Windows 2000 Active Directory FSMO 角色
生活随笔
收集整理的這篇文章主要介紹了
Windows 2000 Active Directory FSMO 角色
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
注:本文同樣適用于Windows 2003/2008 R2版本的活動目錄 http://support.microsoft.com/kb/197132/zh-cn 概要 Microsoft Windows 2000 Active Directory 是中央儲存庫,其中存儲了企業中的所有對象及其各自的屬性。它是啟用多主機的分層數據庫,能夠存儲數百萬個對象。由于它是多主機的,因此對該數據庫的更改可以在企業中任何給定的域控制器 (DC) 上進行,而不管該 DC 是否與網絡相連接。 ? Windows 2000 多主機模式 使用啟用了多主機的數據庫(如 Active Directory),可以在企業中任何 DC 上進行靈活的更改,但是該數據庫同時可能引起沖突,在將數據復制到企業的其他部分時可能會引發問題。Windows 2000 處理更新沖突的一種方法是通過使用沖突解決算法來處理值的差異,該算法使用最后寫入更改的 DC(即,“最后寫入者獲勝”),而丟棄所有其他 DC 中的更改。雖然在有些情況下可以接受該解決方法,但有時候沖突太復雜而不能使用“最后寫入者獲勝”方法進行解決。此種情況下,最好是防止沖突發生,而不是在發生沖突后嘗試解決。
針對某些類型的更改,Windows 2000 會結合使用防止發生 Active Directory 更新沖突的方法。 ? Windows 2000 單主機模式 為防止 Windows 2000 中的更新沖突,Active Directory 以單主機方式對某些對象執行更新。在單主機模式中,只允許整個目錄中的一個 DC 處理更新。這與賦予 Windows 早期版本(如 Microsoft Windows NT 3.51 和 4.0)中的主域控制器 (PDC) 的角色相似,其中 PDC 負責處理給定域中的所有更新。
Windows 2000 Active Directory 擴展了 Windows 早期版本中的單主機模式以包括多個角色,且可以將角色轉移給企業中的任何域控制器 (DC)。由于 Active Directory 角色未綁定到單個 DC 上,因此稱它為“Flexible Single Master Operation (FSMO)”角色。目前在 Windows 2000 中有五種 FSMO 角色:
如果 DC 創建諸如用戶或組之類的安全主體對象,它會將唯一的安全 ID (SID) 附加到該對象上。此 SID 由域 SID(在一個域中創建的所有 SID 的域 SID 均相同)和相關 ID (RID)(在一個域中創建的每個安全主體 SID,其相關 ID 是唯一的)組成。
為域中的每個 Windows 2000 DC 分配一個 RID 池,以允許將其分配給它所創建的安全主體。如果分配給某個 DC 的 RID 池低于閾值,該 DC 將向域的 RID 主機發布請求以獲取更多 RID。域 RID 主機通過從域的未分配 RID 池中檢索 RID 來響應請求,并將這些 RID 分配給請求的 DC 的池。目錄中的每個域中都有一臺 RID 主機。 PDC 模擬器 FSMO 角色 PDC 模擬器對于在企業中同步時間是必需的。Windows 2000 包含 Kerberos 身份驗證協議所需的 W32Time(Windows 時間)時間服務。企業中所有基于 Windows 2000 的計算機都使用公共的時間。時間服務的目的是確保 Windows 時間服務使用可以控制授權且不允許循環的層級關系來確保使用合適的公共時間。
域中的 PDC 模擬器是域的權威。林根目錄的 PDC 模擬器成為企業的權威,應配置其從外部源中收集時間。所有 PDC FSMO 角色擁有者都遵循域的層級來選擇其入站時間伙伴。
在 Windows 2000 域中,PDC 模擬器角色擁有者保留以下功能:
下面的信息介紹在升級過程中發生的更改:
注意:結構主機 (IM) 角色應由非全局編錄 (GC) 服務器的域控制器擔任。如果結構主機在全局編錄服務器上運行,它將會停止更新對象信息,原因是它只包含對它所擁有的對象的引用。這是因為全局編錄服務器擁有林中每個對象的部分副本。因此,不會更新域中的跨域對象引用,并且將向此 DC 的事件日志中寫入該影響的警告。
如果域中的所有域控制器同時也承載全局編錄,則所有域控制器均擁有當前數據,此時哪個域控制器擔任結構主機角色并不重要。
