我一直认为 FSMO 角色有 5 个,但有时我看到有人说有 7 个。到底有多少个?
答案1
Windows 管理员对此问题给出的标准答案是五:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
但事实证明,还有另外两个角色通常并不重要,但如果分配给他们的服务器离线,则可能会引起麻烦。
提醒 - 什么是 FSMO 角色?
Active Directory 主要使用多主模型进行目录更新:任何域控制器都可以更新其目录的本地副本,然后这些更改将被复制到所有其他 DC。
但是,有些更新更为关键,这些更新以单主机方式完成:只有一个 DC 能够进行这些更新,并且这些更新会从该 DC 复制到其他 DC。进行这些关键更新之一的能力称为角色,这些角色一次分配给一个 DC(单主机),但将角色移动到其他 DC 相当容易(灵活),因此得名“灵活单主机操作角色”。
上面列出的五个 FSMO 角色是本文中描述了包括简要说明每个 FSMO 角色持有者负责的目录更新类型(例如,架构主机是唯一可以更改 AD 架构的 DC。)
基础设施主管角色
事实证明,即使只有一个域,也有多个基础设施主机角色。在上面提到的 MS 文章,它说:
为每个应用程序分区创建一个单独的基础结构主机,包括由 Windows Server 2003 及更高版本的域控制器创建的默认林范围和域范围的应用程序分区。
我不会解释目录分区和AD 中的应用程序目录分区(这些链接指向一份 TechNet 文档,对它们的解释比我更好),只要知道它们的存在就足够了。
因此,如果您有一个 AD 域,则您将拥有 3 个基础设施主机,总共七个 FSMO 角色。
额外的角色会引起问题吗?
有时...
我找不到明确的答案,但有强有力的间接证据表明,“额外”的 FSMO 角色只能手动移动,例如在 Windows Server 2008 中运行“Adprep /rodcprep”命令时出现错误消息:“Adprep 无法联系分区 DC=DomainDnsZones、DC=Contoso、DC=com 的副本”
出现该错误的最常见原因是,在设置域时,第一个 DC 拥有所有 7 个角色,但两个额外的基础结构主机角色不是通过任何常用工具(DCPROMO 等)移动,因此如果原始 DC 退役,则没有服务器担任这些角色,并且 RODC 准备会失败,因为它需要与它们对话。
我在 Samba 4 中遇到了额外的角色:samba-tool 实用程序可以将 FSMO 角色转移到不同的 DC,而在 4.3 版之前,它会告诉您知道所有角色都已转移,但是当您尝试降级 DC 时,它会抱怨 DC 仍然拥有 2 个 FSMO 角色。 现在已经修复此问题。