AD域FSMO

AD域中的FSMO（Flexible Single Master Operations，灵活单主机操作）角色的由来，源于Active Directory（AD）在设计初期对‌多主复制模型‌（Multi-Master Replication）与‌关键操作唯一性‌之间的权衡。

背景与动因

• ‌多主复制的优势‌：AD采用多主复制机制，允许域控制器（DC）之间相互同步数据，提升可用性和灵活性。
• ‌冲突风险‌：但在某些关键操作（如架构修改、域创建、SID分配等）中，若允许多个DC同时操作，极易引发数据冲突或不一致。
• ‌解决方案‌：微软借鉴了早期Windows NT域模型中‌主域控制器‌（PDC）的单一权威角色，将其扩展为‌五种FSMO角色‌，确保这些关键操作仍由单一权威DC执行，从而避免冲突。

FSMO角色的诞生逻辑

1. ‌兼容性需求‌：为支持旧版Windows NT客户端和服务，需保留类似PDC的权威行为，因此诞生了‌PDC模拟器‌角色。
2. ‌唯一性保障‌：如SID中的RID（相对标识符）必须全局唯一，故设立‌RID主机‌统一分配RID池。
3. ‌架构与域结构变更‌：目录架构和林内域结构的修改必须全局协调，因此设置‌架构主机‌和‌域命名主机‌。
4. ‌跨域引用同步‌：在多域环境中，对象引用（如组包含跨域用户）需保持一致性，由此产生‌基础结构主机‌。

FSMO并非AD原生概念，而是为解决多主复制在特定场景下的缺陷而引入的‌补充机制‌，其本质是“在分布式系统中，对无法安全并行的操作施加单一主控”‌13。

名称由来

• ‌Flexible‌：角色可动态迁移至其他DC，不绑定物理服务器。
• ‌Single Master‌：每个角色在同一时间仅由一个DC持有。
• ‌Operation‌：对应具体管理职能（如架构更新、RID分配等）。

综上，FSMO角色是微软在构建可扩展、高可用的Active Directory时，为兼顾‌分布式灵活性‌与‌关键操作一致性‌而设计的核心机制‌

在 Active Directory（AD）域中，‌SID‌ 和 ‌RID‌ 是用于唯一标识安全主体（如用户、组、计算机）的关键机制。

‌SID（安全标识符，Security Identifier）‌

• ‌定义‌：SID 是 Windows 系统中用于唯一标识安全主体（如用户、组、计算机）的字符串。
• ‌结构‌：SID 由两部分组成：
  • ‌域 SID‌：整个域内所有对象共享，由域控制器在加入域时生成。
  • ‌相对标识符（RID）‌：每个对象在域内唯一的编号，与域 SID 拼接形成完整 SID。
• ‌示例‌：S-1-5-21-3805389047-3781885256-3221930211-1601
  • S-1-5-21-3805389047-3781885256-3221930211 是域 SID；
  • 1601 是该对象的 RID。

SID 是系统内部识别权限和访问控制的核心依据，而非用户名或组名 ‌34。

‌RID（相对标识符，Relative Identifier）‌

• ‌定义‌：RID 是分配给每个安全主体的‌唯一数字‌，与域 SID 组合构成完整 SID。

• ‌分配机制‌：

  • 域中有一个特殊角色称为 ‌RID 主机（RID Master）‌，负责管理 RID 池。
  • 每个域控制器（DC）会从 RID 主机获取一个 RID 池（默认 500 个）。
  • 当 DC 创建新用户、组或计算机时，从本地 RID 池中取出一个 RID 分配给该对象。
  • 当池中 RID 少于一定阈值（如 100 个），DC 会自动向 RID 主机申请新池 ‌28。

• ‌关键点‌：

  • ‌RID 主机是 FSMO 角色之一‌，每个域仅有一个 ‌810。
  • 若 RID 主机故障且无法恢复，将无法创建新安全主体（如大量用户）‌11。
  • 全局 RID 空间在 Windows Server 2012 之前限制为约 10 亿（2³⁰），之后可扩展至约 21 亿（2³¹）‌5。