FSMO 中文翻譯成操作主控，在說(shuō)明FSMO 的作用以前，先給大家介紹兩個(gè)概念： 單主復(fù)制：所謂的單 主復(fù)制就是指從一個(gè)地方向其它地方進(jìn)行復(fù)制，這個(gè)主要是用于以前的NT4域，我們知道，在NT4域的年

FSMO 中文翻譯成操作主控，在說(shuō)明FSMO 的作用以前，先給大家介紹兩個(gè)概念： 單主復(fù)制：所謂的單 主復(fù)制就是指從一個(gè)地方向其它地方進(jìn)行復(fù)制，這個(gè)主要是用于以前的NT4域，我們知道，在NT4域的年代，域網(wǎng)絡(luò)上區(qū)分PDC 和BDC ，所有的復(fù)制都是從 PDC到BDC 上進(jìn)行的，因?yàn)镹T4域用的是這種復(fù)制機(jī)構(gòu)，所以要在網(wǎng)絡(luò)上進(jìn)行對(duì)域的修改就必須在PDC 上進(jìn)行，在BDC 上進(jìn)行是無(wú)效的。如果你的網(wǎng)絡(luò)較 小的話，那么這種機(jī)構(gòu)的缺點(diǎn)不能完全的體現(xiàn)，但是如果是一個(gè)跨城區(qū)的網(wǎng)絡(luò)，比如你的PDC 在上海，而B(niǎo)DC 在北京的話，那么你的網(wǎng)絡(luò)修改就會(huì)顯得非常的麻 煩。

多主復(fù)制：多主復(fù)制是相對(duì)于單主復(fù)制而言的，它是指所有的域控制器之間進(jìn)行相互復(fù)制，主要是為了彌 補(bǔ)單主復(fù)制的缺陷，微軟從Windows 2000域開(kāi)始，不再在網(wǎng)絡(luò)上區(qū)分PDC 和BDC ，所有的域控制器處于一種等價(jià)的地位，在任意一臺(tái)域控制器上的修改，都會(huì)被復(fù)制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等價(jià)的，那么這些域控制器的作用是什么呢? 在Windows 2000域中的域控制器的作用不取決于它是網(wǎng)絡(luò)中的第幾臺(tái)域控制器，而取決于FSMO 五種角色在網(wǎng)絡(luò)中的分布情況，現(xiàn)在開(kāi)始進(jìn)入正題，F(xiàn)SMO 有五種角 色，分成兩大類:

1、 森林級(jí)別(即一個(gè)森林只存在一臺(tái)DC 有這個(gè)角色):

(1)、Schema Master中文翻譯成:架構(gòu)主控

(2)、Domain Naming Master中文翻譯成:域命名主控

2、 域級(jí)別(即一個(gè)域里面只存一臺(tái)DC 有這個(gè)角色):

(1)、PDC Emulator 中文翻譯成:PDC仿真器

(2)、RID Master 中文翻譯成:RID主控

(3)、Infrastructure Master 中文翻譯成:基礎(chǔ)架構(gòu)主控

一、接下來(lái)就來(lái)說(shuō)明一下這五種角色空間有什么作用:

1、 Schema Maste

用是修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在活動(dòng)目錄里存在著各種各樣的對(duì)像，比如用戶、計(jì)算機(jī)、打印機(jī)等，這些對(duì)像有一系列的屬性，活動(dòng)目錄本身就是一 個(gè)數(shù)據(jù)庫(kù)，對(duì)像和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)系，那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來(lái)定義的，就是Schema Maste ，如果大家部署過(guò)Excahnge 的話，就會(huì)知道Schema 是可以被擴(kuò)展的，但需要大家注意的是，擴(kuò)展Schema 一定是在Schema Maste進(jìn)行擴(kuò)展的，在其它域控制器上或成員服務(wù)器上執(zhí)行擴(kuò)展程序，實(shí)際上是通過(guò)網(wǎng)絡(luò)把數(shù)據(jù)傳送到Schema 上然后再在Schema Maste 上進(jìn)行擴(kuò)展的，要擴(kuò)展Schema 就必須具有Schema Admins組的權(quán)限才可以。

