FSMO五種角色的做用

FSMO五種角色的做用

netdom query fsmo命令 查詢fsmo五種角色對應的服務器（netdom）。

FSMO（Flexible Single Master Operations ）中文翻譯成操做主控，在說明FSMO的做用之前，先給你們介紹兩個概念：

單主複製：所 謂的單主複製就是指從一個地方向其它地方進行復制，這個主要是用於之前的NT4域，咱們知道，在NT4域的年代，域網絡上區分PDC和BDC，全部的複製 都是從PDC到BDC上進行的，由於NT4域用的是這種複製機構，因此要在網絡上進行對域的修改就必須在PDC上進行，在BDC上進行是無效的。若是你的 網絡較小的話，那麼這種機構的缺點不能徹底的體現，可是若是是一個跨城區的網絡，好比你的PDC在上海，而BDC在北京的話，那麼你的網絡修改就會顯得非 常的麻煩。

多主複製：多主複製是相對於單主複製而言的，它是指全部的域控制器之間進行相互複製，主要是 爲了彌補單主複製的缺陷，微軟從Windows 2000域開始，再也不在網絡上區分PDC和BDC，全部的域控制器處於一種等價的地位，在任意一臺域控制器上的修改，都會被複制到其它的域控制器上。

既 然Windows 2000域中的域控制器都是等價的，那麼這些域控制器的做用是什麼呢?在Windows 2000域中的域控制器的做用不取決於它是網絡中的第幾臺域控制器，而取決於FSMO五種角色在網絡中的分佈狀況，如今開始進入正題，FSMO有五種角 色，分紅兩大類:

　　一、 森林級別(即一個森林只存在一臺DC有這個角色):

(1)、Schema Master中文翻譯成:架構主控

(2)、Domain Naming Master中文翻譯成:域命名主控

二、 域級別(即一個域裏面只存一臺DC有這個角色):

(1)、PDC Emulator 中文翻譯成:PDC仿真器

(2)、RID Master 中文翻譯成:RID主控

(3)、Infrastructure Master 中文翻譯成:基礎架構主控

1、接下來就來講明一下這五種角色空間有什麼做用:

一、 Schema Maste

用 是修改活動目錄的源數據。咱們知道在活動目錄裏存在着各類各樣的對像，好比用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄自己就是一個數據 庫，對像和屬性之間就好像表格同樣存在着對應關係，那麼這些對像和屬性之間的關係是由誰來定義的，就是Schema Maste，若是你們部署過Excahnge的話，就會知道Schema是能夠被擴展的，但須要你們注意的是，擴展Schema必定是在Schema Maste進行擴展的，在其它域控制器上或成員服務器上執行擴展程序，其實是經過網絡把數據傳送到Schema上而後再在Schema Maste上進行擴展的，要擴展Schema就必須具備Schema Admins組的權限才能夠。

二、 建議:在佔有Schema Maste的域控制器上不須要高性能，由於咱們不是常常對Schema進行操做的，除非是常常會對Schema進行擴展，不過這種狀況很是的少，但咱們必須保證可用性，不然在安裝Exchnage或LCS之類的軟件時會出錯。

三、 Domain Naming Master

這 也是一個森林級別的角色，它的主要做用是管理森林中域的添加或者刪除。若是你要在你現有森林中添加一個域或者刪除一個域的話，那麼就必需要和Domain Naming Master進行聯繫，若是Domain Naming Master處於Down機狀態的話，你的添加和刪除操做那上確定會失敗的。

四、 建議:對佔有Domain Naming Master的域控制器一樣不須要高性能，我想沒有一個網絡管理員會常常在森林裏添加或者刪除域吧?固然高可用性是有必要的，不然就沒有辦法添加刪除森裏的域了。

五、 PDC Emulator

在前面已經提過了，Windows 2000域開始，再也不區分PDC仍是BDC，但實際上有些操做則必需要由PDC來完成，那麼這些操做在Windows 2000域裏面怎麼辦呢?那就由PDC Emulator來完成，主要是如下操做:

⑴、處理密碼驗證要求;

在 默認狀況下，Windows 2000域裏的全部DC會每5分鐘複製一次，但有一些狀況是例外的，好比密碼的修改，通常狀況下，一旦密碼被修改，會先被複制到PDC Emulator，而後由PDC Emulator觸發一個即時更新，以保證密碼的實時性，固然，實際上因爲網絡複製也是須要時間的，因此仍是會存在必定的時間差，至於這個時間差是多少， 則取決於你的網絡規模和線路狀況。

⑵、統一域內的時間;

微軟活動目錄是用Kerberos協議來進行身份認證的，在默認狀況下，驗證方與被驗證方之間的時間差不能超過5分鐘，不然會被拒絕經過，微軟這種設計主要是用來防止回放式***。因此在域內的時間必須是統一的，這個統一時間的工做就是由PDC Emulator來完成的。

⑶、向域內的NT4 BDC提供複製數據源;

對於一些新建的網絡，不大會存在Windows 2000域裏包含NT4的BDC的現象，可是對於一些從NT4升級而來的Windows 2000域卻極可能存有這種狀況，這種狀況下要向NT4 BDC複製，就須要PDC Emulator。

⑷、統一修改組策略的模板;

⑸、對Winodws 2000之前的操做系統，如WIN98之類的計算機提供支持;

對於Windows 2000以前的操做系統，它們會認爲本身加入的是NT4域，因此當這些機器加入到Windows 2000域時，它們會嘗試聯繫PDC，而實際上PDC已經不存在了，因此PDC Emulator就會成爲它們的聯繫對象!

建議:從上面的介紹裏你們應該看出來了，PDC Emulator是FSMO五種角色裏任務最重的，因此對於佔用PDC Emulator的域控制器要保證高性能和高可用性。

四、RID Master

在Windows 2000的安全子系統中，用戶的標識不取決於用戶名，雖然咱們在一些權限設置時用的是用戶名，但實際上取決於安全主體SID，因此當兩個用戶的SID同樣 的時候，儘管他們的用戶名可能不同，但Windows的安全子系統中會把他們認爲是同一個用戶，這樣就會產生安全問題。而在域內的用戶安全 SID=Domain SID+RID，那麼如何避免這種狀況?這就須要用到RID Master，RID Master的做用是:分配可用RID池給域內的DC和防止安全主體的SID重複。

建議:對於佔有RID Master的域控制器，其實也沒有必要必定要求高性能，由於咱們不多會常常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請你們視實際狀況而定了，固然高可用性是必不可少的，不然就沒有辦法添加用戶了。

五、 Infrastructure Master

FSMO 的五種角色中最可有可無的可能就是這個角色了，它的主要做用就是用來更新組的成員列表，由於在活動目錄中頗有可能有一些用戶從一個OU轉移到另一個 OU，那麼用戶的DN名就發生變化，這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。

建議:其實在活動目錄森林裏僅僅只有一個域或者森林裏全部的域控制器都是GC(全局編錄)的狀況下，Infrastructure Master根本不起做用，因此通常狀況下對於佔有Infrastructure Master的域控制器往忽略性能和可能性。