Windows Server Active Directory FSMO 操作主机角色介绍

2019-07-2209:43:34 评论 43

0x01 Active Directory域介绍

自1999年底(Windows Server 2000)首次出现以来,Active Directory(AD)一直是企业域身份验证服务的事实标准。从那时起,已经进行了一些增强和更新,使其成为当今使用的稳定和安全的身份验证系统。
在其初期,AD有一些相当明显的缺陷。如果您的域中有多个域控制器(DC),他们会争论哪个DC可以进行更改 - 有时您的更改会坚持,有时他们不会。为了升级AD并保持DC不会一直在争斗,微软推出了“单一主模型”。一个DC可以对域进行更改,而其余的只是完成身份验证请求。但是,当单个主DC发生故障时,不会对域进行任何更改,直到它恢复为止。
为解决这一根本性缺陷,Microsoft将DC的职责分为多个角色。管理员将这些角色分配到几个DC,如果其中一个DC宕机,另一个DC将接管宕机DC的任何角色!域服务具有智能群集,具有内置冗余和弹性。微软将此称为灵活单主机操作(FSMO)。
Windows Server Active Directory FSMO 操作主机角色介绍

0x02 FSMO角色详解

FSMO角色:他们是什么?微软将DC的职责划分为5个独立的角色,共同构成一个完整的AD系统。
FSMO五个操作主机角色,其中林范围操作主机角色(两个角色)和域范围操作主机角色(三个角色)

0x03 林范围操作主机角色(两个)

架构主机角色:Schema Master
域命名主机角色:Domain Naming Master

0x04 域范围操作主机角色(三个)

域范围操作主机:
RID 主机角色:RID Master
PDC 模拟主机角色:PDC Emulator
基础架构主机角色:Infrastructure Master

PS.林范围主机角色必须唯一;域范围主机角色也必须是唯一。

0x05 架构主机(Schema Master)

用来定义所有域对象属性;架构主机的所有者是负责对林架构进行更新和修改的域控制器,在林中只能有一个架构主机角色。默认的架构主机角色所有者是林中第一台域控制器。架构主机只有你需要对架构进行更改时才会用到,这些一般都是事先计划好的,因此,架构主机允许短时间的脱机;如果你的架构主机角色所有的者的域控制器出现故障,你可以等待修复后重新联机。

0x06 域命名主机(Domain Naming Master)

如果域林内添加新域,必须由域命名主机判断域名的合法性,即域命名主机的所有者是负责添加或更改的服务器到林命名空间;如,在林中添加和删除域。同样在林中只能有一个域命名主机角色,默认的域命名主机角色所有者是林里的第一台域控制器。

0x07 RID 主机(RID Master)

每个域中有一个RID主机角色是用来管理RID池。当在域中新建一个对象时,域控制器必须给该对象指派一个唯一的安全标识符(SID),该对象的SID是由域SID和RID组成,但RID不是由域控制器自己产生的,它是由RID主机统一发放的。当域控制器的RID少于50%时,DC会向RID主机申请,获取新的一组RID。(一组RID为500个,RID角色支持域对象的最大数量是1073741823,可通过dcdiag /v查看。);另一作用是跨域访问、迁移域对象时,通过RID Master确认域对象的唯一性。

0x08 PDC 模拟主机(PDC Emulator)

PDC模拟主机用来模拟 Windows NT 的主域控制器,可兼容低版本的域控制器;林根域的PDC是整个森林中权威时间源,可用来同步和时间校对等;可防止组策略的重复套用;活动目录数据库的优先复制权;

0x09 基础架构主机(Infrastructure Master)

基础架构主机主要负责对跨域对象的引用进行更新。基础架构主机角色将其数据与全局编录的数据进行比较,全局编录通过"复制"接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新。

注意:
单域林:基础结构主机可以部署在域中的任意域控制器上,而不管域控制器是否承载了全局编录。
多域林:如果位于多域林中的指定域没有任何域控制器承载全局编录,则基础结构主机必须部署在一个没有承载全局编录的域控制器上。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: