AD的学习离不开对FMSO的五种角色,它们是AD的最基本也是最核心的概念。这是一个老生常谈的话题了,网上有很多很多的解释,这里只是在这个系列中重新提一下,让自己加深一下记忆。

在企业的环境只是单域单站点时,IT管理员对于FSMO的理解其实不会很深,IT管理员甚至只要考虑DC的数量就可以了,但是一旦企业环境进入单域多站点,多域多站点阶段,企业IT管理员就要开始重新考虑FMSO的五种角色的放置了,放置的好坏直接关系到AD的复制,灾备,带宽利用等问题。

什么是FSMO

FSMO的全称是:flexible single master operations (FSMO) roles。在AD中,所有的Domain Controller都存有AD的数据库,这就是说所有的Domain Controller通过互相复制的机制来保证每个DC上面的数据一致。但是有一些角色是必须唯一的,只能放在一台Domain Controller上,这就是FMSO,至于它们的具体作用请看下面。

FMSO的五种角色:

FSMO共有五种角色,其中三种是基于域级别的(PDC Emulator,RID Master,Infrastructure Master)每个域都会有的,两种是基于森林级别的(Schema Master,Domain Name Master),只有森林才会有。它们的作用是:

域级别的FSMO角色

PDU Emulator:PDC模拟器,它的作用主要有:

1. 在有NT4 Domain Controller的混合环境中重担PDC(这已经很少遇到了,基本不用记)

2..作为整个Domain的权威时间源,所有的时间同步都是基于它的。(非常重要)

3. Group Policy同步的源头,所有的Group Policy不管是新的还是修改的,都必须先到PDC上,然后再同步(包括数据库和Sysvol文件夹)到其它DC.(重要)

4. 所有的账户密码修改和锁定/解锁都是由PDC来处理的。(非常重要,密码修改在多站点同步是需要考虑的问题)

处理的任务比较多,需要消耗比较多的资源。

RID Master:RID主机,它的作用是:

1. RID全称Relative ID,因为每个用户,计算机的账号都有一个唯一的SID,这个SID的池子就是有RID Master创建并不断扩充的,如果RID Master当机了,同时你的RID全部用完,那么你将无法创建新的用户,计算机的账号。

处理的资源较少,不会消耗很多资源。

Infrastructure Master:基础架构主机,它的作用是:

1.. 处理不同的域之间对象的关系,比如一个域中的账号在另外一个域中的权限等等,对于单域环境,它是不起作用的,对于多域的环境,它才会起作用。

很少用到,基本不会消耗什么资源,除非在非常大型的环境并执行复杂的用户管理任务。

森林级别的FSMO角色:

Schema Master:这个角色只存在域森林的根域中。它的作用是:

Schema Master的数据其实就是AD数据库中的主数据(暂且这么称呼,如果不恰当,请大家指正。),也就是说它规定了AD数据库中应该有哪些键值,例如每个用户有哪些属性。Schema很少进行修改,比较典型的例子就是Exchange Server的安装,它会在每个用户中增加一些属性,如homeMDB等等。如果Schma Master当机的话,你将无法安装Exchange邮件系统。

Schema Master很少用到,基本不会消耗什么资源,但是非常重要。

Domain Naming Master: 这个角色只存在域森林的根域中,它的作用是:

Domain Naming Master是处理域名关系的,比较典型的例子在森林中增加子域时,需要在Domain Naming Master上注册。如果它当机了,你就无法增加子域,这在多域的IT环境下会用到。

Domain Naming Master很少用到,基本不会消耗什么资源,如果只是单域的环境,基本不会用到。

FSMO五种角色的放置:

在单域单站点IT环境中,我们不用考虑这些,只是保留至少两台的Domain Controller,保证至少两台GC。在其他环境中还是需要考虑放置的规则的。

1. 将PDC放在性能最强最稳定的Domain Controller上,PDC和RID Master放在同一台Domain Controller上。在这台Domain Controller上不要放置GC,以平衡负载,因为有时GC的负载也比较高(Exchange服务器会频繁的跟GC通讯)。

2.. 不要把Infrastructure Master跟GC放在同一台DC上,并确保Infrastructure Master的DC与GC是直接的复制伙伴关系。至于这一点我也不是太清楚为什么,估计是因为两个GC和Infrastructure Master都是处理不同域对象的关系的吧,但是放在一起也没有问题。

3.将PDC放在用户最多的站点,这样需要的带宽会少一些,密码问题会相对少一些。