針對某些類型的更改,Windows 2000 會結合使用防止發生 Active Directory 更新沖突的方法。 ? Windows 2000 單主機模式 為防止 Windows 2000 中的更新沖突,Active Directory 以單主機方式對某些對象執行更新。在單主機模式中,只允許整個目錄中的一個 DC 處理更新。這與賦予 Windows 早期版本(如 Microsoft Windows NT 3.51 和 4.0)中的主域控制器 (PDC) 的角色相似,其中 PDC 負責處理給定域中的所有更新。
Windows 2000 Active Directory 擴展了 Windows 早期版本中的單主機模式以包括多個角色,且可以將角色轉移給企業中的任何域控制器 (DC)。由于 Active Directory 角色未綁定到單個 DC 上,因此稱它為“Flexible Single Master Operation (FSMO)”角色。目前在 Windows 2000 中有五種 FSMO 角色:
- 架構主機
- 域命名主機
- RID 主機
- PDC 模擬器
- 結構主機后臺程序
如果 DC 創建諸如用戶或組之類的安全主體對象,它會將唯一的安全 ID (SID) 附加到該對象上。此 SID 由域 SID(在一個域中創建的所有 SID 的域 SID 均相同)和相關 ID (RID)(在一個域中創建的每個安全主體 SID,其相關 ID 是唯一的)組成。
為域中的每個 Windows 2000 DC 分配一個 RID 池,以允許將其分配給它所創建的安全主體。如果分配給某個 DC 的 RID 池低于閾值,該 DC 將向域的 RID 主機發布請求以獲取更多 RID。域 RID 主機通過從域的未分配 RID 池中檢索 RID 來響應請求,并將這些 RID 分配給請求的 DC 的池。目錄中的每個域中都有一臺 RID 主機。 PDC 模擬器 FSMO 角色 PDC 模擬器對于在企業中同步時間是必需的。Windows 2000 包含 Kerberos 身份驗證協議所需的 W32Time(Windows 時間)時間服務。企業中所有基于 Windows 2000 的計算機都使用公共的時間。時間服務的目的是確保 Windows 時間服務使用可以控制授權且不允許循環的層級關系來確保使用合適的公共時間。
域中的 PDC 模擬器是域的權威。林根目錄的 PDC 模擬器成為企業的權威,應配置其從外部源中收集時間。所有 PDC FSMO 角色擁有者都遵循域的層級來選擇其入站時間伙伴。
在 Windows 2000 域中,PDC 模擬器角色擁有者保留以下功能:
- 域中其他 DC 執行的密碼更改優先復制到 PDC 模擬器中。
- 如果由于密碼錯誤而在域中給定的 DC 上發生身份驗證失敗,則在向用戶報告密碼錯誤失敗信息之前先將該信息傳送給 PDC 模擬器。
- 在 PDC 模擬器上執行帳戶鎖定。
- PDC 模擬器可執行基于 Microsoft Windows NT 4.0 Server 的 PDC 或早期 PDC 為基于 Windows NT 4.0 的客戶端或早期客戶端執行的所有功能。
下面的信息介紹在升級過程中發生的更改:
- Windows 2000 客戶端(工作站和成員服務器)和安裝了分布式服務客戶端軟件包的下層客戶端并不優先在公布自身為 PDC 的 DC 上執行目錄寫操作(如密碼更改),它們可使用域中任何 DC。
- 下層域中的備份域控制器 (BDC) 升級到 Windows 2000 后,PDC 模擬器不再接收下層的復制請求。
- Windows 2000 客戶端(工作站和成員服務器)和安裝了分布式服務客戶端軟件包的下層客戶端使用 Active Directory 來分配網絡資源。它們不請求 Windows NT 瀏覽器服務。
注意:結構主機 (IM) 角色應由非全局編錄 (GC) 服務器的域控制器擔任。如果結構主機在全局編錄服務器上運行,它將會停止更新對象信息,原因是它只包含對它所擁有的對象的引用。這是因為全局編錄服務器擁有林中每個對象的部分副本。因此,不會更新域中的跨域對象引用,并且將向此 DC 的事件日志中寫入該影響的警告。
如果域中的所有域控制器同時也承載全局編錄,則所有域控制器均擁有當前數據,此時哪個域控制器擔任結構主機角色并不重要。
轉載于:https://blog.51cto.com/lingping/970785
總結
以上是生活随笔為你收集整理的Windows 2000 Active Directory FSMO 角色的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: LINUX下使用https访问站点
- 下一篇: 【python】【scrapy】使用方法