活動目錄
活動目錄五大角色
在Windows域多主機複製環境中,任何域控制器理論上都可以更改Active Directory中的任何對象。但實際上並非如此,某些AD功能不允許在多臺DC上完成,否則可能會造成AD數據庫一致性錯誤,這些特殊的功能稱為“靈活單一主機操作”,常用FSMO來表示,擁有這些特殊功能執行能力的主機被稱為FSMO角色主機。在Windows Server AD域中,FSMO有五種角色:
- 架構主機--schema master
- 域命名主機--domain naming master
- 相對標識號(RID)主機--RID master
- 主域控制器模擬器--PDC Emulator
- 基礎結構主機--infrastructure master
1、Schema Master(架構主機)
具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複製到目錄林中的所有其它域控制器中。
架構主機是基於目錄林的,整個目錄林中只有一個架構主機
作用:
作用是修改活動目錄的源數據。我們知道在活動目錄裡存在著各種各樣的對像,比如用戶、計算機、打印機等,這些對像有一系列的屬性,活動目錄本身就是一個數據庫,對象和屬性之間就好像表格一樣存在著對應關係,那麼這些對像和屬性之間的關係是由誰來定義的,就是Schema Master,如果大家部署過Exchange的話,就會知道Schema是可以被擴展的,但需要大家注意的是,擴展Schema一定是在Schema Master進行擴展的,在其它域控制器上或成員服務器上執行擴展程序,實際上是通過網絡把數據傳送到Schema上然後再在Schema Master上進行擴展的,要擴展Schema就必須具有Schema Admins組的權限才可以。
建議:
在佔有Schema Master的域控制器上不需要高性能,因為我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchange或LCS之類的軟件時會出錯。
2、Domain Naming Master(域命名主機)
架構主機是基於目錄林的,整個目錄林中只有一個域命名主機
具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC:
- 向目錄林中添加新域
- 從目錄林中刪除現有的域
- 添加或刪除描述外部目錄的交叉引用對象
作用:
這也是一個森林級別的角色 ,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話,那麼就必須要和Domain Naming Master進行聯繫,如果Domain Naming Master處於Down機狀態的話,你的添加和刪除操作那上肯定會失敗的。
建議:
對佔有Domain Naming Master的域控制器同樣不需要高性能,我想沒有一個管理員會經常在森林裡添加或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法添加刪除森裡的域了。
3、PDC Emulator (PDC仿真器)
PDCE是基於域的,目錄林中的每個域都有自己的PDCE
作用:
(1)、處理密碼驗證要求
密碼最終驗證服務器,當一用戶在本地DC登錄,而本地DC驗證本地用戶輸入密碼無效時,本地DC會查詢PDC模擬器,詢問密碼是否正確。。
(2)、統一域內的時間
微軟活動目錄是用Kerberos協議來進行身份認證的,在默認情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式攻擊。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的,時間同步服務源,作為本域權威時間服務器,為本域中其它DC以及客戶機提供時間同步服務,林中根域的PDC模擬器又為其它域PDC模擬器提供時間同步!
(3)、統一修改組策略的模板
首選的組策略存放位置,組策略對象(GPO)由兩部分構成:GPT和GPC,其中GPC存放在AD數據庫中,GPT默認存放PDC模擬器在\\windows\sysvol\sysvol\
(4)、向後兼容低級客戶端和服務器,擔任NT系統中PDC角色
建議:
從上面的介紹裡大家應該看出來了,PDC Emulator是FSMO五種角色裡任務最重的,所以對於佔用PDC Emulator的域控制器要保證高性能和高可用性。
4、RID Master (RID主控)
此操作主機負責向其它 DC 分配 RID 池。只有一個服務器執行此任務。
在創建安全主體(例如用戶組或計算機)時,需要將 RID 與域範圍內的標識符相結合,以創建唯一的安全標識符 (SID)。
每一個 Windows Server DC 都會收到用於創建對象的 RID 池(默認為 512)。
RID 主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機,還可以在同一目錄林中的不同域之間移動所有對象。
域命名主機是基於目錄林的,整個目錄林中只有一個域命名主機。相對標識號(RID)主機是基於域的,目錄林中的每個域都有自己的相對標識號(RID)主機
在Windows Server的安全子系統中,用戶的標識不取決於用戶名,雖然我們在一些權限設置時用的是用戶名,但實際上取決於安全主體SID,所以當兩個用戶的SID一樣的時候,儘管他們的用戶名可能不一樣,但Windows的安全子系統中會把他們認為是同一個用戶,這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID,那麼如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重複
建議:
對於佔有RID Master的域控制器,其實也沒有必要一定要求高性能,因為我們很少會經常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了,當然高可用性是必不可少的,否則就沒有辦法添加用戶了。
5、Infrastructure Master(結構主控)
基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時,此引用包含該對象的全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動,則在域中擔當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。
基礎結構主機是基於域的,目錄林中的每個域都有自己的基礎結構主機
FSMO的五種角色中最無關緊要的可能就是這個角色了,它的主要作用就是用來更新組的成員列表,因為在活動目錄中很有可能有一些用戶從一個OU轉移到另外一個OU,那麼用戶的DN名就發生變化,這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。
建議:
其實在活動目錄森林裡僅僅只有一個域或者森林裡所有的域控制器都是GC(全局編錄)的情況下,Infrastructure Master根本不起作用,所以一般情況下對於佔有Infrastructure Master的域控制器性能和可用性方面的要求較低。
默認,這五種FSMO存在於目錄林根域的第一臺DC(主域控制器)上,而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在於子域中的第一臺DC。
常見的操作主機角色放置建議如下:
1:架構主機:擁有架構主機角色的DC不需要高性能,因為在實際環境中不會經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少。但要保證可用性,否則在安裝Exchange等會擴展AD架構的軟件時會出錯。
2:域命名主機:對佔有域命名主機的DC也不需要高性能,在實際環境中也不會經常在森林裡添加或者刪除域的。但要保證高可用性是有必要的,以保證在添加刪除當前林中域時可以使用。
一般建議由同一臺DC承擔架構主機與域域命名主機角色,並由GC放置在同一臺DC中。
3:PDC模擬器:從上述PDC功能中可以看出,PDC模擬器是FSMO五種角色裡任務最重的,必須保持擁有PDC的DC有高性能和高可用性。
4:RID主機:對於佔有RID Master的域控制器,沒有必要一定要求高性能,因為給其它DC分配RID池的操作不是經常性發生,但要求高可用性,否則在添加用戶時出錯。
5:基礎架構主機:對於單域環境,基礎架構主機實際上不起作用,因為基礎架構主機主要作用是對跨域對象引用進行更新,對於單域,不存在跨域對象的更新。基礎架構主機對性能和可用性方面的要求較低。
PDC 和 RID不建議 和GC 放置在同一臺DC中
- 佔有Domain Naming Master角色的域控制器必須同時也是GC;
- 不能把Infrastructure Master和GC放在同一臺DC上;
- 建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;
- 建議將Schema Master和Domain Naming Master放在同一臺域控制器上;
- 建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;
- 儘量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上。
好了,基礎角色講到這裡,有一個清楚的認識,自己也可以時常溫習。下一篇主要講解下,如何遷移這五種角色。
閱讀更多 心欲無痕 的文章
