Windows 2000 域控制器支持对 Active Directory 中对象(如用户帐户和计算机帐户)的复制进行多主机更新。在多主机模型中,对象及其属性可以源于域中任何域控制器,并会变得有复制"权威性"。
本文将说明如何在域和目录林中放置 Active Directory"灵活单主机"(FSMO) 角色。
不过本文不完全适合于多主机放置的某些域和企业范围的操作驻留在域或目录林中的一个控制器上。单主机操作的优点是:可以防止在操作主机处于脱机状态时引起冲突,而不是引起潜在的冲突,并必须在以后解决它们。但是,具有单操作主机意味着,在域或企业中发生依赖活动或者进行与该角色关联的目录更改时,FSMO 角色所有者必须是可用的。
Active Directory 定义了 5 种 FSMO 角色:架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色(RID 主机、PDC 模拟器和结构主机)是每个域都具有的角色。
具有一个域的目录林有五个角色。目录林中的每个其他域都会添加三个域范围角色。可以使用公式((域数 * 3)+2),确定目录林中的 FSMO 角色数和潜在的 FSMO 角色所有者数。
具有三个域的目录林(域 A.com、子域 B.A.com 和孙域 C.B.A.com)有 11 个 FSMO 角色:
1 个架构主机 - 目录林范围的A.COM
1 个域命名主机 - 目录林范围的 A.COM
3个 PDC 模拟器(A.com、B.A.com 和 C.B.A.com)
3 个 RID 主机(A.com、B.A.com 和 C.B.A.com)
对应于各个域的 3 个结构主机。(A.com、B.A.com 和 C.B.A.com)
当您创建目录林的第一个 Windows 2000 域控制器 (DC) 时,系统将所有五种角色都分配给它。当您在现有目录林中创建新域的第一个 Windows 2000 DC 时,系统将所有三种域角色都分配给它。在包含 Windows 2000 和 NT 4.0 域控制器的混合模式域中,只有 Windows 2000 域控制器才能包含任一域范围或目录林范围的 FSMO 角色。
FSMO 的可用性和放置
Windows 2000 执行域控制器上角色的初始放置。对于具有很少域控制器的目录,此放置通常是正确的。在具有许多域控制器的目录中,默认放置与您的网络不大可能是最佳匹配。
根据每个域,选择本地的主要和备用 FSMO 域控制器,以防在主要 FSMO 所有者上发生失败。此外,您可能希望选择站点之外的备用所有者,以防发生站点特定的灾难。请在您的选择条件中考虑以下内容:
| • |
如果域只有一个域控制器,则该 DC 包含所有的每域角色。 |
| • |
如果域有多个域控制器,则使用 Active Directory 站点和服务管理器,通过"连接良好的"持续性链接选择直接复制伙伴。 |
| • |
备用服务器可能与主要 FSMO 服务器位于同一站点中,以便在大的计算机组中获得更快的复制汇聚一致性;备用服务器也可能位于远程站点中以防在主要位置发生站点特定的灾难。 |
| • |
当备用 DC 位于远程站点中时,请确保将连接配置为用于通过持续性链接的连续复制。 |
FSMO 放置的一般建议
| • |
将 RID 角色和 PDC 模拟器角色放置在同一 DC 上。最好保证从 PDC 到 RID 主机的良好通信,因为下级客户端和应用程序以 PDC 为目标,从而使 PDC 成为 RID 的主要使用者。将 FSMO 角色群集在较少的计算机上,也会更易于跟踪这些角色。
如果主要 FSMO 负载上的负载证明应该移动,请将 RID 角色和 PDC 模拟器角色放置在相同的域和 Active Directory 站点中互为直接复制伙伴的不同域控制器上。 |
| • |
一般说来,结构主机应该位于非全局目录服务器上,该服务器具有直接连接到目录林中某个全局目录的对象,最好是在同一 Active Directory 站点中。由于全局目录服务器保存目录林中每个对象的部分副本,因此结构主机(如果放在全局目录服务器上)一定不会再更新任何内容,因为它不包含对它不保存的对象的任何引用。"不要将结构主机放在全局目录服务器上"这一规则有两个例外为:
| • |
单域目录林:
在包含单个 Active Directory 域的目录林中没有 phantom,因此没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在域中的任一域控制器上。 |
| • |
多域目录林,其中的每个 域控制器都包含全局目录:
如果目录林中的每个域控制器也承载全局目录,则没有 phantom 或需要结构主机完成的任务。在这种情况下,可以将结构主机放在目录林中的任一域控制器上。 |
|
| • |
在目录林级别上,架构主机角色和域命名主机角色应该放置在同一域控制器上,因为它们很少使用且应该进行严格控制。另外,域命名主机 FSMO 也应该是全局目录服务器。 |
最重要的是,使用其中的一个管理控制台(如 Dsa.msc 或 Ntdsutil.exe)确认所有 FSMO 角色都是可用的。
分享到:
相关推荐
在域控制器维护和管理中,FSMO 角色的迁移是非常重要的,因为它可以确保域的可用性和安全性。 迁移 FSMO 角色的步骤 迁移 FSMO 角色的步骤可以分为两部分:转移 FSMO 角色和捕获 FSMO 角色。 转移 FSMO 角色的...
