Windows 中的 Active Directory FSMO 角色

  • 發行項

本文主要協助您瞭解 Active Directory 中的彈性單一主機作業 (FSMO) 角色。

適用於:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022
原始 KB 編號: 197132

摘要

Active Directory 是儲存企業中所有物件及其各自屬性的中央存放庫。 它是已啟用多主機的階層式資料庫,可儲存數百萬個物件。 不論 DC 是連線還是與網路中斷連線,任何指定網域控制站 (DC) 都可以處理資料庫的變更。

多主機模型

已啟用多主機的資料庫,例如 Active Directory,可讓您彈性地允許企業中的任何 DC 發生變更。 但是,一旦將資料複寫到企業的其他部分,也可能會導致衝突。 Windows 處理衝突更新的其中一種方式是讓衝突解決演算法處理值中的不一致。 其完成方式是解析為最後寫入變更的 DC,這是 最後一個寫入器 WINS。 所有其他 DC 中的變更都會被捨棄。 雖然在某些情況下這個方法可能是可接受的,但有時候使用 最後一個寫入器 WINS 方法來解決衝突太困難。 在這種情況下,最好防止衝突發生,而不要在事實之後嘗試解決。

對於特定類型的變更,Windows 併入方法以防止發生衝突的 Active Directory 更新。

單一主機模型

為了避免 Windows 中的更新發生衝突,Active Directory 會以單一主機方式執行特定物件的更新。 在單一主機模型中,整個目錄中只允許一個 DC 處理更新。 它類似于舊版 Windows 中提供給網域主控站 (PDC) 的角色,例如 Microsoft Windows NT 3.51 和 4.0。 在舊版的 Windows 中,PDC 會負責處理指定網域中的所有更新。

Active Directory 會擴充舊版 Windows 中找到的單一主機模型,以包含多個角色以及將角色傳輸至企業中任何 DC 的能力。 因為 Active Directory 角色未系結至單一 DC,所以稱為 FSMO 角色。 目前 Windows 有五個 FSMO 角色:

  • 架構主機
  • 網域命名主機
  • RID 主機
  • PDC 模擬器
  • 基礎結構主機

一般而言,只有在網域控制站已將命名內容複寫 (NC) 自目錄服務啟動後儲存擁有權時,才會執行 FSMO 角色擁有權。 在使用角色之前,請確定 FSMO 角色拿取到達先前的擁有者。

架構主要 FSMO 角色

架構主要 FSMO 角色持有者是負責執行目錄架構更新的 DC,也就是架構命名內容或 LDAP://cn=schema,cn=configuration,dc=<domain>。 此 DC 是唯一可以處理目錄架構更新的 DC。 一旦架構更新完成,就會從架構主機複寫到目錄中的所有其他 DC。 每個樹系只有一個架構主機。

初始複寫和連線需求

  • 此 FSMO 角色持有者只有在角色擁有者自目錄服務啟動後已成功輸入複寫架構 NC 時才有效。
  • 只有在 DC 和樹系成員更新架構時,才會連絡 FSMO 角色。

網域命名主機 FSMO 角色

網域命名主機 FSMO 角色持有者是負責變更目錄全樹系域名空間的 DC,也就是 Partitions\Configuration 命名內容或 LDAP://CN=Partitions、CN=Configuration、DC=<domain>。 此 DC 是唯一可以從目錄新增或移除網域的 DC。 它也可以新增或移除外部目錄中網域的交叉參考。

初始複寫和連線需求

  • 此 FSMO 角色持有者只有在角色擁有者自目錄服務啟動後已成功輸入複寫設定 NC 時,才會啟用。

  • 樹系的網域成員只有在更新交叉參考時,才會連絡 FSMO 角色持有者。 DC 會在下列狀況下連絡 FSMO 角色持有者:

    • 在樹系中新增或移除網域。
    • 已新增 DC 上應用程式目錄分割區的新執行個體。 例如,已針對預設 DNS 應用程式目錄分割區編列 DNS 伺服器。

RID 主機 FSMO 角色

RID 主機 FSMO 角色持有者是負責處理來自指定網域內所有 DC 之 RID 集區要求的單一 DC。 它也負責從其網域中移除物件,並在物件移動期間將它放在另一個網域中。

當 DC 建立安全性主體物件,例如使用者或群組時,它會將唯一的安全性識別碼 (SID) 附加至物件。 此 SID 包含:

  • 網域 SID,與網域中建立的所有 SID 相同。
  • 相對識別碼 (RID),對於網域中建立的每個安全性主體 SID 而言都是唯一的。

網域中的每個 Windows DC 都會分配一個 RID 集區,以便指派給它所建立的安全性主體。 當 DC 的已分配 RID 集區低於閾值時,該 DC 會向網域的 RID 主機發出其他 RID 的要求。 網域 RID 主機會從網域未分配的 RID 集區擷取 RID 來回應請求,並將它們指派給請求 DC 的集區。 目錄中每個網域都有一個 RID 主機。

初始複寫和連線需求

  • 此 FSMO 角色持有者只有在角色擁有者自目錄服務啟動後已成功輸入複寫網域 NC 時,才會啟用。
  • DC 會在擷取新的 RID 集區時連絡 FSMO 角色持有者。 新的 RID 集區會透過 AD 複寫傳遞至 DC。

