery Server –Hasfsmo Name //查看域 主機

Dsquery Server –Hasfsmo PDC //查看PDC模擬器主機

Dsquery Server –Hasfsmo RID //查看RID主機

Dsquery Server –Hasfsmo Infr //查看基礎結構主機

clip_image004_thumb[1]

3.2:遷移域級別操作主機角色

對於域級別的FSMO角色,也就是RID、PDC、基礎架構這三個角色的遷移直接通過“Active Drictory用戶和計算機”管理控制檯就可以進行查詢以及遷移;

打開控制檯後,選中域並右鍵選擇“操作主機”

clip_image006_thumb[1]

在這裏就可以看到域級別的三種FSMO角色,並且看到其當前所在的主機;

clip_image008_thumb[1]

但是默認情況下點擊更改,會出現以下提示;這是因爲當前的FSMO角色和遷移的目的主機是同一臺,所以無法遷移。

clip_image010_thumb[1]

爲了完成遷移必須要先連接到目的域控制器,在該管理控制檯中右鍵選擇“更改域控制器”

clip_image012_thumb[1]

將目錄服務器更改爲要遷移的目的服務器,在本實例就是實驗從DC01遷移到DC02,所以這裏要選擇DC02

clip_image014_thumb[1]

接下來返回操作主機選項卡可以看到操作主機和下方的目的服務器不一致,點擊更改

clip_image016_thumb[1]

點擊更改,在彈出的提示中點擊“是”;就可以執行遷移操作

clip_image018_thumb[1]

接下來就可以看到操作成功的提示,並且可以看到操作主機已經遷移到DC02

clip_image020_thumb[1]

對於其他的PDC、基礎架構主機執行同樣的操作即可將其遷移到其他主機上。

clip_image022_thumb[1]

clip_image024_thumb[1]

通過netdom query fsmo命令查詢也可以確認角色已經遷移到DC02

clip_image026_thumb[2]

3.3:遷移林級別操作主機

對於林級別的操作主機角色架構主機 (Schema Master)、域命令主機 (Domain Naming Master)角色遷移則通過以下方法進行操作。

域命名主機的遷移需要通過“Active Directory域和信任關係”管理工具進行,首先還是要將當前連接的域控制器更改爲要遷移的目的服務器

clip_image028_thumb[1]

本示例也就是DC02

clip_image030_thumb[1]

接下來選擇“操作主機”

clip_image032_thumb[1]

在彈出的操作主機中,點擊更改

clip_image034_thumb[2]

確定遷移,點擊是

clip_image036_thumb[1]

提示操作成功即成功將域命名主機遷移到其他域控制器中

clip_image038_thumb[1]

域架構主機角色的遷移和其他四種角色的操作方法有所不同,在對域架構主機進行遷移前首先在遷移前需要在域控制器上註冊schmmgmt.dll,在CMD中輸入命令regsvr32 schmmgmt.dll,回車後提示註冊成功

clip_image040_thumb[1]

接下來通過MMC管理控制檯來添加管理單元

clip_image042_thumb[1]

將“Active Directory架構”管理單元添加進來

clip_image044_thumb[1]

接下來在Active Directory架構中點擊“操作主機”

clip_image046_thumb[1]

在這裏就可以看到當前的架構主機在哪臺服務器上運行

clip_image048_thumb[1]

同樣如果源和目的服務器處於同一臺主機上,無法進行遷移;同樣需要將當前連接的域控制器選擇爲目的域控制器,在該控制檯右鍵選擇“更改Active Dirctory域控制器”

clip_image050_thumb[1]

本示例要遷移到DC02,故此選擇DC02

clip_image052_thumb[1]

其會彈以下提示,點擊確定即可

clip_image054_thumb[1]

返回到更改操作主機頁面,點擊更改

clip_image056_thumb[1]

就可以將架構主機遷移到DC02

clip_image058_thumb[1]

通過命令行查詢,可以發現五種角色均遷移到DC02

clip_image060_thumb[1]

4:操作主機規劃建議

4.1:操作主機故障影響

操作主機在Active Directory環境中,肩負着重要的作用,如果操作主機出現問題,將會出現以下問題:

  • 當架構主機不可用時,不能對架構進行更改。在大多數網絡環境中,對架構更改的頻率很低,並且應提前進行規劃,以便使架構主機的故障不至於產生任何直接的問題。

  • 當域命名主機不可用時,不能通過運行DCPROMO向Active Directory中添加域,同時也不能從目錄林中刪除域,如果在域命名主機不可用時試圖通過運行DCPROMO來刪除域,那麼就會收到一條"RPC 服務器不可用"的消息。

