FSMO角色
森林级别(一个森林只存在一台DC有这个角色):
- Schema Master(也叫Schema Owner):架构)主控
- Domain Naming Master:域命名主控
- Forest DNS Zone Master:森林DNS区域主机 (Samba FSMO角色)
域级别(一个域里面只存一台DC有这个角色):
- PDC Emulator :PDC仿真器
- RID Master :RID主控
- Infrastructure Master :结构主控
- Domain DNS Zone Master: 域的DNS服务器 (Samba FSMO角色)
FSMO 角色 作用
1、 Schema Master(架构主控)
作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Master进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。
建议:在占有Schema Master的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchange或LCS之类的软件时会出错。
2、 Domain Naming Master (域命名主控)
这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
建议:对占有Domain Naming Master的域控制器同样不需要高性能,当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
3、 PDC Emulator (PDC仿真器)
有些操作则必须要由PDC来完成,主要是以下操作:
⑴、处理密码验证要求;
在默认情况下,域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
⑵、统一域内的时间;
AD活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。
⑶、向域内的NT4 BDC提供复制数据源;
对于一些新建的网络,不大会存在域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。
⑷、统一修改组策略的模板;
⑸、对Windows 2000以前的操作系统,如WIN98之类的计算机提供支持;
对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象!
建议:PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。
4、RID Master (RID主控)
RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
建议:对于占有RID Master的域控制器,没有必要一定要求高性能,因为很少会经常性的利用批处理或脚本向活动目录添加大量的用户。高可用性是必不可少的,否则就没有办法添加用户了。
5、 Infrastructure Master (结构主控)
FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。
建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可用性。
6、Domain DNS Zone Master (域DNS)
拥有域DNS区域主机角色的DC负责协调添加或删除DC上的任何AD集成DNS区域以及承载该域的DNS服务器。
7、Forest DNS Zone Master (林DNS)
拥有林DNS区域主角色的DC负责协调在承载顶级DNS区域的DNS服务器上添加或删除全林记录。这些记录包含全局编录(GC)服务器的名称。
FSMO角色使用场景以及分析
使用场景
FSMO角色,提供在域树或者域林下,具有特定工作职能的DC角色。
场景分析
- DC域树或者域林环境下,各个DC是否平等
在域树或者域林的情况下,如果保证集群合理正常工作,必不可少的一些FSMO角色诞生。
根据上述介绍,不难得到,每一个FSMO角色DC都是独一无二的。没有FSMO角色的DC,理论上在其对应环境下是平等的 - FSMO角色DC挂掉,是否需要转移
每一个FSMO角色都是承担其特有的职能,如果挂掉,就会影响集群的合理工作。
高可用需要考虑的FSMO角色:
- Domain Naming Master
- PDC Emulator
- RID Master
- Domain DNS Zone Master
- Forest DNS Zone Master
FSMO角色迁移
FSMO角色拥有的DC,需要考虑高可用的,需要进行DC集群。
角色迁移,分为两种,角色转移、角色占用
角色转移
将FSMO角色的DC角色,转移给普通的备份DC,让其承担工作,当FSMO角色DC恢复,可以角色恢复
角色占用
FSMO角色分配给备份DC,如果原DC恢复,同样拥有FSMO角色,就会造成同时工作,带来异常。
除非考虑,原FSMO角色DC不会再使用,否则就使用角色转移