深入理解AD 域環(huán)境中操作主機角色概述在Win2003多主機復(fù)制環(huán)境中，任何域控制器理論上都可以更改ActiveDirectory 中的任何對象。但實際上并非如此，某些AD 功能不允許在多臺DC 上完

深入理解AD 域環(huán)境中操作主機角色

概述

在Win2003多主機復(fù)制環(huán)境中，任何域控制器理論上都可以更改ActiveDirectory 中的任何對象。但實際上并非如此，某些AD 功能不允許在多臺DC 上完成，否則可能會造成AD 數(shù)據(jù)庫一致性錯誤，這些特殊的功能稱為“靈活單一主機操作”，常用FSMO 來表示，擁有這些特殊功能執(zhí)行能力的主機被稱為FSMO 角色主機。在Win2003 AD域中，F(xiàn)SMO 有五種角色, 分成兩大類:

林林級別(在整個林中只能有一臺DC 擁有訪主機角色)

1：架構(gòu)主機 (Schema Master)

2：域命令主機 (Domain Naming Master)

m-`h.N 51CTO 技術(shù)論壇

域級別(在域中只有一臺DC 擁有該角色) P(W)hbV F5s*u

3：PDC 模擬器(PDC Emulator)

4：RID 主機 (RID Master)51CTO 計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水U"Nk;V/a*^P3|

5：基礎(chǔ)架構(gòu)主機 (Infrastructure Master) 本文分別從以下幾個方面深入理解操作主機

● FSMO操作主機角色功能 V/};b'-F51CTO 技術(shù)論壇)L O3y @-EC Pd2R

● 查看和更改操作主機角色的方法

● 操作主機放置優(yōu)化建議

B2s5A l:X'Q 51CTO 技術(shù)論壇#I-k/W j|9B0y"E 51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水&G!R

一：FSMO 角色功能

1：架構(gòu)主機

控制活動目錄整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC 是可以更新目錄架構(gòu)的唯一 DC 。這些架構(gòu)更新會從架構(gòu)主機復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機是基于目錄林的，整個目錄林中只有一個架構(gòu)主機。

2：域命令主機

向目錄林中添加新域。 /S:m2O(BN,F bbs.51cto.c om ]6y? W

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象.

3：PDC 模擬器

●向后兼容低級客戶端和服務(wù)器，擔任NT 系統(tǒng)中PDC 角色

●時間同步服務(wù)源，作為本域權(quán)威時間服務(wù)器，為本域中其它DC 以及客戶機提供時間同步服務(wù)，林中根域的PDC 模擬器又為其它域PDC 模擬器提供時間同步!

P-p-A(Y;MT x

●密碼最終驗證服務(wù)器，當一用戶在本地DC 登錄，而本地DC 驗證本地用戶輸入密碼無效時，本地DC 會查詢PDC 模擬器，詢問密碼是否正確。51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水U s"Y/L

●首選的組策略存放位置，組策略對象(GPO)由兩部分構(gòu)成：GPT 和GPC ，其中GPC 存放在AD 數(shù)據(jù)庫中，GPT 默認存放PDC 模擬器在[url=file://windows/sysvol/sysvol/

6b { ●域主機瀏覽器，提供通過網(wǎng)上鄰居查看域環(huán)境中所有主機的功能

F!x7Y

4：主機角色：RID 主機

Win2003環(huán)境中，所有的安全主體都有SID ，SID 由域SID 序列號組合而成，后者稱為“相對ID”(Relative ID,RID), 在Win2003環(huán)境中，由于任何DC 都可以創(chuàng)建安全主體，為保證整個域中每個DC 所創(chuàng)建的安全主體對應(yīng)的SID 在整個域范圍唯一性，設(shè)立該主機角色，負責向其它DC 分配RID 池(默認一次性分配512個) ，所有非RID 在創(chuàng)建安全實體時，都從分配給的RID 池中分配RID ，以保證SID 不會發(fā)生沖突!

