AD五大角色詳述

單主複製:所謂的單主複製就是指從一個地方向其它地方進行復制，這個主要是用於之前的NT4域，在NT4域的年代，域網絡上區分PDC和BDC，全部的複製都是從PDC到BDC上進行的，由於NT4域用的是這種複製機構，因此要在網絡上進行對域的修改就必須在PDC上進行，在BDC上進行是無效的。若是你的網絡較小的話，那麼這種機構的缺點不能徹底的體現，可是若是是一個跨城區的網絡，好比你的PDC在上海，而BDC在北京的話，那麼你的網絡修改就會顯得很是的麻煩。 

多主複製:多主複製是相對於單主複製而言的，它是指全部的域控制器之間進行相互複製，主要是爲了彌補單主複製的缺陷，微軟從Windows 2000域開始，再也不在網絡上區分PDC和BDC，全部的域控制器處於一種等價的地位，在任意一臺域控制器上的修改，都會被複制到其它的域控制器上。 

• 既然Windows 2000域中的域控制器都是等價的，那麼這些域控制器的做用是什麼呢?在Windows 2000域中的域控制器的做用不取決於它是網絡中的第幾臺域控制器，而取決於FSMO五種角色在網絡中的分佈狀況，如今開始進入正題，FSMO有五種角色，分紅兩大類: 

　　一、 森林級別(即一個森林只存在一臺DC有這個角色): 

　　(1)、Schema Master中文翻譯成:架構主控 

　　(2)、Domain Naming Master中文翻譯成:域命名主控 

　　二、 域級別(即一個域裏面只存一臺DC有這個角色): 

　　(1)、PDC Emulator 中文翻譯成:PDC仿真器 

　　(2)、RID Master 中文翻譯成:RID主控 

　　(3)、Infrastructure Master 中文翻譯成:基礎架構主控 

　　1、接下來就來講明一下這五種角色空間有什麼做用: 

　　一、 Schema Maste 

　　用是修改活動目錄的源數據。咱們知道在活動目錄裏存在着各類各樣的對像，好比用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄自己就是一個數據庫，對像和屬性之間就好像表格同樣存在着對應關係，那麼這些對像和屬性之間的關係是由誰來定義的，就是Schema Maste，若是你們部署過Excahnge的話，就會知道Schema是能夠被擴展的，但須要你們注意的是，擴展Schema必定是在Schema Maste進行擴展的，在其它域控制器上或成員服務器上執行擴展程序，其實是經過網絡把數據傳送到Schema上而後再在Schema Maste上進行擴展的，要擴展Schema就必須具備Schema Admins組的權限才能夠。 

　　二、 建議:在佔有SchemaMaste的域控制器上不須要高性能，由於咱們不是常常對Schema進行操做的，除非是常常會對Schema進行擴展，不過這種狀況很是的少，但咱們必須保證可用性，不然在安裝Exchnage或LCS之類的軟件時會出錯。 

　　三、 Domain Naming Master 

　　這也是一個森林級別的角色，它的主要做用是管理森林中域的添加或者刪除。若是你要在你現有森林中添加一個域或者刪除一個域的話，那麼就必需要和Domain Naming Master進行聯繫，若是Domain NamingMaster處於Down機狀態的話，你的添加和刪除操做那上確定會失敗的。 

　　四、 建議:對佔有DomainNaming Master的域控制器一樣不須要高性能，我想沒有一個網絡管理員會常常在森林裏添加或者刪除域吧?固然高可用性是有必要的，不然就沒有辦法添加刪除森裏的域了。 

　　五、 PDC Emulator 

　　在前面已經提過了，Windows 2000域開始，再也不區分PDC仍是BDC，但實際上有些操做則必需要由PDC來完成，那麼這些操做在Windows 2000域裏面怎麼辦呢?那就由PDC Emulator來完成，主要是如下操做: 

　　⑴、處理密碼驗證要求; 

　　在默認狀況下，Windows 2000域裏的全部DC會每5分鐘複製一次，但有一些狀況是例外的，好比密碼的修改，通常狀況下，一旦密碼被修改，會先被複制到PDC Emulator，而後由PDC Emulator觸發一個即時更新，以保證密碼的實時性，固然，實際上因爲網絡複製也是須要時間的，因此仍是會存在必定的時間差，至於這個時間差是多少，則取決於你的網絡規模和線路狀況。 

　　⑵、統一域內的時間; 

　　微軟活動目錄是用Kerberos協議來進行身份認證的，在默認狀況下，驗證方與被驗證方之間的時間差不能超過5分鐘，不然會被拒絕經過，微軟這種設計主要是用來防止回放式***。因此在域內的時間必須是統一的，這個統一時間的工做就是由PDC Emulator來完成的。 

　　⑶、向域內的NT4 BDC提供複製數據源; 

　　對於一些新建的網絡，不大會存在Windows 2000域裏包含NT4的BDC的現象，可是對於一些從NT4升級而來的Windows 2000域卻極可能存有這種狀況，這種狀況下要向NT4 BDC複製，就須要PDC Emulator。 

　　⑷、統一修改組策略的模板; 

　　⑸、對Winodws 2000之前的操做系統，如WIN98之類的計算機提供支持; 

　　對於Windows 2000以前的操做系統，它們會認爲本身加入的是NT4域，因此當這些機器加入到Windows 2000域時，它們會嘗試聯繫PDC，而實際上PDC已經不存在了，因此PDC Emulator就會成爲它們的聯繫對象! 

