Windows 2000 Active Directory FSMO 角色

注：本文同樣適用於Windows 2003/2008 R2版本的活動目錄 http://support.microsoft.com/kb/197132/zh-cn 概要 Microsoft Windows 2000 Active Directory 是中央儲存庫，其中存儲了企業中的所有對象及其各自的屬性。它是啓用多主機的分層數據庫，能夠存儲數百萬個對象。由於它是多主機的，因此對該數據庫的更改可以在企業中任何給定的域控制器 (DC) 上進行，而不管該 DC 是否與網絡相連接。   Windows 2000 多主機模式 使用啓用了多主機的數據庫（如 Active Directory），可以在企業中任何 DC 上進行靈活的更改，但是該數據庫同時可能引起衝突，在將數據複製到企業的其他部分時可能會引發問題。Windows 2000 處理更新衝突的一種方法是通過使用衝突解決算法來處理值的差異，該算法使用最後寫入更改的 DC（即，“最後寫入者獲勝”），而丟棄所有其他 DC 中的更改。雖然在有些情況下可以接受該解決方法，但有時候衝突太複雜而不能使用“最後寫入者獲勝”方法進行解決。此種情況下，最好是防止衝突發生，而不是在發生衝突後嘗試解決。
針對某些類型的更改，Windows 2000 會結合使用防止發生 Active Directory 更新衝突的方法。   Windows 2000 單主機模式 爲防止 Windows 2000 中的更新衝突，Active Directory 以單主機方式對某些對象執行更新。在單主機模式中，只允許整個目錄中的一個 DC 處理更新。這與賦予 Windows 早期版本（如 Microsoft Windows NT 3.51 和 4.0）中的主域控制器 (PDC) 的角色相似，其中 PDC 負責處理給定域中的所有更新。
Windows 2000 Active Directory 擴展了 Windows 早期版本中的單主機模式以包括多個角色，且可以將角色轉移給企業中的任何域控制器 (DC)。由於 Active Directory 角色未綁定到單個 DC 上，因此稱它爲“Flexible Single Master Operation (FSMO)”角色。目前在 Windows 2000 中有五種 FSMO 角色：

• 架構主機
• 域命名主機
• RID 主機
• PDC 模擬器
• 結構主機後臺程序

  架構主機 FSMO 角色 架構主機 FSMO 角色的擁有者是負責執行目錄架構（即，命名上下文或 LDAP://cn=schema,cn=configuration,dc=<domain> 的架構）更新的 DC。該 DC 是唯一能夠處理目錄架構更新的域控制器。架構更新完成後，該更新將從架構主機複製到目錄中所有其他 DC 上。每個目錄中只有一臺架構主機。 域命名主機 FSMO 角色 域命名主機 FSMO 角色的擁有者是負責對目錄的林範圍的域名空間（即，分區\配置命名上下文或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>）進行更改的 DC。該 DC 是唯一能夠在目錄中添加或刪除域的域控制器。它也可以添加或刪除在外部目錄中對域的交叉引用。 RID 主機 FSMO 角色 RID 主機 FSMO 角色的擁有者是負責處理來自某一給定域中的所有 DC 的“RID 池”請求的單個 DC。它還負責在對象移動過程中將對象從其域中刪除並放在其他域中。
如果 DC 創建諸如用戶或組之類的安全主體對象，它會將唯一的安全 ID (SID) 附加到該對象上。此 SID 由域 SID（在一個域中創建的所有 SID 的域 SID 均相同）和相關 ID (RID)（在一個域中創建的每個安全主體 SID，其相關 ID 是唯一的）組成。
爲域中的每個 Windows 2000 DC 分配一個 RID 池，以允許將其分配給它所創建的安全主體。如果分配給某個 DC 的 RID 池低於閾值，該 DC 將向域的 RID 主機發布請求以獲取更多 RID。域 RID 主機通過從域的未分配 RID 池中檢索 RID 來響應請求，並將這些 RID 分配給請求的 DC 的池。目錄中的每個域中都有一臺 RID 主機。 PDC 模擬器 FSMO 角色 PDC 模擬器對於在企業中同步時間是必需的。Windows 2000 包含 Kerberos 身份驗證協議所需的 W32Time（Windows 時間）時間服務。企業中所有基於 Windows 2000 的計算機都使用公共的時間。時間服務的目的是確保 Windows 時間服務使用可以控制授權且不允許循環的層級關係來確保使用合適的公共時間。
域中的 PDC 模擬器是域的權威。林根目錄的 PDC 模擬器成爲企業的權威，應配置其從外部源中收集時間。所有 PDC FSMO 角色擁有者都遵循域的層級來選擇其入站時間夥伴。
在 Windows 2000 域中，PDC 模擬器角色擁有者保留以下功能：

• 域中其他 DC 執行的密碼更改優先複製到 PDC 模擬器中。
• 如果由於密碼錯誤而在域中給定的 DC 上發生身份驗證失敗，則在向用戶報告密碼錯誤失敗信息之前先將該信息傳送給 PDC 模擬器。
• 在 PDC 模擬器上執行帳戶鎖定。
• PDC 模擬器可執行基於 Microsoft Windows NT 4.0 Server 的 PDC 或早期 PDC 爲基於 Windows NT 4.0 的客戶端或早期客戶端執行的所有功能。

PDC 模擬器的這部分角色在所有運行 Windows NT 4.0 或更早版本的工作站、成員服務器和域控制器均升級到 Windows 2000 後變得不必要。PDC 模擬器仍然執行在 Windows 2000 環境中所描述的其他功能。
下面的信息介紹在升級過程中發生的更改：

• Windows 2000 客戶端（工作站和成員服務器）和安裝了分佈式服務客戶端軟件包的下層客戶端並不優先在公佈自身爲 PDC 的 DC 上執行目錄寫操作（如密碼更改），它們可使用域中任何 DC。
• 下層域中的備份域控制器 (BDC) 升級到 Windows 2000 後，PDC 模擬器不再接收下層的複製請求。
• Windows 2000 客戶端（工作站和成員服務器）和安裝了分佈式服務客戶端軟件包的下層客戶端使用 Active Directory 來分配網絡資源。它們不請求 Windows NT 瀏覽器服務。

結構主機 FSMO 角色 如果一個域中的對象被另一個域中的其他對象引用，它表示通過 GUID、SID（針對安全主體的引用），以及被引用對象的 DN 進行引用。結構主機 FSMO 角色的擁有者負責在一個跨域的對象引用中更新對象的 SID 和辨別名的 DC。
注意：結構主機 (IM) 角色應由非全局編錄 (GC) 服務器的域控制器擔任。如果結構主機在全局編錄服務器上運行，它將會停止更新對象信息，原因是它只包含對它所擁有的對象的引用。這是因爲全局編錄服務器擁有林中每個對象的部分副本。因此，不會更新域中的跨域對象引用，並且將向此 DC 的事件日誌中寫入該影響的警告。
如果域中的所有域控制器同時也承載全局編錄，則所有域控制器均擁有當前數據，此時哪個域控制器擔任結構主機角色並不重要。