含義解釋,分類,操作環境,1. 安全規劃,2.單域環境,3.多域環境,4. 角色處理,
含義解釋
在 Active Directory 域中為其指定了一個或多個特殊角色的域控制器。
已經分配了角色的域控制器將執行單個主機(同一時間不允許在網路上的不同地點出現)的操作。這些操作的例子包括資源標識符分配、架構修改、PDC 選擇和特定的基礎結構變化。
操作主機(Operations Masters,簡稱OM),或稱為操作主控(Flexible Single Master Operation,簡稱FSMO),儘管名稱有所區別,但它們所代表的含義完全相同。操作主機,是Active Directory資料庫中的特殊對象,具備此類對象的域控制器肩負著Active Directory的核心功能。
分類
Active Directory域中有5種類型的操作主機,分別是:
架構主機(Schema Master)。
域命名主機(Domain Naming Master)。
PDC仿真器(PDC Emulator)。
RID主機(RIDMaster)。
基礎架構主機(Infrastructure Master)。
在每個林中,至少有5個指派給一個或多個域控制器的操作主機角色。在每個林中,林範圍的操作主機角色必須只出現一次。在林中的每個域中,域範圍的操作主機角色必須在每個域中出現一次。
每個林必須具有以下角色:
架構主機。
域命名主機。
在林中這些角色必須是唯一的。這意味著在整個林中,只能有一個架構主機和一個域命名主機。
林中的每個域都必須有下列角色:
RID主機。
PDC主機。
基礎架構主機。
在每個域中這些角色都必須是唯一的,即林中的每個域都只能有一個RID主機、PDC 主機,以及基礎架構主機。
操作環境
操作主機在Active Directory環境中,肩負著重要的作用,如果操作主機出現問題,將會出現以下問題:
當架構主機不可用時,不能對架構進行更改。在大多數網路環境中,對架構更改的頻率很低,並且應提前進行規劃,以便使架構主機的故障不至於產生任何直接的問題。
當域命名主機不可用時,不能通過運行DCPROMO向Active Directory中添加域,同時也不能從目錄林中刪除域,如果在域命名主機不可用時試圖通過運行DCPROMO來刪除域,那么就會收到一條"RPC 伺服器不可用"的訊息。
當RID主機不可用時,所遇到的主要問題是不能向域中添加任何新的安全對象,例如用戶、組和計算機;如果試圖添加,則會出現如下的錯誤訊息:"Windows 不能創建對象,因為:目錄服務已經用完了相對標識號池"。
當基礎架構主機不可用時,結構主機故障對環境的影響是有限的。最終用戶並不能感覺到它的影響,只對管理員執行大量組操作產生影響。這些組操作通常是添加用戶和/或重新命名用戶。在此情況下,結構主機故障只是會延遲通過Active Directory管理單元引用這些更改的時間。
1. 安全規劃
操作主機在Active Directory中的作用十分特殊,給予安全的考慮,在不同的套用環境中有著不同的規劃,本節介紹常見的兩種類型的規劃。
2.單域環境
Windows Server 2008或Windows Server 2003單域控制器上角色的初始設定,只能將所有FSMO主機角色規劃部署在一台域控制器上。全局編錄伺服器也配置在此伺服器上。在活動目錄森林中僅僅只有一個域的情況下,基礎架構主機根本不起作用。
3.多域環境
具有架構主機角色的域控制器不需要高性能,因為很少對架構(Schema)進行拓展,但是必須保證可用性。
具有域命名主機角色的域控制器不需要高性能,但是要保證高可用性。
具有RID主機角色的域控制器,不要求高性能,要保證高可用性。
具有基礎架構主機角色的域控制器可忽略性能和高可用性。
可以根據如下要求規則FSMO角色。
備用伺服器與主要FSMO伺服器位於同一站點中,以便在大的計算機組中獲得更快的複製性能。
將RID角色和PDC模擬器角色放置在同一域控制器上。最好保證從PDC到RID主機的良好通信,因為下級客戶端和應用程式以PDC為目標,從而使PDC成為RID的主要使用者。
PDC主機建議單獨規劃在一台域控制器上。
使用一個管理控制台可管理所有FSMO角色,並且確認所有的FSMO都是正常的。
"不要將結構主機放在全局目錄伺服器上"這一規則有兩個例外。
單域目錄林:在包含單個Active Directory域的目錄林中沒有跨域操作,因此沒有需要結構主機完成的任務。在這種情況下,可以將結構主機放在域中的任一域控制器上。
4. 角色處理
在Active Directory環境中,如果具備操作主機角色的域控制器出現故障,在域控制器可用的情況下,可以使用"轉移角色"的方式完成操作主機角色的轉移,在域控制器不可用的情況下,可以使用"占用角色"的方式完成操作主機角色的轉移。
有關操作主機的"轉移"和"占用"的具體使用,詳見本章"4.2.5 活動目錄伺服器故障"中的介紹。