Windows2003域環(huán)境中五大主機角色Windows2003 AD域中，F(xiàn)SMO 有五種角色, 分成兩大類:森林級別(在整個林中只能有一臺DC 擁有訪問主機角色)1：架構(gòu)主機 (Schema Ma

Windows2003域環(huán)境中五大主機角色

Windows2003 AD域中，F(xiàn)SMO 有五種角色, 分成兩大類:

森林級別(在整個林中只能有一臺DC 擁有訪問主機角色)

1：架構(gòu)主機 (Schema Master)

2：域命令主機 (Domain Naming Master)

域級別(在域中只有一臺DC 擁有該角色)

3：PDC 模擬器(PDC Emulator)

4：RID 主機 (RID Master)

5：基礎(chǔ)架構(gòu)主機 (Infrastructure Master)

1：架構(gòu)主機

控制活動目錄整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會從架構(gòu)主機復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機是基于目錄林的，整個目錄林中只有一個架構(gòu)主機。 2：域命令主機

向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象.

3：PDC 模擬器

兼容低級客戶端和服務(wù)器，擔(dān)任NT 系統(tǒng)中PDC 角色

時間同步服務(wù)源，作為本域權(quán)威時間服務(wù)器，為本域中其它DC 以及客戶機提供時間同步服務(wù)，林中根域的PDC 模擬器又為其它域PDC 模擬器提供時間同步!

密碼最終驗證服務(wù)器，當一用戶在本地DC 登錄，而本地DC 驗證本地用戶輸入密碼無效時，本地DC 會查詢PDC 模擬器，詢問密碼是否正確。

首選的組策略存放位置，組策略對象(GPO)由兩部分構(gòu)成：GPT 和GPC ，其中GPC 存放在AD 數(shù)據(jù)庫中，GPT 默認存放PDC 模擬器在windowssysvolsysvol目錄下，然后通過DFS 復(fù)制到本域其它DC 中。name 域主機瀏覽器，提供通過網(wǎng)上鄰居查看域環(huán)境中所有主機的功能

4：主機角色：RID 主機

Win2003環(huán)境中，所有的安全主體都有SID ，SID 由域SID 序列號組合而成，后者稱為“相對ID”(Relative ID,RID),在Win2003環(huán)境中，由于任何DC 都可以創(chuàng)建安全主體，為保證整個域中每個DC 所創(chuàng)建的安全主體對應(yīng)的SID 在整個域范圍唯一性，設(shè)立該主機角色，負責(zé)向其它DC 分配RID 池(默認一次性分配500個) ，所有非RID 主機在創(chuàng)建安全實體時，都從分配給的RID 池中分配RID ，以保證SID 不會發(fā)生沖突! 當非RID 主機中分配的RID 池使用到80時，會繼續(xù)RID 主機，申請分配下一個RID 地址池!

5：基礎(chǔ)架構(gòu)主機

基礎(chǔ)結(jié)構(gòu)主機的作用是負責(zé)對跨域?qū)ο笠眠M行更新，以確保所有域間操作對象的一致性。

基礎(chǔ)架構(gòu)主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC 來說，會保存當前林中所有對象信息。如果基礎(chǔ)架構(gòu)主機與GC 在同一臺機，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC 。

標準圖形界面查看和更改操作主機角色的方法

1：查看和更改架構(gòu)主機角色：

步驟：注冊：regsvr32 schmmgmt 在MMC 中添加AD 架構(gòu)管理單元打開MMC 控制臺，

選中“Active Directory 架構(gòu)”擊“右鍵”，選擇“操作主機”

打開更改架構(gòu)頁面后, 點擊" 更改" 就可以進行架構(gòu)主機角色的更改

2. 查看和更改PDC 模擬器,RID 主機以及基礎(chǔ)結(jié)構(gòu)主機

步驟：開始-運行-dsa.msc-Active Directory用戶和計算機 選定當前域名，右鍵單擊，選擇“操作主機”

在打開的頁面中，通過點擊“更改”按鈕就可以對RID 主機，PDC 模擬器以及基礎(chǔ)結(jié)構(gòu)主機角色進行更改

3. 查看和更改域命名主機角色

步驟：點擊“開始--管理工具-Active Directory域和信任關(guān)系”: 選中“Active Directory域和信任關(guān)系”，右鍵單擊，選擇“操作主機”

