操作主机
Active Directory数据库中的特殊对象
操作主机,是Active Directory数据库中的特殊对象,具备此类对象的域控制器肩负着Active Directory的核心功能。
含义解释
在 Active Directory 域中为其指定了一个或多个特殊角色的域控制器
已经分配了角色的域控制器将执行单个主机(同一时间不允许在网络上的不同地点出现)的操作。这些操作的例子包括资源标识符分配、架构修改、PDC 选择和特定的基础结构变化。
控制特定操作的域控制器拥有该操作的操作主机角色。这些操作主机的角色可以转移给其他域控制器
操作主机(Operations Masters,简称OM),或称为操作主控(Flexible Single Master Operation,简称FSMO),尽管名称有所区别,但它们所代表的含义完全相同。操作主机,是Active Directory数据库中的特殊对象,具备此类对象的域控制器肩负着Active Directory的核心功能。
分类
Active Directory域中有5种类型的操作主机,分别是:
架构主机(Schema Master)。
域命名主机(Domain Naming Master)。
PDC仿真器(PDC Emulator)。
RID主机(RIDMaster)。
基础架构主机(Infrastructure Master)。
在每个林中,至少有5个指派给一个或多个域控制器的操作主机角色。在每个林中,林范围的操作主机角色必须只出现一次。在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
每个林必须具有以下角色:
架构主机。
域命名主机。
在林中这些角色必须是唯一的。这意味着在整个林中,只能有一个架构主机和一个域命名主机。
林中的每个域都必须有下列角色:
RID主机。
PDC主机。
基础架构主机。
在每个域中这些角色都必须是唯一的,即林中的每个域都只能有一个RID主机、PDC 主机,以及基础架构主机。
操作环境
操作主机在Active Directory环境中,肩负着重要的作用,如果操作主机出现问题,将会出现以下问题:
当架构主机不可用时,不能对架构进行更改。在大多数网络环境中,对架构更改的频率很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。
当PDC主机不可用时,在本机模式环境中用户登录失败的可能性增大。如果重新设置用户密码,例如用户忘记密码,然后管理员在一台DC(不是验证DC)上重新设置密码,那么该用户就必须等到密码复制到验证DC之后才能登录。试图编辑组策略对象时出错。
当基础架构主机不可用时,结构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响,只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下,结构主机故障只是会延迟通过Active Directory管理单元引用这些更改的时间。
1. 安全规划
操作主机在Active Directory中的作用十分特殊,给予安全的考虑,在不同的应用环境中有着不同的规划,本节介绍常见的两种类型的规划。
2.单域环境
Windows Server 2008或Windows Server 2003单域控制器上角色的初始设置,只能将所有FSMO主机角色规划部署在一台域控制器上。全局编录服务器也配置在此服务器上。在活动目录森林中仅仅只有一个域的情况下,基础架构主机根本不起作用。
3.多域环境
在多域环境中,存在多个域控制器,和多个全局编录服务器,对性能的要求如下所示。
具有架构主机角色的域控制器不需要高性能,因为很少对架构(Schema)进行拓展,但是必须保证可用性。
具有域命名主机角色的域控制器不需要高性能,但是要保证高可用性。
具有PDC主机角色的域控制器FSMO 5种角色中任务最重的,占用PDC模拟器的域控制器要保证高性能和高可用性。
具有RID主机角色的域控制器,不要求高性能,要保证高可用性。
具有基础架构主机角色的域控制器可忽略性能和高可用性。
可以根据如下要求规则FSMO角色。
备用服务器与主要FSMO服务器位于同一站点中,以便在大的计算机组中获得更快的复制性能。
将RID角色和PDC模拟器角色放置在同一域控制器上。最好保证从PDC到RID主机的良好通信,因为下级客户端和应用程序以PDC为目标,从而使PDC成为RID的主要使用者。
在目录林级别上,架构主机角色和域命名主机角色应该放置在同一域控制器上。因为它们很少使用且应该进行严格控制。另外,域命名主机FSMO也应该是全局目录服务器
PDC主机建议单独规划在一台域控制器上。
域命名主机和全局编录服务器规划在一台域控制器上。
使用一个管理控制台可管理所有FSMO角色,并且确认所有的FSMO都是正常的。
单域目录林:在包含单个Active Directory域的目录林中没有跨域操作,因此没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在域中的任一域控制器上。
多域目录林:其中的每个域控制器都包含全局目录。如果目录林中的每个域控制器也承载全局目录,则没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在目录林中的任一域控制器上。
4. 角色处理
在Active Directory环境中,如果具备操作主机角色的域控制器
参考资料
最新修订时间:2022-09-11 08:08
目录
概述
含义解释
参考资料