AD定义了五种操作主控角色(FSMO)分别为:
架构主控 schema master 作用于林级别(一个林中只能有一个架构主控)
域命名主控 domain naming master 作用于林级别
相对标识号 (RID) 主控 RID master 作用于域级别(一个域中只能有一个架构主控)
主域控制器模拟器 (PDC) 作用于域级别
基础结构主控 infrastructure master 作用于域级别
架构主控(Schema Master)作用于林级别
功能:控制活动目录内所有对象/属性的定义
提示:Regsvr32 schmmgmt.dll(注册架构主控) 属于Schema Admins组
故障影响:更新Schema受影响、短期内一般看不到影响
典型问题如:无法安装Exchange
故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用
若修改AD的架构,只能从架构主机上进行操作。很多高级服务器产品在部署时都需修改AD的架构,如Exchange。若在域中部署Exchange时无法在线联系架构主机,则Exchange的部署就无法继续。MCSE考题曾考过此知识点
域命名主控(Domain Naming Master)作用于林级别
功能:控制森林内域的添加和删除、添加和删除对外部目录的交叉引用对象
提示:建议与GC配置在一起 属于Enterprise Admins组
故障影响:更改域结构受影响、短期内一般看不到影响
典型问题如:添加/删除域
故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用
主要负责控制域林内域的添加或删除,即若在林域内添加一个新域,必须由域命名主控判断域名合法,操作才可以继续。如果域命名主控不在线,就无法完成林域内的新域创建。除了对域名做诠释。
还负责添加或删除描述外部目录的交叉引用对象。
RID主控(RID Master)作用于域级别
功能:管理域中对象相对标识符(RID)池
对象安全标识符(SID)=域安全标识符+相对标识符(RID)*
如:S-1-5-21-1343024091-879983540-3…
S-1-5-21-D1-D2-D3-RID,S是SID的缩写,1是SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。管理员的SID为S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。
故障影响:无法获得新的RID池分配
典型问题如:无法新建(大量)用户帐号
故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用
RID是SID的一部分, 作用即为AD提供一个可用的RID池(默认500个)而且当池中的RID被消耗到一定程度后再自动补充满。如果RID主机出现故障,显然会对我们创建大量的用户账号造成麻烦。
PDC模拟主控(PDC Emulator)作用于域级别
功能:模拟Windows NT PDC、默认的域主浏览器、默认的域内权威的时间服务源、统一管理域帐号密码更新、验证及锁定
提示:PDC模拟主控不仅是模拟NT PDC、一般负荷较大
故障影响:底端客户不能访问AD、不能更改域帐号密码、浏览服务问题、时间同步问题。
故障处理:需要及时地恢复,可以使用转移操作,PDC在线情况下转移到其他主机上。
兼容NT4服务器;优先成为主浏览器(即网络中的一种计算机角色:维护网上邻居中计算机列表);AD的优先复制权(AD内容发生变化时优先复制到PDC中);充当域内的权威时间源;组策略的首选存储地点。
基础结构主控(Infrastructure Master)作用于域级别
功能:负责对跨域对象引用进行更新
提示:单域情况下基础结构主机不需要工作、不能同时和GC配置在一起(单DC除外)
故障影响:外域帐号不能识别,标记为SID
故障处理:需要比较及时地恢复,可以使用转移操作,PDC在线情况下转移到其他主机上。
结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主控就会负责关注A域的这个用户是否发生了什么变化,如是否被删除了,结构主控的工作可以确保域间对象引用的可操作性。
如为一个单域,基本上用不着结构主控做什么工作。
如果在一个多域的林环境,结构主控不要和GC(全局编录)放在同一台DC上,否则结构主控无法正常工作。
操作主控的放置建议
默认情况:架构主控在根域的第一台DC上、域命名主控在根域的第一台DC上、其他三个主控(RID主控、PDC模拟主控、基础结构主控)角色在各自域的第一台DC上
考虑问题:和GC的冲突、性能考虑
手工优化:基础结构主控与GC不放在一起;域命名主控与GC放在一起;架构主控与域命名主控可放在一起;PDC模拟主控建议单独放置。