|
 | 作者: qiuyang [qiuyang]
 版主 |
登录 |
| 本文的发布号曾为 CHS197132 概要 Microsoft Windows 2000 Active Directory 是中央储存库,企业中所有的对象以及它们各自属性都储存在此。它是一种层次结构型的、启用多主机的数据库,能储存好几百万的对象。由于它是多主机的,对数据库所做的任何修改都可在企业的任何域控制器 (DC) 中得到处理,不管该 DC 是与网络连接还是已断开连接。 更多信息 Windows 2000 多主机模式 启用多主机的数据库(如 Active Directory)具有很大的灵活性,允许在企业中的任何一台 DC 上进行修改,但也存在发生冲突的可能,一旦数据复制到企业的其它地方,就可能导致潜在的问题出现。Windows 2000 处理更新发生冲突的一个方法是,由冲突解决算法来处理数值的差异,做法是通过解析到在上面最后进行修改的 DC(也就是说,“最后写入者入选”),同时将所有其它 DC 中的修改全部放弃。虽然这种解决方法在某些情况下是可以接受的,但是在有些情况下,用“最后写入者入选”方法来解决冲突是很困难的。既然如此,最好是防止冲突出现,而不是出现冲突后设法解决。 对于某些类型的修改,Windows 2000 集中了一些防止出现 Active Directory 更新冲突的方法。 Windows 2000 单主机模型 为防止 Windows 2000 中的更新冲突, Active Directory 以单主机的方式对某些对象执行更新。在单主机模式中,整个目录中只有一个 DC 获准来处理更新。这与 Windows 早期版本(如 Microsoft Windows NT 3.51 及 4.0)中给予主域控制器 (PDC) 的角色很相似,在这些版本中,PDC 负责处理某一域内所有的更新。 Windows 2000 Active Directory 扩展了早期版本中所采用的单主机模式,包括了多项角色,及将那些角色转移到企业中任何其它域控制器 (DC) 的能力。由于 Active Directory 角色并不局限于单个 DC,它被称为“灵活性单主机操作”(FSMO) 角色。当前在 Windows 2000 中有 5 个 FSMO 角色: 架构主机 域命名主机 RID 主机 PDC 仿真器 基础结构守护程序 架构主机 FSMO 角色 架构主机 FSMO 角色承担者是负责执行目录架构更新的 DC(即,架构命名环境或 LDAP://cn=schema,cn=configuration,dc=<domain>)。这个 DC 是能够处理目录架构更新的唯一的一个 DC。一旦架构更新完成,它从架构主机被复制到目录中所有其它的 DC。每个目录只有一个架构主机。 域命名主机 FSMO 角色 域命名主机 FSMO 角色的承担者是负责目录中的目录林范围的域名空间更改的 DC(即 Partitions\Configuration 命名环境或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>)。这是唯一的一个可在目录中添加或从目录中删除域的 DC 。它还可以在外部目录的域中添加或删除交叉引用。 RID 主机 FSMO 角色 RID 主机 FSMO 角色的承担者是负责处理某一域中的所有的 DC 的 RID 池请求的一个 DC。它还负责在对象移动时从它的域中删除该对象,并将它放进另外一个域中。 当 DC 创建一个安全主体对象(如用户或组)时,它会给该对象附加上一个唯一的安全标识 (SID)。该 SID 包含一个域 SID (对于在域中创建的所有 SID 也同样),还有一个相对标识 (RID),它对域中创建的每一个安全主体 SID 是唯一的。 域中的每一个 Windows 2000 DC 都有一个 RID 池,这样每个 DC 都可以将这些 RID 分配给它所创建的安全主体。当 DC 的 RID 池低于阈值后,该 DC 发出一个请求给域的 RID 主机,要求给予更多的 RID。域 RID 主机对该请求作出响应,它检索域中未分配出去的 RID 池中的 RID,并将它们分配给发出请求的 DC 的池。目录中每个域只有一个 RID 主机。 PDC 仿真器 FSMO 角色 PDC 仿真器是企业中同步时间所必需的。Windows 2000 包含 Kerberos 身份验证协议所需的 W32Time(Windows 时间)时间服务。企业中所有基于 Windows 2000 的计算机使用统一的时间。时间服务的目的是确保 Windows Time 服务可以使用层次关系控制授权和禁止许可循环,确保正确地使用统一时间。 域 PDC 仿真器是域的权威。目录林中根目录下的 PDC 仿真器成为企业的权威,应该将它配置为从外部来源收集时间。企业中的所有 PDC FSMO 角色在选择入站时间伙伴时,都遵从域的层次结构。 在 Windows 2000 域中,PDC 仿真器角色承担者保留了如下的功能: 由域中其它 DC 所作的密码更改优先复制到 PDC 仿真器。 域中任何一个 DC 由于密码不对所发生的验证失败都先转发到 PDC 仿真器,然后再向用户发出密码不对的失败信息。 帐户锁定在 PDC 仿真器上处理。 注意随着级别较低的工作站、成员服务器、及域控制器升级到 Windows 2000,PDC 仿真器的角色就变得没有必要,这种情况下,下列信息适用: Windows 2000 客户(工作站及成员服务器)以及安装了分布式服务客户软件包的级别较低的客户,不在宣布自己为 PDC 的 DC 上优先执行目录写入(如更改密码);而在域中可使用任何一个 DC。 一旦级别较低的域中的备份域控制器 (BDC) 升级到 Windows 2000,PDC 仿真器不再收到级别较低的的复制请求。 Windows 2000 的客户(工作站及成员服务器)及安装了分布式服务软件包级别较低的客户使用 Active Directory 来查找网络资源。它们不需要 Windows NT Browser 服务。 基础结构 FSMO 角色 当一个域中的对象被另一个域的另一个对象引用时,它代表被引用的对象的 GUID、SID(用于引用安全主体)、和 DN。基础结构 FSMO 角色承担者是负责更新对象的 SID 和跨域对象引用中的可分辩的名称的 DC。 备注:基础结构角色应由非全局编录 (GC) 的 DC 来承担。如果该角色在 GC 服务器上,该域的跨域对象引用不能更新,在该 DC 的事件日志中就会出现对该结果的一个警告。 这篇文章中的信息适用于: Microsoft Windows Advanced Server Microsoft Windows Server [此贴被 秋阳(qiuyang) 在 01月10日11时42分 编辑过] |
| 地主 发表时间: 04-01-10 11:42 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 电脑门诊
标题: Windows2000ActiveDirectoryFSMO角色