Windows 2000 Active Directory FSMO 角色

文章翻譯 文章翻譯
文章編號: 197132 - 檢視此文章適用的產品。
本文曾發行於 CHT197132
全部展開 | 全部摺疊

在此頁中

結論

Microsoft Windows 2000 Active Directory 是儲存企業中所有物件及其各別屬性的中央機制。這是一種階層式、啟用多主機的資料庫,能夠儲存數以百萬計的物件。由於是多主機的,不論網域控制站 (DC) 與網路連線或中斷連線,在企業中的任何 DC 都能處理資料庫的變更。

其他相關資訊

Windows 2000 多主機模型

啟用多主機的資料庫,像是 Active Directory,會提供允許在企業中的任何 DC 進行變更的彈性,不過也會引入可能的衝突,而在將資料複寫到企業的其餘部分時造成問題。Windows 2000 處理衝突更新的一種方式,就是解析至最後寫入變更的 DC (也就是「最後寫入者取得優先」),並同時捨棄其他所有 DC 中的變更,用衝突解決演算法處理值的不符問題。儘管在某些情況下可以接受這種解決方法,有時候使用「最後寫入者取得優先」依然會難以解決衝突。在此情況下,最好能夠預防衝突的發生,而非在衝突發生後嘗試解決。

對於某些類型的變更,Windows 2000 都有方法可以防止衝突 Active Directory 更新的發生。

Windows 2000 單一主機模型

為了在 Windows 2000 防止衝突更新,Active Directory 會以單一主機的形式來執行特定物件的更新。在單一主機模型中,只會允許整個目錄中的一個 DC 處理更新。這點類似於主要網域控制站 (PDC,Primary Domain Controller) 在舊版 Windows (例如 Microsoft Windows NT 3.51 和 4.0) 中擔任的角色,其中由 PDC 負責處理特定網域中的所有更新。

Windows 2000 Active Directory 延伸舊版 Windows 中的單一主機模型,以便包含多種角色,並且具有將角色轉移至企業中任何網域控制站 (DC) 的能力。由於 Active Directory 角色沒有繫結至單一 DC,也被稱為彈性單一主機操作 (FSMO,Flexible Single Master Operation) 角色。目前在 Windows 2000 中有 5 種 FSMO 角色:

  • 架構主機
  • 網域命名主機
  • RID 主機
  • PDC 模擬器
  • 基礎架構精靈

架構主機 FSMO 角色

架構主機 FSMO 角色持有者就是負責執行目錄架構更新的 DC (也就是架構命名內容或 LDAP://cn=schema,cn=configuration,dc=<domain>)。這個 DC 是唯一能夠處理目錄架構更新的 DC。一旦架構更新完成,就會從架構主機複寫至目錄中的其他 DC。每個目錄都只有一個架構主機。

網域命名主機 FSMO 角色

網域命名主機 FSMO 角色持有者就是負責變更目錄的全樹系網域名稱空間的 DC (也就是磁碟分割\設定命名內容或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>)。這也是唯一能夠對目錄加入或移除網域的 DC。這個 DC 也能加入或移除外部目錄中的網域交互參照。

RID 主機 FSMO 角色

RID 主機 FSMO 角色持有者是單一 的 DC,負責處理特定網域內來自所有 DC 的 RID 集區要求。這個 DC 也在物件移動時,負責將物件從其網域移除,並將物件置於另一個網域。

當 DC 建立像是使用者或群組的安全性主體物件時,便會將唯一的安全性識別碼 (SID) 附加至物件。這個 SID 由網域 SID (對於在此網域中建立的所有 SID 都會相同),以及建立在網城中之每個安全性主體 SID 的唯一相對 ID (RID) 所組成。

網域中的每個 Windows 2000 DC 都會獲得 RID 集區的配置,以便指派到其所建立的安全性主體。當 DC 的配置 RID 集區低於某個臨界值時,該 DC 就會向網域的 RID 主機發出擁有額外 RID 的要求。網域 RID 會從網域的未配置 RID 集區擷取 RID,並將這些指派到發出要求的 DC 的集區,以回應這項要求。目錄中的每個網域都只有一個 RID 主機。

PDC 模擬器 FSMO 角色

PDC 模擬器對於在企業中同步化時間是有必要的。Windows 2000 包含 W32Time (Windows Time),這是 Kerberos 驗證通訊協定所需要的「時間服務」(Time Service)。在企業內的所有 Windows 2000 電腦都使用共同的時間。這項時間服務的目的,是要確定 Windows Time 服務會使用控制授權的階層式關係,並且不允許迴圈以確定適當的共同時間使用。

網域的 PDC 模擬器就是網域的授權單位。樹系根目錄的 PDC 模擬器會成為企業的授權單位,而且應該進行設定,以便從外部來源收集時間。所有的 PDC FSMO 角色持有者都會遵照自己輸入計時協力電腦選項中的網域階層。

在 Windows 2000 網域中,PDC 模擬器角色持有者會保留下列功能:
  • 由網域中的其他 DC 所執行的密碼變更,都會優先地複寫至 PDC 模擬器。
  • 由於不正確的密碼,而在網域中的特定 DC 發生的驗證失敗,都會在以錯誤密碼失敗訊息向使用者報告之前,先傳送到 PDC 模擬器。
  • 帳戶鎖定的處理也會在 PDC 模擬器上進行。
  • PDC 模擬器會執行 Microsoft Windows NT 4.0 Server PDC 所有功能,舊版的 PDC 則會執行 Windows NT 4.0 或舊版用戶端的所有功能。
當執行 Windows NT 4.0 或舊版的工作站、成員伺服器和網域控制站,全都升級為 Windows 2000 時,PDC 模擬器角色的這個部分就不再是必要的。不過 PDC 模擬器依然會在 Windows 2000 環境中執行先前所說明的其他功能。

下列資訊說明在進行升級程序時所發生的變更:
  • Windows 2000 用戶端 (工作站和成員伺服器) 和安裝散佈服務用戶端套件的前版用戶端,都不會對將自己通告為 PDC 的 DC 優先執行目錄寫入 (像是密碼變更),而是會使用網域的任何 DC。
  • 一旦前版網域中的備份網域控制站 (BDC) 升級至 Windows 2000,PDC 模擬器就不會再收到前版的複寫要求。
  • Windows 2000 用戶端 (工作站和成員伺服器) 和安裝散佈服務用戶端套件的前版用戶端,都會使用 Active Directory 來尋找網路資源。它們並不需要 Windows NT Browser 服務。

基礎架構 FSMO 角色

當網域中的物件由其他網域中的物件所參考時,就會使用 GUID、SID (作為安全性主體的參考),以及受參考物件的 DN 來表示這項參考。基礎架構 FSMO 角色持有者,就是在跨網域物件參考中負責更新物件的 SID 和辨別名稱的 DC。

注意:基礎架構主機 (IM) 角色應該要由非通用類別目錄伺服器 (GC) 的網域控制站所持有。如果基礎架構主機是在通用類別目錄伺服器上執行,就會停止更新物件資訊,因為它不包含本身不持有之物件的任何參照。這是因為通用類別目錄伺服器會保留樹系中每個物件的部分複本。因此,該網域中的跨網域物件參考就不會更新,而且關於此結果的警告會記錄到該 DC 的事件日誌上。

如果網域中的所有網域控制站都有裝載通用類別目錄,則所有的網域控制站就都會擁有最新資料,因此由哪個網域控制站持有基礎架構主機角色也就不重要了。

屬性

文章編號: 197132 - 上次校閱: 2005年11月17日 - 版次: 4.1
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
關鍵字:?
kbinfo KB197132
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com