解释：Active Directory FSMO 角色如何工作

Active Directory (AD) 是一种提供集中身份验证和授权服务的目录服务。组织将 AD 托管在域控制器 (DC) 上，域控制器以多主机配置在域控制器之间复制信息。灵活的单主操作 (FSMO) 角色可确保所有数据源中的数据一致且可靠。

FSMO 角色可帮助 AD 复制顺利运行，并确保许多其他关键服务按预期运行。在本文中，您将了解 FSMO 角色是什么、它们如何影响 AD 以及如何在 AD 林中安全地操纵它们。

读完本文后，您将更好地了解 FSMO 角色以及如何管理它们以实现健康的 AD 环境。

FSMO 角色是什么？

FSMO 角色是在 AD 林中的 DC 上独立托管的服务。每个角色都有特定的用途，例如保持跨设备时间同步、管理安全标识符 (SID) 等。

FSMO 角色的范围在林或域级别，并且对于该范围是唯一的，如下所示。例如，具有两个域的林将在每个域中拥有一个 DC（总共两个）托管 RID 主机角色，而只有一个 DC 托管架构主机角色。

范围

森林

森林

领域

领域

领域

DC 可以同时担任多个角色。

模式大师

AD 的一个关键组件是数据库。与所有其他数据库一样，该数据库具有一个模式，该模式通过各种分区或命名上下文来规定其结构。 AD 架构是一个数据库分区，包含有关 AD 对象的元数据。例如，它包含 person、group 或 msPKI-Key-RecoveryAgent 等类以及 电话号码 等属性、badPwdCount 或 dNS-HostName。

AD 架构是 Active Directory 数据库中最“脆弱”的分区。

AD 需要一个服务来管理架构，因此需要架构主机角色。架构主机角色的职责是控制 AD 架构的更改。如果您曾经扩展了 AD 架构来安装 Exchange 等产品或提升了林功能级别，那么您就已经使用了架构主机角色。

您应该仅在严格条件下在单个 DC 上通过架构主机角色对 AD 架构执行任何更改。您不想在两个 DC 上进行更改并等待复制来查看哪个更改通过复制“获胜”。

域名命名大师

AD 数据库在林和域范围内包含多个分区。 AD 偶尔会对这些分区进行更改，并且需要一个服务来执行此操作，因此需要域命名主机 FSMO 角色。

当您对林域空间进行更改（向林添加分区）时，域命名主机会将这些更改写入 Configuration\Partitions 中。例如，当域控制器升级或降级时，会发生此活动。

主域控制器仿真器 (PDCe)

可以说，AD 中最重要的 FSMO 角色是 PDCe。 PDCe 角色负责密码更改同步、帐户锁定（和解锁）、时间同步等任务。

早在 Active Directory (Windows NT) 的早期，主域控制器 (PDC) 是 AD 域中唯一可写的 DC。所有其他 DC 都是仅用于身份验证请求的备份域控制器 (BDC)

从 Windows 2000 开始，除了 Windows Server 2008 中引入的只读域控制器 (RODC) 之外，所有 DC 都变得可写。因为 AD 仍然需要 PDC 的功能，但技术上不具备 PDC 的功能。 PDC 不再存在，Microsoft 引入了 PDC 仿真器 (PDCe) 角色。

重定向旧应用程序

PDCe 角色最基本的功能之一是可用于遗留应用程序，通知它们托管的 DC 是 AD 可以写入更改的位置。例如，如果您不幸仍在使用 Windows NT 服务，并且该服务不知道将更改写入 AD 数据库的位置，它将联系 PDCe 寻求帮助。

时间同步

对于加入域的所有设备来说保持一致的时间非常重要。 Kerberos 身份验证（默认身份验证模式）要求客户端和 DC 之间或 DC 复制伙伴之间的最大间隔为五分钟。

PDCe 角色是 AD 林中所有其他计算机的中央时间源。

1. 所有客户端计算机从它们登录的 DC 同步时间。
2. 所有 DC 从其域内的 PDCe 同步时间。
3. 在多域 AD 林中，托管 PDCe 角色的 DC 从父域中的 PDCe 同步其时间。
4. 然后，根域中的 PDCe 角色使用可靠的外部时间源进行同步。

管理密码更改

当 AD 发生更改时，该更改不会立即复制到所有 DC；相反，它遵循 AD 复制计划。然而，密码更改的复制方式略有不同。密码更改始终首先从原始 DC 复制到担任 PDCe 角色的 DC，然后再复制到拓扑中的其他 DC。

例如，如果 DC 当前没有最新密码并且用户尝试使用旧密码进行身份验证，则进行身份验证的 DC 在拒绝身份验证之前首先联系持有 PDCe 角色的 DC 以检查更新的密码。

当您发现已更改密码的用户在连接到尚未复制新密码的其他 DC 时出现问题时，您会立即注意到 PDCe 出现问题。

处理帐户锁定

PDCe 角色还处理帐户锁定。与密码更改相反，帐户锁定不遵循常规复制间隔。帐户锁定会通过称为“复制单个对象”的机制立即复制到其他 DC。这是一项安全措施，可确保锁定的帐户无法登录到另一个尚未复制的 DC。