PDC 模擬器 FSMO 角色

需要 PDC 模擬器,才能同步處理企業中的時間。 Windows Server 包含了 W32Time (Windows 時間),這是 Kerberos 驗證通訊協定所需要的時間服務工具。 企業內所有以 Windows 為基礎的電腦都會使用一般時間。 時間服務的目的是要確保 Windows 時間服務使用控制授權單位的階層式關係。 它不允許循環,以確保適當的一般時間使用量。

網域的 PDC 模擬器是網域的授權。 位於樹系根目錄的 PDC 模擬器會成為企業的授權,而且應該設定為從外部來源收集時間。 所有 PDC FSMO 角色持有者遵照自己的輸入計時協力電腦選項中的網域階層。

在 Windows 網域中,PDC 模擬器角色持有者會保留下列功能:

  • 網域中其他 DC 所做的密碼變更會優先複寫到 PDC 模擬器。
  • 當指定 DC 因為密碼不正確而發生驗證失敗時,失敗會在錯誤的密碼失敗訊息回報給使用者之前轉送至 PDC 模擬器。
  • 帳戶鎖定會在 PDC 模擬器上處理。
  • PDC 模擬器會執行 Windows NT 4.0 伺服器型 PDC 或舊版 PDC 針對 Windows NT 4.0 或更早版本的用戶端執行的所有功能。

在下列情況下,PDC 模擬器角色的這個部分變得不必要:
執行 Windows NT 4.0 或更早版本 (DC) 的所有工作站、成員伺服器和網域控制站都會升級至 Windows 2000。

PDC 模擬器仍會如 Windows 2000 環境中所述執行其他函式。

下列資訊描述升級程式期間發生的變更:

  • Windows 已安裝分散式服務用戶端套件的工作站和成員伺服器 (工作站和成員伺服器),以及已安裝分散式服務用戶端套件的下層用戶端,不會在已公告為 PDC 的 DC 上執行目錄寫入 (例如密碼變更)。 他們會針對網域使用任何 DC。
  • 在下層網域中 (BDC) 的備份網域控制站升級至 Windows 2000 之後,PDC 模擬器就不會收到任何下層複本請求。
  • Windows 已安裝分散式服務用戶端套件的用戶端 (工作站和成員伺服器) 及下層用戶端會使用 Active Directory 來尋找網路資源。 它們不需要 Windows NT 瀏覽器服務。

初始複寫和連線需求

  • 當 PDC 模擬器找到網域 NC 標頭指向本身的 fSMORoleOwner 屬性時,這個 FSMO 角色持有者一律為作用中。 沒有輸入複寫需求。

  • 當 DC 有新密碼或本機密碼驗證失敗時,會連絡 FSMO 角色持有者。 當無法連線到 PDC 模擬器或 AvoidPdcOnWan 登錄值設定為1時, 不會發生任何錯誤。

  • 您可以使用下列 Cmdlet 來執行降級 DC 的必要條件。

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    以下是無法連線到 PDC 模擬器的輸出範例。

    訊息:驗證域控制器升級的必要條件失敗。 您指出此 Active Directory 網域控制站不是網域「contoso.com」的最後一個網域控制站。 不過,無法連絡該網域的其他網域控制站。 繼續進行將會遺失此網域控制站上所做的任何 Active Directory 網域服務變更。 若仍要繼續,請指定 'IgnoreLastDCInDomainMismatch' 選項。
    內容:Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired : False
    狀態:錯誤

基礎結構主機 FSMO 角色

當另一個網域中的另一個物件參考某個網域中的物件時,它會以下列方式表示參考:

  • The GUID
  • SID (安全性主體參考)
  • 所參考物件的 DN

基礎結構 FSMO 角色持有者是 DC,負責在跨網域物件參考中更新物件的 SID 和辨別名稱。

注意事項

基礎結構主機 (IM) 角色應由不是通用類別目錄伺服器的 DC 保留 (GC)。 如果基礎結構主機在通用類別目錄伺服器上運作,則會停止更新物件資訊,因為其不包含未持有物件的任何參照。 這是因為通用類別目錄伺服器會保留樹系中每個物件的部分複本。 因此,不會更新該網域中的跨網域物件參考,而且該 DC 的事件記錄檔上會記錄該影響的警告。

如果網域中的所有 DC 也裝載通用類別目錄,則所有 DC 都有目前的資料。 哪個 DC 保留基礎結構主要角色並不重要。

啟用資源回收筒選擇性功能時,當參考的物件移動、重新命名或刪除時,每個 DC 都會負責更新其跨網域物件參考。 在此情況下,沒有與基礎結構 FSMO 角色相關聯的工作。 哪些網域控制站擁有基礎結構主機角色並不重要。 如需詳細資訊,請參閱 6.1.5.5 基礎結構 FSMO 角色

初始複寫和連線需求

  • 此 FSMO 角色持有者只有在角色擁有者自目錄服務啟動後已成功輸入複寫網域 NC 時,才會啟用。
  • 此 FSMO 角色持有者不需要連線能力。 它是樹系內部清除功能。