在Windows Server域控制服务器中,FSMO(Flexible Single Master Operations)五大角色是域控控制器的核心角色,它们分别是:Schema Master、Domain Naming Master、PDC Emulator、RID Master和Infrastructure ...
因为Windows 2003中并不存在传统意义上的主域控制器和额外域控制器的概念,所有域控制器都是平等的,但它们之间会有一些特定的角色差异,主要体现在FSMO角色上。 FSMO角色包括以下五个关键部分: 1. 架构主机...
域控制器迁移是企业环境中常见的一项操作,尤其是在升级或优化网络基础设施时。本文将详细介绍如何将一个运行Windows Server 2003的域控制器平稳地迁移到Windows Server 2008 R2系统,确保服务的连续性和数据完整性...
2. 用户主名(UPN):UPN是用户登录时使用的格式,如`jack@net.com`,可以在域控制器的属性中更改UPN后缀,并在用户属性中启用相应后缀供用户登录。 3. 安全标识符(SID):每个用户和组都有一个唯一的SID,用于...
为了确保系统的稳定性和可用性,通常会在网络中配置多个域控制器,其中包括一个主域控制器(Primary Domain Controller,PDC)和一个或多个额外域控制器(Additional Domain Controllers,ADC)。本文旨在详细介绍...
Windows 2003域控制器是微软Windows Server 2003操作系统中的关键组件,它在Active Directory域环境中扮演着核心角色。域控制器存储了域内的账户、密码、计算机对象等重要信息,负责验证网络中计算机和用户的登录...
此外,开启“允许区域复制”功能,使得DNS区域信息可以在域控制器间同步。 四、 额外域控制器的角色转移 在完成额外域控制器的建立和设置之后,下一步是进行角色转移操作。这包括打开额外域控制器上的“全局编录”...
1. 实验环境准备:确保有一个可用的额外域控制器,例如System为Windows 2003 Server的BDC.test.com,与主域控制器PDC.test.com在同一个域名test.com下,并配置了正确的IP地址、子网掩码和DNS服务器。 2. 安装额外域...
然后,需要迁移这些角色到辅助域控制器上。迁移 RID 主机角色可以使用以下命令:ntdsutil、roles、connection、connect to server B.jiajie.com 等。在迁移过程中,需要根据实际情况选择正确的命令和参数。 四、 ...
- 确认所有五个FSMO(Flexible Single Master Operations)角色均位于第一台Windows 2000域控制器上。这五个角色包括: - 架构主机(Schema Master):负责对目录架构执行更新。 - 域命名主机(Domain Naming ...
通过上述步骤,可以成功在Windows Server 2012 R2环境中部署主域控制器和额外域控制器,并实现FSMO角色的安全转移和管理。这不仅可以增强域环境的稳定性,还能有效提高网络服务的可用性和安全性。
迁移域控制器是IT环境中常见的操作,特别是在需要更新硬件或优化基础设施时。这个过程涉及将一个组织的Active Directory(AD)的主控制权从一台服务器转移到另一台。在本例中,我们将讨论如何从一台旧的主域控制器...
在Windows Server操作系统中,当主域控制器(PDC Emulator,PDCE)因硬件故障或其他原因无法工作时,需要将辅助域控制器(Additional Domain Controller,ADC)提升为主域控制器。这个过程涉及到Active Directory中...
- **主域控制器模拟器 (PDC Emulator)**:提供向后兼容低级客户端和服务器的功能,允许Windows NT 4.0备份域控制器 (BDC) 加入到新的Windows 2000环境。同时,它还负责目录林中各个域的时间同步。 - **基础结构主机 ...
- **源域控制器**:要求托管在Windows Server 2012上的PDC模拟器FSMO角色。 - **虚拟化主机**:必须支持VM-Generation-ID功能。 #### 六、虚拟化域控制器克隆流程 ##### 6.1 验证虚拟机监控程序 - **确认支持**:...
【额外域控制升级为主域控制器】的文档描述了一个在Windows Server环境下将一台额外域控制器(Additional Domain Controller,ADC)提升为主域控制器(Primary Domain Controller,PDC)的过程,以确保在主域控制器...