主要概览

Active Directory 域服务 (AD DS) 的逻辑结构主要可分为 Active Directory 林、Active Directory 域,通过林树和域树之间的组合可以满足各种规模的企业的各种需求,但是无论怎么进行设置都必须要考虑到以下 5 个 FSMO 操作主机角色的放置问题。

FSMO 是 Flexible Single Master Operation 的缩写,意思就是灵活单主机操作。是被设置为担任提供特定角色信息的网域控制站,在活动目录中有五种 FSMO 角色,并且分为两大类:

Forest  林级别

在整个林中只能有一台 DC 拥有访主机角色

  • 架构主机 (Schema Master)
  • 域命令主机 (Domain Naming Master)

Domain 域级别

在域中只有一台 DC 拥有该角色

  • PDC 模拟器 (PDC Emulator)
  • RID 主机 (RID Master)
  • 基础架构主机 (Infrastructure Master)

角色功能

架构主机

Schema Master

控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。

域命令主机

Domain Naming Master

  • 向目录林中添加新域。
  • 从目录林中删除现有的域。
  • 添加或删除描述外部目录的交叉引用对象。

PDC 模拟器

PDC(主域控制器primary domain controller)Emulator,修改密码时先变更到 PDC 再同步生效

向后兼容低级客户端和服务器,担任 NT 系统中 PDC 角色;

时间同步服务源,作为本域权威时间服务器,为本域中其它 DC 以及客户机提供时间同步服务,林中根域的 PDC 模拟器又为其它域 PDC 模拟器提供时间同步!

密码最终验证服务器,当一用户在本地 DC 登录,而本地 DC 验证本地用户输入密码无效时,本地 DC 会查询 PDC 模拟器,询问密码是否正确。

首选的组策略存放位置,组策略对象 (GPO) 由两部分构成:GPT 和 GPC,其中 GPC 存放在 AD 数据库中,GPT 默认存放 PDC 模拟器在 \\windows\sysvol\sysvol\<domainname> 目录下,然后通过 DFS 复制到本域其它 DC 中。

域主机浏览器,提供通过网上邻居查看域环境中所有主机的功能。

RID 主机

RID(相对用户身份,Relative ID)Master,提供分配 Object 唯一标识符

Windows 环境中,所有的安全主体都有 SID,SID 由域 SID+序列号组合而成,后者称为 “相对 ID”(Relative ID,RID),在 Windows 环境中,由于任何 DC 都可以创建安全主体,为保证整个域中每个 DC 所创建的安全主体对应的 SID 在整个域范围唯一性,设立该主机角色,负责向其它 DC 分配 RID 池 (默认一次性分配 512 个),所有非 RID 在创建安全实体时,都从分配给的 RID 池中分配 RID,以保证 SID 不会发生冲突!

基础架构主机

Infrastructure Master用于维护 AD 工作

基础结构主机的作用是负责对跨域对象引用进行更新,以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息,而对于 GC 来说,会保存当前林中所有对象信息。如果基础架构主机与 GC 在同一台机,基础架构主机就不会更新到任何对象。所以在多域情况下,强烈建议不要将基础架构主机设为 GC。

将承载这些操作主机角色的域控制器放置在具有高网络可靠性的区域,并确保 PDC 模拟器和 RID 主机始终可用。

查询角色

Netdom Query FSMO

Netdom Query FSMO
架构主机               dc2022.hxx.tt
域命名主机        dc2022.hxx.tt
PDC                         dc2022.hxx.tt
RID 池管理器            dc2022.hxx.tt
结构主机       dc2022.hxx.tt
命令成功完成。

何星星原创文章仅用于个人学习,当前页面暂不支持复制操作,了解详情或文章转载请 点此 继续!

0 条评论

发表回复

Avatar placeholder

您的电子邮箱地址不会被公开。 必填项已用*标注