Windows 2000 域控制器支持对 Active Directory 中对象(如用户帐户和计算机帐户)的复制进行多主机更新。在多主机模型中,对象及其属性可以源于域中任何域控制器,并会变得有复制"权威性"。
本文将说明如何在域和目录林中放置 Active Directory"灵活单主机"(FSMO) 角色。
不完全适合于多主机放置的某些域和企业范围的操作驻留在域或目录林中的一个控制器上。单主机操作的优点是:可以防止在操作主机处于脱机状态时引起冲突,而不是引起潜在的冲突,并必须在以后解决它们。但是,具有单操作主机意味着,在域或企业中发生依赖活动或者进行与该角色关联的目录更改时,FSMO 角色所有者必须是可用的。
Active Directory 定义了 5 种 FSMO 角色:架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色(RID 主机、PDC 模拟器和结构主机)是每个域都具有的角色。
具有一个域的目录林有五个角色。目录林中的每个其他域都会添加三个域范围角色。可以使用公式((域数 * 3)+2),确定目录林中的 FSMO 角色数和潜在的 FSMO 角色所有者数。
具有三个域的目录林(域 A.com、子域 B.A.com 和孙域 C.B.A.com)有 11 个 FSMO 角色:
1 个架构主机 - 目录林范围的A.COM
1 个域命名主机 - 目录林范围的 A.COM
3个 PDC 模拟器(A.com、B.A.com 和 C.B.A.com)
3 个 RID 主机(A.com、B.A.com 和 C.B.A.com)
对应于各个域的 3 个结构主机。(A.com、B.A.com 和 C.B.A.com)
当您创建目录林的第一个 Windows 2000 域控制器 (DC) 时,系统将所有五种角色都分配给它。当您在现有目录林中创建新域的第一个 Windows 2000 DC 时,系统将所有三种域角色都分配给它。在包含 Windows 2000 和 NT 4.0 域控制器的混合模式域中,只有 Windows 2000 域控制器才能包含任一域范围或目录林范围的 FSMO 角色。
FSMO 的可用性和放置
Windows 2000 执行域控制器上角色的初始放置。对于具有很少域控制器的目录,此放置通常是正确的。在具有许多域控制器的目录中,默认放置与您的网络不大可能是最佳匹配。
根据每个域,选择本地的主要和备用 FSMO 域控制器,以防在主要 FSMO 所有者上发生失败。此外,您可能希望选择站点之外的备用所有者,以防发生站点特定的灾难。请在您的选择条件中考虑以下内容:
• |
如果域只有一个域控制器,则该 DC 包含所有的每域角色。 |
• |
如果域有多个域控制器,则使用 Active Directory 站点和服务管理器,通过"连接良好的"持续性链接选择直接复制伙伴。 |
• |
备用服务器可能与主要 FSMO 服务器位于同一站点中,以便在大的计算机组中获得更快的复制汇聚一致性;备用服务器也可能位于远程站点中以防在主要位置发生站点特定的灾难。 |
• |
当备用 DC 位于远程站点中时,请确保将连接配置为用于通过持续性链接的连续复制。 |
FSMO 放置的一般建议
• |
将 RID 角色和 PDC 模拟器角色放置在同一 DC 上。最好保证从 PDC 到 RID 主机的良好通信,因为下级客户端和应用程序以 PDC 为目标,从而使 PDC 成为 RID 的主要使用者。将 FSMO 角色群集在较少的计算机上,也会更易于跟踪这些角色。
如果主要 FSMO 负载上的负载证明应该移动,请将 RID 角色和 PDC 模拟器角色放置在相同的域和 Active Directory 站点中互为直接复制伙伴的不同域控制器上。 |
• |
一般说来,结构主机应该位于非全局目录服务器上,该服务器具有直接连接到目录林中某个全局目录的对象,最好是在同一 Active Directory 站点中。由于全局目录服务器保存目录林中每个对象的部分副本,因此结构主机(如果放在全局目录服务器上)一定不会再更新任何内容,因为它不包含对它不保存的对象的任何引用。"不要将结构主机放在全局目录服务器上"这一规则有两个例外为:
• |
单域目录林:
在包含单个 Active Directory 域的目录林中没有 phantom,因此没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在域中的任一域控制器上。 |
• |
多域目录林,其中的每个 域控制器都包含全局目录:
如果目录林中的每个域控制器也承载全局目录,则没有 phantom 或需要结构主机完成的任务。在这种情况下,可以将结构主机放在目录林中的任一域控制器上。 | |
• |
在目录林级别上,架构主机角色和域命名主机角色应该放置在同一域控制器上,因为它们很少使用且应该进行严格控制。另外,域命名主机 FSMO 也应该是全局目录服务器。 |
最重要的是,使用其中的一个管理控制台(如 Dsa.msc 或 Ntdsutil.exe)确认所有 FSMO 角色都是可用的。