2、 建議:在占有Schema Maste 的域控制器上不需要高性能，因?yàn)槲覀儾皇墙?jīng)常對(duì)Schema 進(jìn)行操作的，除非是經(jīng)常會(huì)對(duì)Schema 進(jìn)行擴(kuò)展，不過(guò)這種情況非常的少，但我們必須保證可用性，否則在安裝Exchnage 或LCS 之類的軟件時(shí)會(huì)出錯(cuò)。

3、 Domain Naming Master

這也是一個(gè)森林級(jí)別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的話，那么就必須要和 Domain Naming Master進(jìn)行聯(lián)系，如果Domain Naming Master處于Down 機(jī)狀態(tài)的話，你的添加和刪除操作那上肯定會(huì)失敗的。

4、 建議:對(duì)占有Domain Naming Master 的域控制器同樣不需要高性能，我想沒(méi)有一個(gè)網(wǎng)絡(luò)管理員會(huì)經(jīng)常在森林里添加或者刪除域吧? 當(dāng)然高可用性是有必要的，否則就沒(méi)有辦法添加刪除森里的域了。

5、 PDC Emulator

在前面已經(jīng)提過(guò)了，Windows 2000域開(kāi)始，不再區(qū)分PDC 還是BDC ，但實(shí)際上有些操作則必須要由PDC 來(lái)完成，那么這些操作在Windows 2000域里面怎么辦呢? 那就由PDC Emulator來(lái)完成，主要是以下操作:

⑴、處理密碼驗(yàn)證要求;

在默認(rèn)情況下，Windows 2000域里的所有DC 會(huì)每5分鐘復(fù)制一次，但有一些情況是例外的，比如密碼的修改，一般情況下，一旦密碼被修改，會(huì)先被復(fù)制到PDC Emulator ，然后由PDC Emulator 觸發(fā)一個(gè)即時(shí)更新，以保證密碼的實(shí)時(shí)性，當(dāng)然，實(shí)際上由于網(wǎng)絡(luò)復(fù)制也是需要時(shí)間的，所以還是會(huì)存在一定的時(shí)間差，至于這個(gè)時(shí)間差是多少， 則取決于你的網(wǎng)絡(luò)規(guī)模和線路情況。

⑵、統(tǒng)一域內(nèi)的時(shí)間;

微軟活動(dòng)目錄是用Kerberos 協(xié)議來(lái)進(jìn)行身份認(rèn)證的，在默認(rèn)情況下，驗(yàn)證方與被驗(yàn)證方之間的時(shí)間差不能超過(guò)5分鐘，否則會(huì)被拒絕通過(guò)，微軟這種設(shè)計(jì)主要是用來(lái)防止回放式攻擊。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的，這個(gè)統(tǒng)一時(shí)間的工作就是由PDC Emulator來(lái)完成的。

⑶、向域內(nèi)的NT4 BDC提供復(fù)制數(shù)據(jù)源;

對(duì)于一些新建的網(wǎng)絡(luò)，不大會(huì)存在Windows 2000域里包含NT4的BDC 的現(xiàn)象，但是對(duì)于一些從NT4升級(jí)而來(lái)的Windows 2000域卻很可能存有這種情況，這種情況下要向NT4 BDC復(fù)制，就需要PDC Emulator。

⑷、統(tǒng)一修改組策略的模板;

⑸、對(duì)Winodws 2000以前的操作系統(tǒng)，如WIN98之類的計(jì)算機(jī)提供支持;

對(duì)于Windows 2000之前的操作系統(tǒng)，它們會(huì)認(rèn)為自己加入的是NT4域，所以當(dāng)這些機(jī)器加入到Windows 2000域時(shí)，它們會(huì)嘗試聯(lián)系PDC ，而實(shí)際上PDC 已經(jīng)不存在了，所以PDC Emulator就會(huì)成為它們的聯(lián)系對(duì)象!