@} m^)]

5：基礎(chǔ)架構(gòu)主機

基礎(chǔ)結(jié)構(gòu)主機的作用是負責對跨域?qū)ο笠眠M行更新，以確保所有域間操作對象的一致性。

基礎(chǔ)架構(gòu)主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC 來說，會保存當前林中所有對象信息。如果基礎(chǔ)架構(gòu)主機與GC 在同一臺機，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC 。

二：標準圖形界面查看和更改操作主機角色的方法

1：查看和更改架構(gòu)主機角色：

步驟：注冊：regsvr32 schmmgmt

在MMC 中添加AD 架構(gòu)管理單元

打開MMC 控制臺，選中“Active Directory 架構(gòu)”擊“右鍵”，選擇“操作主機”。bbs.51cto.c om4B *Q

O T"c

打開更改架構(gòu)頁面后，點擊“更改”按鈕就可以進行架構(gòu)主機角色的更換

2:查看和更改PDC 模擬器,RID 主機以及基礎(chǔ)結(jié)構(gòu)主機

選定當前域名，右鍵單擊，選擇“操作主機”

?'W;A

;@S$Q~o*EM |51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|x,q)f;P!Z l51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水~?#i3s0~ 51CTO 技術(shù)論壇9[(F(Z^M }:s 步驟：開始-設(shè)置-控制面板-管理工具-Active Directory用戶和計算機51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|c

51CTO|計算機網(wǎng)在打開的頁面中，通過點擊“更改”按鈕就可以對RID 主機，PDC 模擬器以及基礎(chǔ)結(jié)構(gòu)主機角色進行更改

絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|ww#U6|$n M U3B

51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水o#^K9L

m ?$R

51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|$M 3：查看和更改域命名主機角色

T#l{0|

Q

51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水S-A [ A6s E']

步驟：點擊“開始-設(shè)置-控制面板-管理工具-Active Directory域和信任關(guān)系”: 選中“Active Directory域和信任關(guān)系”，右鍵單擊，選擇“操作主機”

在打開的窗口中，點擊“更改”按鈕就可以實現(xiàn)對域命名主機角色進行更改

三：利用復(fù)制監(jiān)視器Replmon 查看和檢查操作主機角色

bbs.51cto.com $c0a/X&q6W#? |

bbs.51cto.c om"B `l:V5as;O5M

復(fù)制監(jiān)視器Replication Monitor(ReplMon)是針對Windows Server 的故障查找工具, 不但是定位活動目錄復(fù)制故障強有利的工具，同時也可以使用該工具查看和檢查操作主機角色狀態(tài)。

詳細Replmon 工具使用方法本文不做過多說明，這里只列出如何使用Replmon 工具查看和檢查操作主機角色狀態(tài)。

步驟：選中當前DC ，右鍵單擊，選擇“Properties”

bbs.51cto.c om _!Sv Kl;v a0i ^

在彈出窗口中，選擇“FSMO Roles”分窗口

在彈出窗口中，選擇“FSMO Roles”分窗口

51CTO 技術(shù)論壇1F e:vmL$s在該窗口，列出所有的FSMO 操作主機，同時通過“Query”按鈕，可以檢測出當前DC 與FSMO 操作主機之間通訊是否正常。

V#V3Q(M*m

四：使用命令行工具查看和更改操作主機角色

有多個工具可以實現(xiàn)在命令行下查看操作主機角色，下面只列出幾種常見方法 注意，下面對應(yīng)的工具有些需要安裝Win2003 Support Tools工具 1：使用Netdom 工具查看操作主機角色 Netdom Query FSMO

H)R/LX7M9G3` `h

bbs.51ct o.com!I )XF;P ^D,g

bbs.51ct o.com | V;]ZW @

2：使用Dsquery 工具查看操作主機角色

H(_Y'U Dsquery Server –Hasfsmo Schema //查看架構(gòu)主機

[*n q

51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|(q7JP"Z2k-iF`

bbs.51cto.c om;Z

Dsquery Server –Hasfsmo Name //查看域 主機

h(c:MS'U Dsquery Server –Hasfsmo PDC //查看PDC 模擬器主機

,J0r a9p F)p

Dsquery Server –Hasfsmo RID //查看RID 主機

bbs.51cto.c om0O 0?

