FSMO五种角色的做用

FSMO五种角色的做用

netdom query fsmo命令 查询fsmo五种角色对应的服务器（netdom）。

FSMO（Flexible Single Master Operations ）中文翻译成操做主控，在说明FSMO的做用之前，先给你们介绍两个概念：

单主复制：所 谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于之前的NT4域，咱们知道，在NT4域的年代，域网络上区分PDC和BDC，全部的复制 都是从PDC到BDC上进行的，由于NT4域用的是这种复制机构，因此要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。若是你的 网络较小的话，那么这种机构的缺点不能彻底的体现，可是若是是一个跨城区的网络，好比你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非 常的麻烦。

多主复制：多主复制是相对于单主复制而言的，它是指全部的域控制器之间进行相互复制，主要是 为了弥补单主复制的缺陷，微软从Windows 2000域开始，再也不在网络上区分PDC和BDC，全部的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

既 然Windows 2000域中的域控制器都是等价的，那么这些域控制器的做用是什么呢?在Windows 2000域中的域控制器的做用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布状况，如今开始进入正题，FSMO有五种角 色，分红两大类:

　　一、 森林级别(即一个森林只存在一台DC有这个角色):

(1)、Schema Master中文翻译成:架构主控

(2)、Domain Naming Master中文翻译成:域命名主控

二、 域级别(即一个域里面只存一台DC有这个角色):

(1)、PDC Emulator 中文翻译成:PDC仿真器

(2)、RID Master 中文翻译成:RID主控

(3)、Infrastructure Master 中文翻译成:基础架构主控

1、接下来就来讲明一下这五种角色空间有什么做用:

一、 Schema Maste

用 是修改活动目录的源数据。咱们知道在活动目录里存在着各类各样的对像，好比用户、计算机、打印机等，这些对像有一系列的属性，活动目录自己就是一个数据 库，对像和属性之间就好像表格同样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，若是你们部署过Excahnge的话，就会知道Schema是能够被扩展的，但须要你们注意的是，扩展Schema必定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，其实是经过网络把数据传送到Schema上而后再在Schema Maste上进行扩展的，要扩展Schema就必须具备Schema Admins组的权限才能够。

二、 建议:在占有Schema Maste的域控制器上不须要高性能，由于咱们不是常常对Schema进行操做的，除非是常常会对Schema进行扩展，不过这种状况很是的少，但咱们必须保证可用性，不然在安装Exchnage或LCS之类的软件时会出错。

三、 Domain Naming Master

这 也是一个森林级别的角色，它的主要做用是管理森林中域的添加或者删除。若是你要在你现有森林中添加一个域或者删除一个域的话，那么就必需要和Domain Naming Master进行联系，若是Domain Naming Master处于Down机状态的话，你的添加和删除操做那上确定会失败的。

四、 建议:对占有Domain Naming Master的域控制器一样不须要高性能，我想没有一个网络管理员会常常在森林里添加或者删除域吧?固然高可用性是有必要的，不然就没有办法添加删除森里的域了。

五、 PDC Emulator

在前面已经提过了，Windows 2000域开始，再也不区分PDC仍是BDC，但实际上有些操做则必需要由PDC来完成，那么这些操做在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是如下操做:

⑴、处理密码验证要求;

在 默认状况下，Windows 2000域里的全部DC会每5分钟复制一次，但有一些状况是例外的，好比密码的修改，通常状况下，一旦密码被修改，会先被复制到PDC Emulator，而后由PDC Emulator触发一个即时更新，以保证密码的实时性，固然，实际上因为网络复制也是须要时间的，因此仍是会存在必定的时间差，至于这个时间差是多少， 则取决于你的网络规模和线路状况。

⑵、统一域内的时间;

微软活动目录是用Kerberos协议来进行身份认证的，在默认状况下，验证方与被验证方之间的时间差不能超过5分钟，不然会被拒绝经过，微软这种设计主要是用来防止回放式***。因此在域内的时间必须是统一的，这个统一时间的工做就是由PDC Emulator来完成的。

⑶、向域内的NT4 BDC提供复制数据源;

对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，可是对于一些从NT4升级而来的Windows 2000域却极可能存有这种状况，这种状况下要向NT4 BDC复制，就须要PDC Emulator。

⑷、统一修改组策略的模板;

⑸、对Winodws 2000之前的操做系统，如WIN98之类的计算机提供支持;

对于Windows 2000以前的操做系统，它们会认为本身加入的是NT4域，因此当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，因此PDC Emulator就会成为它们的联系对象!

建议:从上面的介绍里你们应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，因此对于占用PDC Emulator的域控制器要保证高性能和高可用性。

四、RID Master

在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然咱们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，因此当两个用户的SID同样 的时候，尽管他们的用户名可能不同，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全 SID=Domain SID+RID，那么如何避免这种状况?这就须要用到RID Master，RID Master的做用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

建议:对于占有RID Master的域控制器，其实也没有必要必定要求高性能，由于咱们不多会常常性的利用批处理或脚本向活动目录添加大量的用户。这个请你们视实际状况而定了，固然高可用性是必不可少的，不然就没有办法添加用户了。

五、 Infrastructure Master

FSMO 的五种角色中最可有可无的可能就是这个角色了，它的主要做用就是用来更新组的成员列表，由于在活动目录中颇有可能有一些用户从一个OU转移到另一个 OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

建议:其实在活动目录森林里仅仅只有一个域或者森林里全部的域控制器都是GC(全局编录)的状况下，Infrastructure Master根本不起做用，因此通常状况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。