在Active Directory域中,所有的域控制器地位都是平等的。它们都可以向数据库写入信息,并可将变动复制到其他域控制器。
但是在多主机的复制拓扑中,某些操作需要并且只能由一台系统执行。在ActiveDirectory域中,扮演这一特定角色的域控制器我们称之为操作主机。其他域控制器也可以这样做,但是并不这样做。
在Active Directory中,有些操作并不能同一时间在多个地点同时进行,只能由林或域中的一台域控制器执行,在执行该操作时,其他的域控制器不能执行该操作,我们称这样的操作和执行这些操作的域控制器为灵活单主机操作(FlexibleSingle Master Operation,FSMO).
AD Directory Service包含五种操作主机角色,其中两种需要针对整个林执行:
l域命名(DomainNaming)
l架构(Schame)
另外三个角色则需要针对每个域执行:
l相对标示符(RelativeIdentifier,RID)
l结构(Infastructure)
lPDC仿真器(PDCEmulator)
林端操作主机角色
架构主机和域命名主机在林中是唯一的,每个角色都只能由林中的一台域控制器执行。
域命名主机角色:主要用于林中增加或删除域时使用。在添加或删除域时,域命名主机必须可被访问,否则操作将失败。
架构主机角色:主要负责对林的架构进行修改,所有其他DC只包含架构的只读副本。如果要修改架构,或安装需要修改架构的应用程序,建议在架构主机的角色上操作,否则所请求的操作必须发送到架构主机,才能被写入机构;
域端操作主机角色
RID主机角色:负责为用户、组和计算机等安全主体生成安全标示符(Security Identifier,SID).任何的域控制器可以创建账户,也就是创建RID,但安全主体必须是唯一的,因此需要使用某种机确保由DC生成的SID是唯一的。在Active Directory域控制器会为域SID分配一个唯一的RID,而RID会为域中的每一台域控制器分配大量唯一的SID的池,因此可以确保域控制器生成的SID是唯一的。
结构主机角色:在多域的环境中,结构主机所在的域如果引用其他域中的对象,结构主机会跟踪对象的变更并做相应的变动,确保之间的关系可以保持更新。
PDC仿真器角色:负责执行很多与域有关的关键的功能
为提供向后兼容性而模拟主域控制器(PDC)
参与域中特殊密码更新的处理工作
管理域中的组策略更新
为域提供主时间来源
充当域主机浏览器
