假设我有 2 个 DC,其中一个恰好承担所有 FSMO 角色,但它发生故障。
如果我错了,请纠正我,但据我了解:
No Schema Master = no updating user details, no creating new users\computers\groups\group policies.
No RIF Master = no applying altering or adding new permissions to files\users\groups.
No Domain Naming Master = no adding new domains to the forest.
No PDC Emulator = no time synchronization, no password change or reset, no account lockout.
No Infrastructure Master = no cross-referencing objects between domains but only where you have a non-global catalog DC. Also no deletion of objects takes place.
另外,我们假设包含所有 FSMO 角色的 DC 暂停 1 小时后又恢复在线。我想在此期间执行的更改将被覆盖?
答案1
你确实需要阅读文档。它告诉你如何处理事情,并能解决很多困惑。
IE:
没有架构管理员 - 你错了。架构管理员负责架构。更新用户详细信息不会更改架构。架构更新是(即向用户对象添加字段)。
没有 RIF 主控(是 RID,不是 RIF)- 您可以根据需要添加权限,因为这不会创建 RID。RID 主控负责分发 RID。例如,当创建用户(新对象)时。但重点是 - DC 的所有缓存未使用的 RID。因此,除非您在此期间尝试在另一个 DC 上创建数千个用户,否则 RID 主控停机一小时通常不成问题。
没有 PDC 仿真器:时间同步不确定(因为这是通过 PDC 仿真器完成的),但为什么要更改或重置 PW?您的 Windows 机器太旧了,以至于它们使用旧的 PDC 概念/API?因为否则就没有理由这样做。我发现信息并非一定是最新的技术信息,因此有点复杂。
清单还在继续。你似乎在设置限制,因为你似乎不知道这些角色到底起什么作用。
无论如何,您要寻找的确切文档就在这里:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/fsmo-roles
通常假设角色不需要一直处于运行状态 - 在许多情况下,系统会在限制下运行(即,当架构主机离线时,不需要架构更新的更新,但您可以更新对象,因为这不是架构更新)。