在打開的窗口中，點擊“更改”按鈕就可以實現(xiàn)對域命名主機角色進行更改

使用命令行工具查看和更改操作主機角色

以Windows2003 Support Tools工具中的netdom 為例，來查看五大操作主機

從windows2003的系統(tǒng)盤中提取netdom （X ：supporttoolssupport.cab），放在C ：/下 使用Netdom 工具查看操作主機角色 Netdom Query FSMO

2：使用Ntdsutil 工具更改操作主機角色

Ntdsutil 工具的功能非常強大

可以進行AD 數(shù)據(jù)庫維護，查看和更換操作主機角色以及刪除無法通過圖形界面刪除的DC 遺留的元數(shù)據(jù)。通過Ntdsutil

工具不但可以清理無效的DC 信息，也可以使用Transfer 子命令轉(zhuǎn)移操作主機角色，使用Seize 子命令奪取操作主機角色。 ransfer 子命令轉(zhuǎn)移操作主機角色

C:> ntdsutil

Ntdsutil:roles

Fsmo maintenance:connections

Server connections:connect to server dc2.resting.org

Server connections:quit

Server connections:help

Server connections:transfer PDC

在彈出的對話框中，單擊“是”，即可完成PDC 主機的轉(zhuǎn)移。

使用Seize 子命令奪取操作主機角色

DC 掛掉后，在dc2上做占用操作主機，模擬dc2無法ping 通DC （禁用DC 網(wǎng)卡）。以RID 主機為例： 查看和更改PDC 模擬器,RID 主機以及基礎(chǔ)結(jié)構(gòu)主機

步驟：開始-運行-dsa.msc-Active Directory用戶和計算機 選定當前域名，右鍵單擊，選擇“操作主機”

在打開的頁面中，可以看到操作主機不可用，也就是說不能通過點擊“更改”按鈕就來對RID 模擬器主機角色進行更改

C:> ntdsutil

Ntdsutil:roles

Fsmo maintenance:connections

Server connections:connect to server dc2.resting.org

Server connections:quit

Server connections:help

Server connections:Seize RID master

在彈出的對話框中，單擊“是”，即可完成RID 主機的占用。

可以通過開始-運行-dsa.msc-Active Directory用戶和計算機 選定當前域名，右鍵單擊，選擇“操作主機”來進行查看

操作主機角色放置優(yōu)化配置建議

默認情況下，架構(gòu)主機和域命名主機角色是在根域的第一臺DC 上，而PDC 模擬器，RID 主機和基礎(chǔ)結(jié)構(gòu)主機默認放置在當前域的第一臺DC 上。特別是在單域環(huán)境中，按默認安裝，第一臺DC 會同時擁有這五種FSMO 操作主機角色。萬一這臺DC 損壞，會對域環(huán)境造成極大風(fēng)險!

常見的操作主機角色放置建議如下：

1：架構(gòu)主機：擁有架構(gòu)主機角色的DC 不需要高性能，因為在實際環(huán)境中不會經(jīng)常對Schema 進行操作的。

2：域命名主機：對占有域命名主機的DC 也不需要高性能，在實際環(huán)境中也不會經(jīng)常在森林里添加或者刪除域的。 建議：由同一臺DC 承擔(dān)架構(gòu)主機與域域命名主機角色，并由GC 放置在同一臺DC 中。

3：PDC 模擬器：從上述PDC 功能中可以看出，PDC 模擬器是FSMO 五種角色里任務(wù)最重的，必須保持擁有PDC 的DC 有高性能和高可用性。

4：RID 主機：對于占有RID Master的域控制器，沒有必要一定要求高性能，因為給其它DC 分配RID 池的操作不是經(jīng)常性發(fā)生，但要求高可用性，否則在添加用戶時出錯。

5：基礎(chǔ)架構(gòu)主機：對于單域環(huán)境，基礎(chǔ)架構(gòu)主機實際上不起作用，因為基礎(chǔ)架構(gòu)主機主要作用是對跨域?qū)ο笠眠M行更新，對于單域，不存在跨域?qū)ο蟮母??；A(chǔ)架構(gòu)主機對性能和可用性方面的要求較低。

建議：將PDC 模擬器，RID 主機以及基礎(chǔ)結(jié)構(gòu)主機放置在一臺性能較好的DC 中，且盡量不要配置成GC 。