War*_*ica 13
Windows 管理员对这个问题给出的标准答案是五个:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
但事实证明,还有另外两个角色通常无关紧要,但如果分配给它们的服务器脱机,则可能会导致问题。
提醒 - 什么是 FSMO 角色?
Active Directory 主要使用多主机模型进行目录更新:任何域控制器都可以更新其本地目录副本,然后这些更改将复制到所有其他 DC。
然而,有一些更新更为关键,它们以单主机方式完成:只有一个 DC 能够进行这些更新,并且它们会从该 DC 复制到其他 DC。进行这些关键更新之一的能力称为角色,这些角色一次分配给一个 DC(单主),但将角色移动到不同的 DC(灵活)相当容易,这会导致名称“灵活的单主操作角色”。
本文描述了上面列出的五个 FSMO 角色,包括对每个 FSMO 角色持有者负责的目录更新类型的简要说明(例如,Schema Master 是唯一可以更改 AD 模式的 DC。)
基础架构大师角色
事实证明,即使只有一个域,也有多个基础架构主机角色。在上面提到的MS 文章中,它说:
为每个应用程序分区创建一个单独的基础结构主机,包括由 Windows Server 2003 和更高版本的域控制器创建的默认林范围和域范围的应用程序分区。
我不打算解释AD 中的目录分区和应用程序目录分区(链接指向 TechNet 文档,该文档比我能更好地解释它们),知道它们存在就足够了。
因此,如果您有一个 AD 域,则您有 3 个基础架构主机,总共有7 个 FSMO 角色。
额外的角色会导致问题吗?
有时...
我找不到明确的答案,但有强有力的间接证据表明“额外的”FSMO 角色只能手动移动,例如,当您在 Windows Server 2008 中运行“Adprep /rodcprep”命令时出现错误消息:“Adprep 无法联系分区 DC=DomainDnsZones,DC=Contoso,DC=com 的副本”
出现该错误的最常见原因是,在设置域时,第一个 DC 拥有所有 7 个角色,但是任何常用工具(DCPROMO 等)都不会移动这两个额外的基础架构主机角色。 DC 曾经退役,没有服务器担任这些角色,并且 RODC 准备失败,因为它需要与他们交谈。
我遇到额外角色的地方是在 Samba 4 中:samba-tool 实用程序可以将 FSMO 角色转移到不同的 DC,并且在 4.3 版本之前它会告诉您所有角色都已转移,但是当您尝试降级DC 它会抱怨 DC 仍然担任 2 个 FSMO 角色。 现在已经修复了。
| 归档时间: |
|
| 查看次数: |
2376 次 |
| 最近记录: |