操作主機

操作主機,是Active Directory資料庫中的特殊對象,具備此類對象的域控制器肩負著Active Directory的核心功能。

含義解釋,分類,操作環境,1. 安全規劃,2.單域環境,3.多域環境,4. 角色處理,

含義解釋

在 Active Directory 域中為其指定了一個或多個特殊角色的域控制器
已經分配了角色的域控制器將執行單個主機(同一時間不允許在網路上的不同地點出現)的操作。這些操作的例子包括資源標識符分配、架構修改、PDC 選擇和特定的基礎結構變化。
控制特定操作的域控制器擁有該操作的操作主機角色。這些操作主機的角色可以轉移給其他域控制器
操作主機(Operations Masters,簡稱OM),或稱為操作主控(Flexible Single Master Operation,簡稱FSMO),儘管名稱有所區別,但它們所代表的含義完全相同。操作主機,是Active Directory資料庫中的特殊對象,具備此類對象的域控制器肩負著Active Directory的核心功能。

分類

Active Directory域中有5種類型的操作主機,分別是:
架構主機(Schema Master)。
域命名主機(Domain Naming Master)。
PDC仿真器(PDC Emulator)。
RID主機(RIDMaster)。
基礎架構主機(Infrastructure Master)。
在每個林中,至少有5個指派給一個或多個域控制器的操作主機角色。在每個林中,林範圍的操作主機角色必須只出現一次。在林中的每個域中,域範圍的操作主機角色必須在每個域中出現一次。
每個林必須具有以下角色:
架構主機。
域命名主機。
在林中這些角色必須是唯一的。這意味著在整個林中,只能有一個架構主機和一個域命名主機。
林中的每個域都必須有下列角色:
RID主機。
PDC主機。
基礎架構主機。
在每個域中這些角色都必須是唯一的,即林中的每個域都只能有一個RID主機、PDC 主機,以及基礎架構主機。

操作環境

操作主機在Active Directory環境中,肩負著重要的作用,如果操作主機出現問題,將會出現以下問題:
當架構主機不可用時,不能對架構進行更改。在大多數網路環境中,對架構更改的頻率很低,並且應提前進行規劃,以便使架構主機的故障不至於產生任何直接的問題。
當域命名主機不可用時,不能通過運行DCPROMO向Active Directory中添加域,同時也不能從目錄林中刪除域,如果在域命名主機不可用時試圖通過運行DCPROMO來刪除域,那么就會收到一條"RPC 伺服器不可用"的訊息。
當RID主機不可用時,所遇到的主要問題是不能向域中添加任何新的安全對象,例如用戶、組和計算機;如果試圖添加,則會出現如下的錯誤訊息:"Windows 不能創建對象,因為:目錄服務已經用完了相對標識號池"。
當PDC主機不可用時,在本機模式環境中用戶登錄失敗的可能性增大。如果重新設定用戶密碼,例如用戶忘記密碼,然後管理員在一台DC(不是驗證DC)上重新設定密碼,那么該用戶就必須等到密碼複製到驗證DC之後才能登錄。試圖編輯組策略對象時出錯。
當基礎架構主機不可用時,結構主機故障對環境的影響是有限的。最終用戶並不能感覺到它的影響,只對管理員執行大量組操作產生影響。這些組操作通常是添加用戶和/或重新命名用戶。在此情況下,結構主機故障只是會延遲通過Active Directory管理單元引用這些更改的時間。

1. 安全規劃

操作主機在Active Directory中的作用十分特殊,給予安全的考慮,在不同的套用環境中有著不同的規劃,本節介紹常見的兩種類型的規劃。

2.單域環境

Windows Server 2008或Windows Server 2003單域控制器上角色的初始設定,只能將所有FSMO主機角色規劃部署在一台域控制器上。全局編錄伺服器也配置在此伺服器上。在活動目錄森林中僅僅只有一個域的情況下,基礎架構主機根本不起作用。

3.多域環境

在多域環境中,存在多個域控制器,和多個全局編錄伺服器,對性能的要求如下所示。
具有架構主機角色的域控制器不需要高性能,因為很少對架構(Schema)進行拓展,但是必須保證可用性。
具有域命名主機角色的域控制器不需要高性能,但是要保證高可用性。
具有PDC主機角色的域控制器FSMO 5種角色中任務最重的,占用PDC模擬器的域控制器要保證高性能和高可用性。
具有RID主機角色的域控制器,不要求高性能,要保證高可用性。
具有基礎架構主機角色的域控制器可忽略性能和高可用性。
可以根據如下要求規則FSMO角色。
備用伺服器與主要FSMO伺服器位於同一站點中,以便在大的計算機組中獲得更快的複製性能。
將RID角色和PDC模擬器角色放置在同一域控制器上。最好保證從PDC到RID主機的良好通信,因為下級客戶端和應用程式以PDC為目標,從而使PDC成為RID的主要使用者。
在目錄林級別上,架構主機角色和域命名主機角色應該放置在同一域控制器上。因為它們很少使用且應該進行嚴格控制。另外,域命名主機FSMO也應該是全局目錄伺服器。
PDC主機建議單獨規劃在一台域控制器上。
域命名主機和全局編錄伺服器規劃在一台域控制器上。
使用一個管理控制台可管理所有FSMO角色,並且確認所有的FSMO都是正常的。
"不要將結構主機放在全局目錄伺服器上"這一規則有兩個例外。
單域目錄林:在包含單個Active Directory域的目錄林中沒有跨域操作,因此沒有需要結構主機完成的任務。在這種情況下,可以將結構主機放在域中的任一域控制器上。
多域目錄林:其中的每個域控制器都包含全局目錄。如果目錄林中的每個域控制器也承載全局目錄,則沒有需要結構主機完成的任務。在這種情況下,可以將結構主機放在目錄林中的任一域控制器上。

4. 角色處理

在Active Directory環境中,如果具備操作主機角色的域控制器出現故障,在域控制器可用的情況下,可以使用"轉移角色"的方式完成操作主機角色的轉移,在域控制器不可用的情況下,可以使用"占用角色"的方式完成操作主機角色的轉移。
有關操作主機的"轉移"和"占用"的具體使用,詳見本章"4.2.5 活動目錄伺服器故障"中的介紹。

相關詞條

熱門詞條

聯絡我們