AD域FSMO五种角色的作用Word下载.docx
《AD域FSMO五种角色的作用Word下载.docx》由会员分享,可在线阅读,更多相关《AD域FSMO五种角色的作用Word下载.docx(19页珍藏版)》请在冰豆网上搜索。
(2)、DomainNamingMaster中文翻译成:
域命名主控
2、域级别(即一个域里面只存一台DC有这个角色):
(1)、PDCEmulator中文翻译成:
PDC仿真器
(2)、RIDMaster中文翻译成:
RID主控
(3)、InfrastructureMaster中文翻译成:
基础架构主控
一、接下来就来说明一下这五种角色空间有什么作用:
1、SchemaMaste
用是修改活动目录的源数据。
我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是SchemaMaste,如果大家部署过Excahnge的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在SchemaMaste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在SchemaMaste上进行扩展的,要扩展Schema就必须具有SchemaAdmins组的权限才可以。
2、建议:
在占有SchemaMaste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错。
3、DomainNamingMaster
这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。
如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和DomainNamingMaster进行联系,如果DomainNamingMaster处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
4、建议:
对占有DomainNamingMaster的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?
当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
5、PDCEmulator
在前面已经提过了,Windows2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows2000域里面怎么办呢?
那就由PDCEmulator来完成,主要是以下操作:
⑴、处理密码验证要求;
在默认情况下,Windows2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDCEmulator,然后由PDCEmulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
⑵、统一域内的时间;
微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。
所以在域内的时间必须是统一的,这个统一时间的工作就是由PDCEmulator来完成的。
⑶、向域内的NT4BDC提供复制数据源;
对于一些新建的网络,不大会存在Windows2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows2000域却很可能存有这种情况,这种情况下要向NT4BDC复制,就需要PDCEmulator。
⑷、统一修改组策略的模板;
⑸、对Winodws2000以前的操作系统,如WIN98之类的计算机提供支持;
对于Windows2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDCEmulator就会成为它们的联系对象!
建议:
从上面的介绍里大家应该看出来了,PDCEmulator是FSMO五种角色里任务最重的,所以对于占用PDCEmulator的域控制器要保证高性能和高可用性。
4、RIDMaster
在Windows2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。
而在域内的用户安全SID=DomainSID+RID,那么如何避免这种情况?
这就需要用到RIDMaster,RIDMaster的作用是:
分配可用RID池给域内的DC和防止安全主体的SID重复。
对于占有RIDMaster的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。
这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。
5、InfrastructureMaster
FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。
这种变化就是由InfrastructureMaster来完成的。
其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,InfrastructureMaster根本不起作用,所以一般情况下对于占有InfrastructureMaster的域控制器往忽略性能和可能性。
二、在说完FSMO五种角色的作用以后,我们如何知道这五种角色在网络中的分布情况呢?
对于新建的网络,这五种角色都集中在森林中的第一台域控制器上,但是如果是别人已经建好的网络,比如我们去接手一些网络的时候,很可能这五种角色已经被转移到其它的域控制器上了。
这时我们可以通过三种方法来知道,分别是GUI介面,命令行及脚本:
1、GUI介面:
GUI介面下不能一次性获得五种角色的分布,
⑴、SchemaMaste
点击“开始-运行”,输入:
“regsvr32schmmgmt”,回车:
下载次数:
36
2006-3-810:
37
然后点击“确定”。
再点击“开始-运行”,输入:
“MMC”,回车,进入控制台,.
14
38
点击“文件-添加删除管理单元”
11
出来下面的介面:
39
再点击“添加”:
13
选中上图所示中有“ActiveDirectory架构”,点击“添加”,然后点“关闭”:
然后点击“确定”,在控制台上选中“ActiveDirectory架构”击“右键”,选择“操作主机”
17
40
出现下图:
8.jpg(18.2KB)
18
就可以看到当前的架构主控了。
⑵、RIDMaster、InfrastructureMaster、PDCEmulator
点击“开始-设置-控制面板-管理工具-ActiveDirectory用户和计算机”
15
41
在域名上单击右键:
10
在出来的菜单中选择“操作主机”:
11.jpg(56.62KB)
12
在出来的画面中可以看到RIDMaster、PDCEmulator、InfrastructureMaster的分布情况。
42
⑶、DomainNamingMaster
点击“开始-设置-控制面板-管理工具-ActiveDirectory域和信任关系”:
在“ActiveDirectory域和信任关系”上击右键:
选择“操作主机”:
16
43
这就是“DomainNamingMaster”所在的域控制器。
以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种角色的分布情况,但缺点是比较麻烦,需要较多的操作项目,如果仅仅是查看就比较的浪费时间。
然后运行“netdom”命令,在这里,运行的是:
“netdomqueryfsmo”:
看到了吧,马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。
3、脚本。
SetobjRootDSE=GetObject("
LDAP:
//rootDSE"
)
Dimtext
'
SchemaMaster
SetobjSchema=GetObject("
//"
&
objRootDSE.Get("
schemaNamingContext"
))
strSchemaMaster=objSchema.Get("
fSMORoleOwner"
SetobjNtds=GetObject("
strSchemaMaster)
Setobj