1、 森林級別(一個森林只存在一台DC有這個角色):
(1)、Schema Master(也叫Schema Owner):架構主控
(2)、Domain Naming Master:域命名主控
2、 域級別(一個域裡面只存一台DC有這個角色):
(1)、PDC Emulator :PDC仿真器
(2)、RID Master :RID主控
(3)、Infrastructure Master :基礎架構主控
對於查詢FSMO主機的方式有很多,本人一般在命令行下,用netdom query fsmo命令查詢.要注意的是本命令需要安裝windows 的Support Tools.
五種角色空間有什麼作用
1、 Schema Master
作用是修改活動目錄的源數據。我們知道在活動目錄里存在著各種各樣的對像,比如用戶、計算機、印表機等,這些對像有一系列的屬性,活動目錄本身就是一個資料庫,對象和屬性之間就好像表格一樣存在著對應關係,那么這些對像和屬性之間的關係是由誰來定義的,就是Schema Master,如果大家部署過Exchange的話,就會知道Schema是可以被擴展的,但需要大家注意的是,擴展Schema一定是在Schema Master進行擴展的,在其它域控制器上或成員伺服器上執行擴展程式,實際上是通過網路把數據傳送到Schema上然後再在Schema Master上進行擴展的,要擴展Schema就必須具有Schema Admins組的許可權才可以。
建議:在占有Schema Master的域控制器上不需要高性能,因為我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchange或LCS之類的軟體時會出錯。
2、 Domain Naming Master
這也是一個森林級別的角色,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話,那么就必須要和Domain Naming Master進行聯繫,如果Domain Naming Master處於Down機狀態的話,你的添加和刪除操作那是肯定會失敗的。
建議:對占有Domain Naming Master的域控制器同樣不需要高性能,我想沒有一個網路管理員會經常在森林裡添加或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法添加刪除林里的域了。
3、 PDC Emulator
在前面已經提過了,Windows 2000域開始,不再區分PDC還是BDC,但實際上有些操作則必須要由PDC來完成,那么這些操作在Windows 2000域裡面怎么辦呢?那就由PDC Emulator來完成,主要是以下操作:
⑴、處理密碼驗證要求;
在默認情況下,Windows 2000域裡的所有DC會每5分鐘複製一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會先被複製到PDC Emulator,然後由PDC Emulator觸發一個即時更新,以保證密碼的實時性,當然,實際上由於網路複製也是需要時間的,所以還是會存在一定的時間差,至於這個時間差是多少,則取決於你的網路規模和線路情況。
⑵、統一域內的時間;
微軟活動目錄是用Kerberos協定來進行身份認證的,在默認情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式攻擊。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的。
⑶、向域內的NT4 BDC提供複製數據源;
對於一些新建的網路,不大會存在Windows 2000域裡包含NT4的BDC的現象,但是對於一些從NT4升級而來的Windows 2000域卻很可能存有這種情況,這種情況下要向NT4 BDC複製,就需要PDC Emulator。
⑷、統一修改組策略的模板;
⑸、對Windows 2000以前的作業系統,如WIN98之類的計算機提供支持;
對於Windows 2000之前的作業系統,它們會認為自己加入的是NT4域,所以當這些機器加入到Windows 2000域時,它們會嘗試聯繫PDC,而實際上PDC已經不存在了,所以PDC Emulator就會成為它們的聯繫對象!
建議:從上面的介紹里大家應該看出來了,PDC Emulator是FSMO五種角色里任務最重的,所以對於占用PDC Emulator的域控制器要保證高性能和高可用性。
4、RID Master
在Windows 2000的安全子系統中,用戶的標識不取決於用戶名,雖然我們在一些許可權設定時用的是用戶名,但實際上取決於安全主體SID,所以當兩個用戶的SID一樣的時候,儘管他們的用戶名可能不一樣,但Windows的安全子系統中會把他們認為是同一個用戶,這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID,那么如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重複。
建議:對於占有RID Master的域控制器,其實也沒有必要一定要求高性能,因為我們很少會經常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了,當然高可用性是必不可少的,否則就沒有辦法添加用戶了。
5、 Infrastructure Master
FSMO的五種角色中最無關緊要的可能就是這個角色了,它的主要作用就是用來更新組的成員列表,因為在活動目錄中很有可能有一些用戶從一個域(Domain)轉移到另外一個域(Domain),那么用戶的DN(DomainName)名就發生變化,這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。
建議:其實在活動目錄森林裡僅僅只有一個域或者森林裡所有的域控制器都是GC(全局編錄)的情況下,Infrastructure Master根本不起作用,所以一般情況下對於占有Infrastructure Master的域控制器往忽略性能和可能性。
在FSMO的規劃時,請大家按以下原則進行:
1、占有Domain Naming Master角色的域控制器必須同時也是GC;
2、不能把Infrastructure Master和GC放在同一台DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC伺服器上;
4、建議將Schema Master和Domain Naming Master放在同一台域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一台性能較好的域控制器上;
6、儘量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC伺服器上;