组策略管理控制台 (GPMC) 的默认目标

组策略的管理是通过组策略管理控制台 (GPMC) 工具完成的。要对 AD 进行更改，GPMC 需要连接到 DC。默认情况下，GPMC 将始终连接到具有 PDCe 角色的 DC，即使它位于不同的 AD 站点中也是如此。如果 PDCe 不可访问，您将收到一条警告，指出 PDCe 角色不可访问，并且 GPMC 将提示您选择其他 DC。

相关：什么是组策略及其工作原理（详细）

提供分布式文件系统 (DFS) 命名空间信息

为了完善 PDCe FSMO 角色的功能，PDCe 角色提供 DFS 命名空间信息。 DFS 根服务器会定期向拥有权威 DFS 信息的 PDCe 请求更新的 DFS 命名空间信息。

虽然通常不会对 PDCe FSMO 角色造成过多负载，但您可以在具有大量 DFS 服务器的环境中更改默认的 DFS 命名空间查找行为。

摆脱大师

AD 域中的每个对象都必须有一个唯一的 ID，以区别于所有其他类似对象。 AD 始终为每个新对象分配一个唯一的 ID（称为安全标识符或 SID），这一点至关重要。

每个 SID 由几个组件组成：S（对于 SID）、修订编号、I - 标识符权限-、域 ID 和相对 ID。域 ID 对于林中的每个域都是唯一的。相对 ID 对于域中的每个对象都是唯一的。 SID 如下所示，其中 DomainId 表示域 ID，RelativeId 表示相对 ID。

S-Revision-I-DomainId-Rid

Example: S-1-5-12-7273811915-2261004348-033256673-515
The string identifies this value as a SID. The string starts with an "S";
And has a revision level of 1;
An identifier authority value of 5 (NT Domain);
The domain identifier is a four-part value, 
The RID has a value of 515. The value of the RID is fixed and will never be generated; it's hard-coded and won't be repeated. (In this example, this is the well-known SID for the Domain Computers security group).

相对 ID (RID) 主角色可确保分配给每个 AD 对象的 SID 是唯一的。

一些 RID 是为特殊帐户和知名组保留的。

域中的第一个 DC 自动成为 RID 主机，以控制 RID 的发布。

担任 RID Master 角色的 DC 主要在三种不同的事件中发挥作用：

DC 升级/降级

每次升级新 DC 时，RID 主设备都会为其分配一个包含 500 个 RID 的块。当在该 DC 上创建需要 SID 的新帐户时，会分配这些 RID（以增量顺序）。

例如，如果分配的最后一个 RIDS 块从 5501 到 ...6000，则下一个需要块的 DC（新升级的 DC 或已升级的 DC）耗尽当前区块）将收到 …6001 到 …6500 等等。

当 DC 从 AD 数据库中删除时，RID Master 会看到这一点，并确保不分配 DC 拥有的任何 RID，作为防止重复 SID 的安全措施。

摆脱疲惫

当 DC 达到 50% RID 容量时，它将转到 RID Master 并请求新的 RID 块。如果 RID Master 离线，DC 会以 50% 请求新的 RID，这为其提供了充足的缓冲时间，以确保其 RID 分配不会耗尽。

RID 主机角色夺取

管理员可以通过 FSMO 角色夺取或转移将角色从一个 DC 移动到另一个 DC。当管理员将 RID 主角色从一个 DC 移动到另一个 DC 时，其下一个可用的 RID # 会增加 10000。

相关：如何转移 FSMO 角色（GUI 和 PowerShell）

将下一个可用的 RID 增加 10000 是一种安全机制，旨在避免重复的 SID。例如，如果管理员夺取了 RID 主控角色，并且旧的 RID 主控重新上线，则它可能会开始与新的 RID 主控一起发布重复的 SID。

基础设施大师

每个 AD 对象都有一个由 RID Master FSMO 角色分配的 SID。当您查看用户、组和其他 AD 信息时，我们人类希望看到的是名称而不是 SID；这就是基础设施管理员角色的用武之地。

默认情况下，每个 DC 都配置为全局编录 (GC)。 GC 托管来自林中所有域的信息。减少站点之间复制流量的一种方法是将某些 DC 配置为不作为 GC。

如果您通过了不是 GC 的 DC 的身份验证，则基础结构主机负责将其他域中的 SID 转换为人类友好的名称。

例如，在加入域的计算机上，检查 Windows 资源管理器中某个文件夹的“安全”或“共享”选项卡，并为另一个域中的帐户设置权限。您将看到用户、计算机和组的名称；不是他们的 SID。如果您的计算机在域中找不到基础架构主机角色，则只能找到其他域中帐户的 SID。

如果启用 Active Directory 回收站，所有 DC 在技术上的行为就像它们拥有基础结构主机角色一样。 AD 回收站让微软所说的基础设施主机角色变得不重要。

相关：如何使用 Active Directory 回收站保存培根

结论

AD FSMO 角色是确保 AD 继续按设计运行的关键组件。尽管大多数时候，您不需要关心 FSMO 角色，但到时候了解它们的运作方式仍然很重要！