操作主机角色

Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。

在每个林中，至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中，林范围的操作主机角色必须只出现一次。在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。

注意

• 操作主机角色有时称为灵活的单主机操作 (FSMO) 角色。

林范围内的操作主机角色

每个林必须具有以下角色：

• 架构主机

• 域命名主机

在林中这些角色必须是唯一的。这意味着在整个林中，只能有一个架构主机和一个域命名主机。

架构主机架构主域控制器控制对架构的全部更新和修改。要更新林的架构，您必须具备访问架构主机的权限。在整个林中，只能有一个架构主机。

域命名主机担当域命名主机角色的域控制器控制树林中域的添加或删除。在整个林中只能有一个域命名主机。

注意

• 任何运行 Windows Server 2003 的域控制器都可以担当域命名主机这一角色。担当域命名主机角色而且运行 Windows 2000 Server 的域控制器还必须启用为全局编录服务器。

域范围内的操作主机角色林中的每个域都必须有下列角色：

• 相对 ID (RID) 主机

• 主域控制器 (PDC) 仿真主机• 基础结构主机

在每个域中这些角色都必须是唯一的。即林中的每个域都只能有一个 RID 主机、PDC 仿真主机以及基础结构主机。

RID 主机RID 主机将相对 ID (RID) 序列分配给域中每个不同的域控制器。在任何时候，林中的每个域中只能有一个域控制器作为 RID 主机。

每次当域控制器创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全 ID (SID)。SID 包含一个“域”SID（它与域中创建的所有 SID 相同）和一个 RID（它对域中创建的每个 SID 是唯一的）。

要在域之间移动对象（使用 Movetree.exe），必须由您启动在域控制器上的移动操作，而此域控制器必须是目前包含该对象的域的 RID 主机。

PDC 仿真主机如果此域包含在没有 Windows 2000 或 Windows XP Professional 客户端软件情况下运行的计算机，或者包含 Windows NT 备份域控制器 (BDC)，则由 PDC 仿真主机担当 Windows NT 的主域控制器。它处理来自客户端的密码更改并将更新复制到 BDC。在任何时候，林中的每个域中只能有一个域控制器作为 PDC 仿真主机。

在默认情况下，PDC 仿真主机还负责同步整个域内所有域控制器上的时间。域的 PDC 模拟器将其时钟设置为父域中任意域控制器上的时钟。父域中的 PDC 模拟器应配置为与外部时间源同步。您可以使用下列语法执行“net time”命令，同步 PDC 模拟器和外部服务器上的时间：

net time

最终结果是整个林内所有运行 Windows Server 2003 或 Windows 2000 的计算机的时间相差都在几秒钟以内。

PDC 模拟器接受域中其他域控制器执行的密码更改的首选复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录身份验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将身份验证请求转发给 PDC 模拟器。

配置了 PDC 模拟器角色的域控制器支持两种身份验证协议：

• Kerberos V5 协议

• NTLM 协议

基础结构主机在任何时候，每个域中只能有一个域控制器作为基础结构主机。基础结构主机负责更新从它所在的域中的对象到其他域中对象的引用。基础结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作接收所有域中对象的定期更新，从而使全局编录的数据始终保持最新。如果基础结构主机发现数据已过时，则它会从全局编录请求更新的数据。然后，基础结构主机再将这些更新的数据复制到域中的其他域控制器。

要点

• 除非域中只有一个域控制器，否则不应将基础结构主机角色指派给全局编录所在的域控制器。如果基础结构主机和全局编录处于相同的域控制器中，则基础结构主机不会运行。基础结构主机从不查看过时的数据，也从不将任何更改复制到域中的其他域控制器。

如果域中的所有域控制器都存有全局编录，则所有域控制器都将拥有最新数据，因而无论哪个域控制器承担基础结构主机角色均不重要。

基础结构主机还负责在重命名或更改组成员时更新“组到用户”的引用。当您重命名或移动组成员（并且该成员驻留在组中不同的域中）时，组中可能暂时不显示该成员。组所属的域的基础结构主机负责组的更新工作，所以它知道成员的新名称或位置。这样当重命名或删除用户帐户时，就可防止与该用户帐户关联的组成员身份丢失。基础结构主机通过多主机复制的方法分发更新的内容。

在成员重命名和组更新期间，对安全性无危害。只有查看那个特定组成员身份的管理员才会注意到暂时的不一致性现象。

有关转移操作主机角色的信息，请参阅转移操作主机角色。有关操作主机失败时应采取何种措施的信息，请参阅响应操作主机失败。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/312079/viewspace-245496/，如需转载，请注明出处，否则将追究法律责任。