  • 當RID主機不可用時,所遇到的主要問題是不能向域中添加任何新的安全對象,例如用戶、組和計算機;如果試圖添加,則會出現如下的錯誤消息:"Windows 不能創建對象,因爲:目錄服務已經用完了相對標識號池"。

  • 當PDC主機不可用時,在本機模式環境中用戶登錄失敗的可能性增大。如果重新設置用戶密碼,例如用戶忘記密碼,然後管理員在一臺DC(不是驗證DC)上重新設置密碼,那麼該用戶就必須等到密碼複製到驗證DC之後才能登錄。試圖編輯組策略對象時出錯。

  • 當基礎架構主機不可用時,結構主機故障對環境的影響是有限的。最終用戶並不能感覺到它的影響,只對管理員執行大量組操作產生影響。這些組操作通常是添加用戶和/或重新命名用戶。在此情況下,結構主機故障只是會延遲通過Active Directory管理單元引用這些更改的時間。

4.2:操作主機角色放置優化配置建議

默認情況下,架構主機和域命名主機角色是在根域的第一臺DC上,而PDC模擬器,RID主機和基礎結構主機默認放置在當前域的第一臺DC上。特別是在單域環境中,按默認安裝,第一臺DC會同時擁有這五種FSMO操作主機角色。萬一這臺DC損壞,會對域環境造成極大風險!

常見的操作主機角色放置建議如下:

1. 架構主機:擁有架構主機角色的DC不需要高性能,因爲在實際環境中不會經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少。但要保證可用性,否則在安裝Exchange等會擴展AD架構的軟件時會出錯。

2. 域命名主機:對佔有域命名主機的DC也不需要高性能,在實際環境中也不會經常在森林裏添加或者刪除域的。但要保證高可用性是有必要的,以保證在添加刪除當前林中域時可以使用。 一般建議由同一臺DC承擔架構主機與域域命名主機角色,並由GC放置在同一臺DC中。

3. PDC模擬器:從上述PDC功能中可以看出,PDC模擬器是FSMO五種角色裏任務最重的,必須保持擁有PDC的DC有高性能和高可用性。

4. RID主機:對於佔有RID Master的域控制器,沒有必要一定要求高性能,因爲給其它DC分配RID池的操作不是經常性發生,但要求高可用性,否則在添加用戶時出錯。

5. 基礎架構主機:對於單域環境,基礎架構主機實際上不起作用,因爲基礎架構主機主要作用是對跨域對象引用進行更新,對於單域,不存在跨域對象的更新。基礎架構主機對性能和可用性方面的要求較低。

6.

建議將PDC模擬器,RID主機以及基礎結構主機放置在一臺性能較好的DC中,且儘量不要配置成GC。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

詳解FSMO的五種角色

lzh0601 2019-02-23 13:41:40

2008 R2 輔域搶奪FSMO五大角色並測試

是阿杰啊 2019-02-22 23:30:43

如何查找 FSMO 角色擔任者

kelfenyao 2019-02-22 23:10:03

如何遷移域控制器 FSMO 5個角色和GC

tancom1015 2019-02-22 21:29:55

FSMO

tancom1015 2019-02-22 21:29:47

活動目錄在Windows Server 2008 中的改進:總體概覽

kangjie1223 2019-02-23 00:39:39

活動目錄回收站之終極應用---Windows2008 R2 新功能系列之十一

jary3000 2019-02-22 23:16:54

活動目錄數據庫

豌豆黃 2019-02-22 23:01:44

【Windows Server 2012配置管理】第四章 Windows Server2012配置管理活動目錄(1)

microfans 2019-02-22 22:38:51

活動目錄環境下Apache單點登錄(SSO)的實現

samwonwyd 2019-02-22 22:16:12

AD中刪除BDC

418650451 2019-02-22 22:07:30

Exchange 2016部署實施案例篇-08.Active Directory日常運維檢查

Juck_Zhang 2019-02-22 21:44:12

域控制器活動目錄之備份與恢復

tancom1015 2019-02-22 21:29:51

活動目錄--規劃與建立第一個域

tancom1015 2019-02-22 21:29:50

批量建立域用戶

hjt2601 2019-02-22 21:19:38