建議:從上面的介紹里大家應(yīng)該看出來(lái)了，PDC Emulator是FSMO 五種角色里任務(wù)最重的，所以對(duì)于占用PDC Emulator的域控制器要保證高性能和高可用性。

4、RID Master

在Windows 2000的安全子系統(tǒng)中，用戶的標(biāo)識(shí)不取決于用戶名，雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶名，但實(shí)際上取決于安全主體SID ，所以當(dāng)兩個(gè)用戶的SID 一樣 的時(shí)候，盡管他們的用戶名可能不一樣，但Windows 的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶，這樣就會(huì)產(chǎn)生安全問(wèn)題。而在域內(nèi)的用戶安全 SID=Domain SID RID，那么如何避免這種情況? 這就需要用到RID Master，RID Master 的作用是:分配可用RID 池給域內(nèi)的DC 和防止安全主體的SID 重復(fù)。 建議:對(duì)于占有RID Master 的域控制器，其實(shí)也沒(méi)有必要一定要求高性能，因?yàn)槲覀兒苌贂?huì)經(jīng)常性的利用批處理或腳本向活動(dòng)目錄添加大量的用戶。這個(gè)請(qǐng)大家視實(shí)際情況而定了，當(dāng)然高可用性是必不可少的，否則就沒(méi)有辦法添加用戶了。

5、 Infrastructure Master

FSMO 的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了，它的主要作用就是用來(lái)更新組的成員列表，因?yàn)樵诨顒?dòng)目錄中很有可能有一些用戶從一個(gè)OU 轉(zhuǎn)移 到另外一個(gè)OU ，那么用戶的DN 名就發(fā)生變化，這時(shí)其它域?qū)τ谶@個(gè)用戶引用也要發(fā)生變化。這種變化就是由Infrastructure Master來(lái)完成的。

建議:其實(shí)在活動(dòng)目錄森林里僅僅只有一個(gè)域或者森林里所有的域控制器都是GC(全局編錄) 的情況下，Infrastructure Master 根本不起作用，所以一般情況下對(duì)于占有Infrastructure Master的域控制器可忽略其性能。

二、在說(shuō)完FSMO 五種角色的作用以后，我們?nèi)绾沃肋@五種角色在網(wǎng)絡(luò)中的分布情況呢?

對(duì)于新建的網(wǎng)絡(luò)，這五種角色都集中在森林中的第一臺(tái)域控制器上，但是如果是別人已經(jīng)建好的網(wǎng)絡(luò)，比如我們?nèi)ソ邮忠恍┚W(wǎng)絡(luò)的時(shí)候，很可能這五種角色已經(jīng)被轉(zhuǎn)移到其它的域控制器上了。這時(shí)我們可以通過(guò)三種方法來(lái)知道，分別是GUI 介面，命令行及腳本:

1、 GUI介面:

GUI 介面下不能一次性獲得五種角色的分布，

⑴、Schema Maste

點(diǎn)擊“開(kāi)始-運(yùn)行”，輸入:“regsvr32 schmmgmt”，回車:

然后點(diǎn)擊“確定”。

再點(diǎn)擊“開(kāi)始-運(yùn)行”，輸入:“MMC”，回車，進(jìn)入控制臺(tái)，

.

點(diǎn)擊“文件-添加刪除管理單元”

出來(lái)下面的介面

:

再點(diǎn)擊“添加”:

選中上圖所示中有“Active Directory 架構(gòu)”，點(diǎn)擊“添加”，然后點(diǎn)“關(guān)閉”:

然后點(diǎn)擊“確定”，在控制臺(tái)上選中“Active Directory架構(gòu)”擊“右鍵”，選擇“操作主機(jī)”

出現(xiàn)下圖

:

就可以看到當(dāng)前的架構(gòu)主控了。

⑵、RID Master、Infrastructure Master、PDC Emulator

點(diǎn)擊“開(kāi)始-設(shè)置-控制面板-管理工具-Active Directory用戶和計(jì)算機(jī)”

在域名上單擊右鍵

:

在出來(lái)的菜單中選擇“操作主機(jī)”:

在出來(lái)的畫(huà)面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情況。

⑶、Domain Naming Master

點(diǎn)擊“開(kāi)始-設(shè)置-控制面板-管理工具-Active Directory域和信任關(guān)系”: