Active Directory FSMO 角色Windows

本文主要帮助您了解 Active Directory 中的灵活单一主操作 (FSMO) 角色。

适用于:  Windows Server 2012R2
原始 KB 编号:   197132

摘要

Active Directory 是一个中央存储库,其中存储了企业内的所有对象及其各自的属性。 它是一个启用多主机的分层数据库,可存储数百万个对象。 可以在企业内的任何给定域控制器 (DC) 处理对数据库的更改,而不管 DC 是连接到网络还是与网络断开连接。

多主模型

启用多主机的数据库(如 Active Directory)可灵活地允许更改在企业中的任意 DC 上发生。 但它也引入冲突的可能性,冲突在数据复制到企业其余部分后可能会导致问题。 处理冲突Windows的单向方法就是让冲突解决算法处理值的差异。 它通过解析到上次写入更改的 DC(最后一个编写器优先) 完成。 将放弃所有其他 DCS 中的更改。 尽管在某些情况下此方法可能可接受,但有时使用上一个编写器优先方法很难解决冲突。 在这种情况下,最好防止发生冲突,而不是在事件发生后尝试解决冲突。

对于某些类型的更改,Windows方法来防止发生冲突的 Active Directory 更新。

单主机模型

为了防止在更新Windows,Active Directory 以单一主控方式对某些对象执行更新。 在单主机模型中,仅允许整个目录中的一个 DC 处理更新。 它类似于在 Windows 早期版本(如 Microsoft Windows NT 3.51 和 4.0)中为主域控制器 (PDC) 提供的角色。 在早期版本的 Windows 中,PDC 负责处理给定域中的所有更新。

Active Directory 扩展了早期版本的 Windows 中的单主机模型,以包含多个角色,并能够将角色转移到企业中的任意 DC。 由于 Active Directory 角色未绑定到单个 DC,因此称为 FSMO 角色。 目前Windows有五个 FSMO 角色:

  • 架构主机
  • 域命名主机
  • RID 主机
  • PDC 仿真器
  • 基础结构主机

架构主机 FSMO 角色

架构主机 FSMO 角色持有者是负责执行目录架构更新的 DC,即架构命名上下文或 LDAP://cn=schema,cn=configuration,dc= <domain> 。 此 DC 是唯一可以处理目录架构更新的 DC。 架构更新完成后,它将从架构主机复制到目录中的所有其他 DCS。 每个目录只有一个架构主机。

域命名主机 FSMO 角色

域命名主机 FSMO 角色持有者是负责更改目录的林范围域名空间(即 Partitions\Configuration 命名上下文或 LDAP://CN=Partitions、CN=Configuration、DC= )的 DC。 <domain> 此 DC 是唯一可以在目录中添加或删除域的 DC。 它还可以在外部目录中添加或删除对域的交叉引用。

RID 主 FSMO 角色

RID 主机 FSMO 角色持有者是负责处理来自给定域中所有 DC 的 RID 池请求的单个 DC。 它还负责从对象的域中删除对象,在对象移动过程中将其放入另一个域中。

当 DC 创建安全主体对象(如用户或组)时,它会将唯一的安全 ID (SID) 对象。 此 SID 包括:

  • 域 SID 对于在域中创建的所有 SID 都相同。
  • 在 (创建) 安全主体 SID 的唯一的 RID 策略的相对 ID。

域中Windows DC 都分配有一个 RID 池,允许将其分配给它创建的安全主体。 当 DC 分配的 RID 池低于阈值时,该 DC 会向域的 RID 主机发送对其他 RID 的请求。 域 RID 主机通过从域的未分配 RID 池检索 RID 来响应请求,并将其分配给请求 DC 的池。 目录中每个域有一个 RID 主机。

PDC 模拟器 FSMO 角色

PDC 仿真器是企业中同步时间所必需的。 Windows Kerberos 身份验证协议 (Windows W32Time) Time) 时间服务。 企业Windows所有基于计算机的计算机都使用一个公用时间。 时间服务的目的是确保时间服务Windows控制权威的分层关系。 它不允许循环以确保适当的常见时间使用。

域的 PDC 仿真器对域具有权威性。 林根目录的 PDC 仿真器对于企业具有权威性,并且应配置为从外部源收集时间。 所有 PDC FSMO 角色持有者都遵循域的层次结构,选择其绑定时间伙伴。

在Windows域中,PDC 仿真器角色持有者保留以下功能:

  • 域中其他 DCS 所做的密码更改将顺利复制到 PDC 仿真器。
  • 当给定 DC 上由于密码不正确而发生身份验证失败时,在向用户报告错误密码失败消息之前,会先将失败情况转发到 PDC 仿真器。
  • 在 PDC 仿真器上处理帐户锁定。
  • PDC 仿真器执行基于 Windows NT 4.0 服务器的 PDC 或更早的 PDC 为基于 Windows NT 4.0 或更早的客户端执行的所有功能。

在下列情况下,此部分 PDC 仿真器角色将变为不必要的:
所有运行 Windows NT (4.0 或更早版本) 工作站、成员服务器和域控制器均升级到 Windows 2000。

PDC 仿真器仍执行其他功能,如 Windows 2000 环境中所述。

以下信息介绍了升级过程中发生的更改:

  • Windows客户端 (工作站和成员服务器) 以及已安装分布式服务客户端包的低级别客户端不会执行目录写入 (例如密码更改) 在已公布自身为 PDC 的 DC 上明显更改密码。 他们为域使用任意 DC。
  • 将下 (域中 (BDC) 备份域控制器升级到 Windows 2000 后,PDC 仿真器不会收到任何下层副本请求。
  • Windows客户端 (工作站和成员服务器) 安装分布式服务客户端包的低级别客户端使用 Active Directory 查找网络资源。 它们不需要 Windows NT 浏览器服务。

基础结构主机 FSMO 角色

当一个域中的对象被另一个域中的另一个对象引用时,它表示以下对象的引用:

  • The GUID
  • SID (用于引用安全主体)
  • 被引用对象的 DN

基础结构 FSMO 角色持有者是负责更新跨域对象引用中的对象的 SID 和可分辨名称的 DC。

备注

基础结构主机 (IM) 角色应由不是全局编录服务器角色的 DC (GC) 。 如果基础结构母版在全局编录服务器上运行,它将停止更新对象信息,因为它不包含对它未保留的对象的任何引用。 这是因为全局编录服务器保留林中每个对象的部分副本。 因此,不会更新该域中的跨域对象引用,并且将在 DC 的事件日志中记录有关该效果的警告。

如果域中的所有 DCS 也托管全局编录,则所有 DCS 都有当前数据。 哪个 DC 具有基础结构主机角色,这一点不很重要。

启用回收站可选功能后,每个 DC 都负责在移动、重命名或删除引用的对象时更新其跨域对象引用。 在这种情况下,没有与基础结构 FSMO 角色相关联的任务。 而哪个域控制器拥有基础结构主机角色则不十分重要。 有关详细信息,请参阅 6.1.5.5 Infrastructure FSMO Role