FSMO五种角色的作用、查找及规划

核心提示： ⑴、处理密码验证要求;在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，FSMO五种角色的作用、查找及规划(3)，但有一些情况是例外的，比如密码的修改，而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，一般

⑴、处理密码验证要求;

在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。

⑵、统一域内的时间;

微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

⑶、向域内的NT4 BDC提供复制数据源;

对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。

⑷、统一修改组策略的模板;

⑸、对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持;

对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象!

建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。

4、RID Master

在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。