FSMO中文翻譯成操作主控,在說明FSMO的作用以前,先給大家介紹兩個概念:
單主復制:所謂的單主復制就是指從一個地方向其它地方進行復制,這個主要是用於以前的NT4域,我們知道,在NT4域的年代,域網絡上區分PDC和BDC,所有的復制都是從PDC到BDC上進行的,因為NT4域用的是這種復制機構,所以要在網絡上進行對域的修改就必須在PDC上進行,在BDC上進行是無效的。如果你的網絡較小的話,那麼這種機構的缺點不能完全的體現,但是如果是一個跨城區的網絡,比如你的PDC在上海,而BDC在北京的話,那麼你的網絡修改就會顯得非常的麻煩。
多主復制:多主復制是相對於單主復制而言的,它是指所有的域控制器之間進行相互復制,主要是為了彌補單主復制的缺陷,微軟從Windows 2000域開始,不再在網絡上區分PDC和BDC,所有的域控制器處於一種等價的地位,在任意一台域控制器上的修改,都會被復制到其它的域控制器上。
既然Windows 2000域中的域控制器都是等價的,那麼這些域控制器的作用是什麼呢?在Windows 2000域中的域控制器的作用不取決於它是網絡中的第幾台域控制器,而取決於FSMO五種角色在網絡中的分布情況,現在開始進入正題,FSMO有五種角色,分成兩大類:
1、 森林級別(即一個森林只存在一台DC有這個角色):
(1)、Schema Master中文翻譯成:架構主控
(2)、Domain Naming Master中文翻譯成:域命名主控
2、 域級別(即一個域裡面只存一台DC有這個角色):
(1)、PDC Emulator 中文翻譯成:PDC仿真器
(2)、RID Master 中文翻譯成:RID主控
(3)、Infrastructure Master 中文翻譯成:基礎架構主控
一、接下來就來說明一下這五種角色空間有什麼作用:
1、 Schema Maste
用是修改活動目錄的源數據。我們知道在活動目錄裡存在著各種各樣的對像,比如用戶、計算機、打印機等,這些對像有一系列的屬性,活動目錄本身就是一個數據庫,對像和屬性之間就好像表格一樣存在著對應關系,那麼這些對像和屬性之間的關系是由誰來定義的,就是Schema Maste,如果大家部署過Excahnge的話,就會知道Schema是可以被擴展的,但需要大家注意的是,擴展Schema一定是在Schema Maste進行擴展的,在其它域控制器上或成員服務器上執行擴展程序,實際上是通過網絡把數據傳送到Schema上然後再在Schema Maste上進行擴展的,要擴展Schema就必須具有Schema Admins組的權限才可以。
建議:在占有Schema Maste的域控制器上不需要高性能,因為我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchnage或LCS之類的軟件時會出錯。
2、 Domain Naming Master
這也是一個森林級別的角色,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話,那麼就必須要和Domain Naming Master進行聯系,如果Domain Naming Master處於Down機狀態的話,你的添加和刪除操作那上肯定會失敗的。
建議:對占有Domain Naming Master的域控制器同樣不需要高性能,我想沒有一個網絡管理員會經常在森林裡添加或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法添加刪除森裡的域了。
3、 PDC Emulator
在前面已經提過了,Windows 2000域開始,不再區分PDC還是BDC,但實際上有些操作則必須要由PDC來完成,那麼這些操作在Windows 2000域裡面怎麼辦呢?那就由PDC Emulator來完成,主要是以下操作:
⑴、處理密碼驗證要求;
在默認情況下,Windows 2000域裡的所有DC會每5分鐘復制一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會先被復制到PDC Emulator,然後由PDC Emulator觸發一個即時更新,以保證密碼的實時性,當然,實際上由於網絡復制也是需要時間的,所以還是會存在一定的時間差,至於這個時間差是多少,則取決於你的網絡規模和線路情況。
⑵、統一域內的時間;
微軟活動目錄是用Kerberos協議來進行身份認證的,在默認情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式攻擊。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的。