　　建議:從上面的介紹裏能夠看出，PDC Emulator是FSMO五種角色裏任務最重的，因此對於佔用PDC Emulator的域控制器要保證高性能和高可用性。 

　四、RID Master 

　　在Windows 2000的安全子系統中，用戶的標識不取決於用戶名，雖然咱們在一些權限設置時用的是用戶名，但實際上取決於安全主體SID，因此當兩個用戶的SID同樣的時候，儘管他們的用戶名可能不同，但Windows的安全子系統中會把他們認爲是同一個用戶，這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID，那麼如何避免這種狀況?這就須要用到RID Master，RID Master的做用是:分配可用RID池給域內的DC和防止安全主體的SID重複。 

　　建議:對於佔有RID Master的域控制器，其實也沒有必要必定要求高性能，由於咱們不多會常常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請你們視實際狀況而定了，固然高可用性是必不可少的，不然就沒有辦法添加用戶了。 

　　五、 Infrastructure Master 

　　FSMO的五種角色中最可有可無的可能就是這個角色了，它的主要做用就是用來更新組的成員列表，由於在活動目錄中頗有可能有一些用戶從一個OU轉移到另一個OU，那麼用戶的DN名就發生變化，這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。 

　　建議:其實在活動目錄森林裏僅僅只有一個域或者森林裏全部的域控制器都是GC(全局編錄)的狀況下，Infrastructure Master根本不起做用，因此通常狀況下對於佔有Infrastructure Master的域控制器往忽略性能和可能性。 

　　2、在說完FSMO五種角色的做用之後，咱們如何知道這五種角色在網絡中的分佈狀況呢? 

　　對於新建的網絡，這五種角色都集中在森林中的第一臺域控制器上，可是若是是別人已經建好的網絡，好比咱們去接手一些網絡的時候，極可能這五種角色已經被轉移到其它的域控制器上了。這時咱們能夠經過三種方法來知道，分別是GUI介面，命令行及腳本: 

　　一、 GUI介面: 

　　GUI介面下不能一次性得到五種角色的分佈， 

　　⑴、Schema Maste 

　　點擊「開始-運行」，輸入:「regsvr32schmmgmt」，回車: 

而後點擊「肯定」。 

　　再點擊「開始-運行」，輸入:「MMC」，回車，進入控制檯，出來下面的介面:再點擊「添加」:選中 「ActiveDirectory架構」，點擊「添加」，而後點「關閉」:

而後點擊「肯定」，在控制檯上選中「Active Directory架構」擊「右鍵」，選擇「操做主機」 就能夠看到當前的架構主控了。 

　　⑵、RID Master、Infrastructure Master、PDC Emulator 

　　點擊「開始-設置-控制面板-管理工具-Active Directory用戶和計算機」在域名上單擊右鍵:在出來的菜單中選擇「操做主機」:在出來的畫面中能夠看到RID Master、PDC Emulator、Infrastructure Master的分佈狀況。 

　　⑶、Domain Naming Master 

　　點擊「開始-設置-控制面板-管理工具-Active Directory域和信任關係」:

在「Active Directory域和信任關係」上擊右鍵:選擇「操做主機」: 這就是「Domain Naming Master」所在的域控制器。 

　　以上就是用GUI來查看FSMO五種角色的分佈狀況，用GUI介面不但能夠查看，還能夠隨意的改變這五種角色的分佈狀況，但缺點是比較麻煩，須要較多的操做項目，若是僅僅是查看就比較的浪費時間。 

　　二、 命令行工具: 

　　首先你要安裝Support Tools，在安裝光盤中的Support文件夾下的Tools子文件下。默認安裝在系統盤的Program Files文件下。安裝成功後，點擊「開始-程序-Windows Support Tools-Command Prompt」: 

　　而後運行「netdom」命令，在這裏，運行的是:「netdomquery fsmo」立刻把當前域裏的FSMO五種角色所在的域控制器羅列了出來。 

　　三、 腳本。 　fsmo.vbs，而後到域裏的計算機上運行，就能夠獲得以下畫面:

3、最後來看一下FSMO的規劃，在規劃時，請你們按如下原則進行: 

　　一、佔有Domain Naming Master角色的域控制器必須同時也是GC; 

　　二、不能把Infrastructure Master和GC放在同一臺DC上; 

　　三、建議將Schema Master和DomainNaming Master放在森林根域的GC服務器上; 

　　四、建議將Schema Master和DomainNaming Master放在同一臺域控制器上;

 　　五、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;

 　　六、儘可能不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上.