` g!KE6p

51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|!k q1UUB Dsquery Server –Hasfsmo Infr //查看基礎(chǔ)結(jié)構(gòu)主機

3：使用Ntdsutil 工具更改操作主機角色

Ntdsutil 工具的功能非常強大，可以進行AD 數(shù)據(jù)庫維護，查看和更換操作主機角色以及刪除無法通過圖形界面刪除的DC 遺留的元數(shù)據(jù)。通過Ntdsutil 工具不但可以清理無效的DC 信息，也可以使用Transfer 子命令轉(zhuǎn)移操作主機角色，使用Seize 子命令奪取操作主機角色。Ntdsutil 具體使用方法請參考KB ：http://support.microsoft.com/kb/255504/ "~U)L a2k G$r,B

五：操作主機角色放置優(yōu)化配置建議51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水|)Lx4[q0bS0P

默認情況下，架構(gòu)主機和域命名主機角色是在根域的第一臺DC 上，而PDC 模擬器，RID 主機和基礎(chǔ)結(jié)構(gòu)主機默認放置在當前域的第一臺DC 上。特別是在單域環(huán)境中，按默認安裝，第一臺DC 會同時擁有這五種FSMO 操作主機角色。萬一這臺DC 損壞，會對域環(huán)境造成極大風險!

常見的操作主機角色放置建議如下：

1：架構(gòu)主機：擁有架構(gòu)主機角色的DC 不需要高性能，因為在實際環(huán)境中不會經(jīng)常對Schema 進行操作的，除非是經(jīng)常會對Schema 進行擴展，不過這種情況非常的少。但要保證可用性，否則在安裝Exchange 等會擴展AD 架構(gòu)的軟件時會出錯。

2：域命名主機：對占有域命名主機的DC 也不需要高性能，在實際環(huán)境中也不會經(jīng)常在森林里添加或者刪除域的。但要保證高可用性是有必要的，以保證在添加刪除當前林中域時可以使用。51CTO|計算機網(wǎng)絡(luò)信息技術(shù)安全路由器網(wǎng)管|Windows|Vista|數(shù)據(jù)庫網(wǎng)站開發(fā)下載灌水^]0d2Ab)f8O

一般建議由同一臺DC 承擔架構(gòu)主機與域域命名主機角色，并由GC 放置在同一臺DC 中。

持擁有PDC 的DC 有高性能和高可用性。

J7s(T )t-M O w B X&Bw 3：PDC 模擬器：從上述PDC 功能中可以看出，PDC 模擬器是FSMO 五種角色里任務(wù)最重的，必須保

4：RID 主機：對于占有RID Master的域控制器，沒有必要一定要求高性能，因為給其它DC 分配RID 池的操作不是經(jīng)常性發(fā)生，但要求高可用性，否則在添加用戶時出錯。

5：基礎(chǔ)架構(gòu)主機：對于單域環(huán)境，基礎(chǔ)架構(gòu)主機實際上不起作用，因為基礎(chǔ)架構(gòu)主機主要作用是對跨

域?qū)ο笠眠M行更新，對于單域，不存在跨域?qū)ο蟮母??；A(chǔ)架構(gòu)主機對性能和可用性方面的要求較低。

bbs.51cto.c om |P6T W z(n} NiT

建議將PDC 模擬器，RID 主機以及基礎(chǔ)結(jié)構(gòu)主機放置在一臺性能較好的DC 中，且盡量不要配置成GC 。