El rol, la búsqueda y la planificación de los cinco roles de FSMO

FSMO Chino traducido en maestro de operaciones, antes de explicar el rol de FSMO, primero introducen dos conceptos:

Copia maestra única: llamada única La replicación maestra se refiere a la copia de un lugar a otro. Esto se usa principalmente para el dominio NT4 anterior. Sabemos que en el dominio NT4, el PDC y el BDC se distinguen en la red del dominio, y todas las replicaciones son de PDC a BDC. Esto se debe a que el dominio NT4 usa este tipo de mecanismo de replicación, por lo que la modificación del dominio en la red debe realizarse en el PDC, y no es válida en el BDC. Si su red es pequeña, las deficiencias de este tipo de organización no se pueden reflejar por completo, pero si se trata de una red interurbana, como su PDC en Shanghai y BDC en Beijing, entonces la modificación de su red será muy importante. El problema.

Replicación de varios maestros: la replicación de varios maestros es relativa a la replicación de un solo maestro. Se refiere a la replicación mutua de todos los controladores de dominio, principalmente para compensar los defectos de la replicación de un solo maestro. Microsoft desde Windows A partir del dominio 2000, el PDC y el BDC ya no se distinguen en la red. Todos los controladores de dominio están en una posición equivalente, y las modificaciones en cualquier controlador de dominio se copian a otros controladores de dominio.

Dado que los controladores de dominio en el dominio de Windows 2000 son todos equivalentes, ¿cuál es la función de estos controladores de dominio? El rol de un controlador de dominio en un dominio de Windows 2000 no depende de si es el número de controladores de dominio en la red. Dependiendo de la distribución de los cinco roles del FSMO en la red, ahora está comenzando a llegar al punto. El FSMO tiene cinco roles. , dividido en dos categorías:

1, el nivel de bosque (es decir, solo existe un DC en un bosque que tiene esta función):

(1), Maestro de esquemas Traducción al chino: maestro de arquitectura < Br>

(2), Maestro de nombres de dominio Traducción al chino: maestro de nombres de dominio

2, nivel de dominio (es decir, solo un controlador de dominio en un dominio tiene este rol):

(1), traducción en chino del emulador de PDC: emulador de PDC

(2), traducción en chino del maestro RID: maestra de RID

(3), traducción en chino del maestro de infraestructura: básico Arquitectura maestra

Primero, expliquemos lo que hacen estos cinco espacios de función:

1. Schema Maste

Use para modificar los datos de origen de Active Directory. . Sabemos que hay varios objetos en Active Directory, como usuarios, computadoras, impresoras, etc. Estos objetos tienen una serie de propiedades. El propio Active Directory es una base de datos. Los objetos y los atributos son como tablas. Con la correspondencia, entonces la relación entre estos objetos y atributos está definida por Schema Maste. Si implementa Excahnge, sabrá que el esquema puede extenderse, pero debe prestar atención a la extensión. El esquema debe extenderse en Schema Maste. Ejecute las extensiones en otros controladores de dominio o servidores miembros. De hecho, los datos se transfieren al esquema a través de la red y luego se extienden en Schema Maste. Para extender el esquema, debe Los permisos con el grupo de administradores de esquema están bien.

Sugerencia: No se requiere un alto rendimiento en los controladores de dominio que tienen Schema Maste, porque no solemos manipular el Esquema a menos que a menudo extendamos el Esquema, pero esto es muy raro, pero Debemos garantizar la disponibilidad, de lo contrario, cometeremos errores al instalar software como Exchnage o LCS.

2, Maestro de nombres de dominio

Este también es un rol a nivel de bosque, su función principal es administrar la adición o eliminación de dominios en el bosque. Si desea agregar un dominio a su bosque existente o eliminar un dominio, debe comunicarse con el Maestro de nombres de dominio. Si el Maestro de nombres de dominio está en el estado Inactivo, sus adiciones y eliminaciones definitivamente fallarán. .

Sugerencia: el controlador de dominio que posee el Domain Naming Master tampoco necesita un alto rendimiento. No creo que ningún administrador de red a menudo agregue o elimine dominios en el bosque. Por supuesto, la alta disponibilidad es necesaria, de lo contrario no hay manera de agregar un dominio para eliminar el bosque.

3, emulador de PDC

Como se mencionó anteriormente, el dominio de Windows 2000 comienza, ya no distingue entre PDC o BDC, pero de hecho, algunas operaciones deben ser realizadas por PDC, luego estas ¿Qué debo hacer en el dominio de Windows 2000? Esto lo hace el Emulador de PDC, principalmente las siguientes operaciones:

(1), manejan los requisitos de verificación de contraseña;

De forma predeterminada, todos los controladores de dominio del dominio de Windows 2000 se copiarán cada 5 minutos. Sin embargo, hay algunas excepciones, como la modificación de la contraseña. En general, una vez que se modifica la contraseña, primero se copiará al Emulador de PDC, y luego se emite una actualización inmediata por parte del Emulador de PDC para garantizar la contraseña en tiempo real. Dado que la replicación de la red también lleva tiempo, todavía habrá una cierta diferencia de tiempo. En cuanto a esta diferencia de tiempo, depende del tamaño de la red y las condiciones de la línea.

(2) Tiempo en el dominio unificado;

Microsoft Active Directory usa el protocolo Kerberos para la autenticación de identidad. De manera predeterminada, la diferencia de tiempo entre el autenticador y la parte autenticada no puede exceder de 5 Minutos, de lo contrario será rechazado. El diseño de Microsoft se usa principalmente para evitar ataques de repetición. Por lo tanto, el tiempo en el dominio debe estar unificado. Este trabajo de tiempo unificado se realiza mediante el emulador de PDC.