关于活动目录的五个角色以及GC的作用

一、FSMO活动目录的五个角色：

架构主机 FSMO 角色

架构主机 FSMO 角色的拥有者是负责执行目录架构（即，命名上下文或 LDAP://cn=schema,cn=configuration,dc=<domain> 的架构）更新的 DC。该 DC 是唯一能够处理目录架构更新的域控制器。架构更新完成后，该更新将从架构主机复制到目录中所有其他 DC 上。每个目录中只有一台架构主机。

域命名主机 FSMO 角色

域命名主机 FSMO 角色的拥有者是负责对目录的林范围的域名空间（即，分区\配置命名上下文或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>）进行更改的 DC。该 DC 是唯一能够在目录中添加或删除域的域控制器。它也可以添加或删除在外部目录中对域的交叉引用

RID 主机 FSMO 角色

RID 主机 FSMO 角色的拥有者是负责处理来自某一给定域中的所有 DC 的“RID 池”请求的单个 DC。它还负责在对象移动过程中将对象从其域中删除并放在其他域中。

如果 DC 创建诸如用户或组之类的安全主体对象，它会将唯一的安全 ID (SID) 附加到该对象上。此 SID 由域 SID（在一个域中创建的所有 SID 的域 SID 均相同）和相关 ID (RID)（在一个域中创建的每个安全主体 SID，其相关 ID 是唯一的）组成。

为域中的每个 Windows 2000 DC 分配一个 RID 池，以允许将其分配给它所创建的安全主体。如果分配给某个 DC 的 RID 池低于阈值，该 DC 将向域的 RID 主机发布请求以获取更多 RID。域 RID 主机通过从域的未分配 RID 池中检索 RID 来响应请求，并将这些 RID 分配给请求的 DC 的池。目录中的每个域中都有一台 RID 主机。

PDC 模拟器 FSMO 角色

PDC 模拟器对于在企业中同步时间是必需的。Windows 2000 包含 Kerberos 身份验证协议所需的 W32Time（Windows 时间）时间服务。企业中所有基于 Windows 2000 的计算机都使用公共的时间。时间服务的目的是确保 Windows 时间服务使用可以控制授权且不允许循环的层级关系来确保使用合适的公共时间。

域中的 PDC 模拟器是域的权威。林根目录的 PDC 模拟器成为企业的权威，应配置其从外部源中收集时间。所有 PDC FSMO 角色拥有者都遵循域的层级来选择其入站时间伙伴。

在 Windows 2000 域中，PDC 模拟器角色拥有者保留以下功能：

域中其他 DC 执行的密码更改优先复制到 PDC 模拟器中。

如果由于密码错误而在域中给定的 DC 上发生身份验证失败，则在向用户报告密码错误失败信息之前先将该信息传送给 PDC 模拟器。

在 PDC 模拟器上执行帐户锁定。

PDC 模拟器可执行基于 Microsoft Windows NT 4.0 Server 的 PDC 或早期 PDC 为基于 Windows NT 4.0 的客户端或早期客户端执行的所有功能。

PDC 模拟器的这部分角色在所有运行 Windows NT 4.0 或更早版本的工作站、成员服务器和域控制器均升级到 Windows 2000 后变得不必要。PDC 模拟器仍然执行在 Windows 2000 环境中所描述的其他功能。

下面的信息介绍在升级过程中发生的更改：

Windows 2000 客户端（工作站和成员服务器）和安装了分布式服务客户端软件包的下层客户端并不优先在公布自身为 PDC 的 DC 上执行目录写操作（如密码更改），它们可使用域中任何 DC。

下层域中的备份域控制器 (BDC) 升级到 Windows 2000 后，PDC 模拟器不再接收下层的复制请求。

Windows 2000 客户端（工作站和成员服务器）和安装了分布式服务客户端软件包的下层客户端使用 Active Directory 来分配网络资源。它们不请求 Windows NT 浏览器服务。

结构主机 FSMO 角色

如果一个域中的对象被另一个域中的其他对象引用，它表示通过 GUID、SID（针对安全主体的引用），以及被引用对象的 DN 进行引用。结构主机 FSMO 角色的拥有者负责在一个跨域的对象引用中更新对象的 SID 和辨别名的 DC。

注意：结构主机 (IM) 角色应由非全局编录 (GC) 服务器的域控制器担任。如果结构主机在全局编录服务器上运行，它将会停止更新对象信息，原因是它只包含对它所拥有的对象的引用。这是因为全局编录服务器拥有林中每个对象的部分副本。因此，不会更新域中的跨域对象引用，并且将向此 DC 的事件日志中写入该影响的警告。

如果域中的所有域控制器同时也承载全局编录，则所有域控制器均拥有当前数据，此时哪个域控制器担任结构主机角色并不重要。

二、全局编录服务器（GC）

全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本

1：存储对象信息副本，提高搜索性能

全局编录服务器中除了保存本域中所有对象的所有属性外，还保存林中其它域所有对象的部分属性，这样就允许用户通过全局编录信息搜索林中所有域中对象的信息，而不用考虑数据存储的位置。通过GC执行林中搜索时可获得最大的速度并产生最小的网络通信量。

2：存储通用组成员身份信息，帮助用户构建访问令牌

全局组成员身份存储在每个域中，但通用组成员身份只存储在全局编录服务器中。

我们知道，用户在登陆过程中需要由登录的DC构建一个安全的访问令牌，而要构建成功一个安全的访问令牌由三方面信息组成：用户SID，组SID，权力。其中用户SID和用户权力可以由登录DC获得，但对于获取组SID信息时，需要确定该用户属不属于通用组，而通用组信息只保存在GC中。所以当GC故障，负责构建安全访问令牌的DC就无法联系GC来确认该用户组的SID，也就无法构建一个安全的访问令牌。

注：在Win2003中，可以通过通用组缓存功能解决GC不在线无法登录情况，具体操作本文略过。

3：提供用户UPN名称登录身份验证。

当执行身份验证的域控制器没有用户UPN帐号信息时，将由GC解析用户主机名称(UPN)进行身份验证，以完成登录过程

4：验证林中其他域对象的参考

当域控制器的某个对象的属性包含有另一个域某个对象的参考时，将由全局编录服务器来完成验证。

本文来自CSDN博客，转载：http://blog.csdn.net/colnonel/archive/2009/04/27/4128528.aspx