AD FSMO 五种角色主机的作用与操作手册

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

Windows 2003 server 域控制器坏掉后(FSMO强占)--实践文章导读：FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO只有在DC上才有，但不是每个DC都有，下面先简单解释下这5种角色存在的位置和作用：Schema master (架构主机）Domain naming master (域命名主机）PDC Emulator (PDC 仿真器）RID Master （RID主机）Infrastructure Master (基础结构主机）第1和第2个角色在林中只出现一次，也既是说在整个森林只有一台DC是具有这个角色（森林级别的角色）后面3个角色在域中只出现一次，也既是说在整在域中只有一台DC是具有这种角色（域级别的角色）这5种角色可以在一台DC上全部出现，也可以分布其他的DC上，来减轻DC的负荷，使整个域运行的更高效。

当你在建立第一个域的时候是一个全新的森林全新的域，那么这5种角色会在你的第一台DC上，当你建立域辅助主控也就是说额外控制器时，这台额外在默认情况下是不会具有任何一种角色，除非你手动把部分角色转移或强占到这台额外DC上，因为在同一个域，这些角色只能出现一次，当你转移后或强占后，那么原来的那台DC就没有了那个角色，当然就不能担当这个角色所起所有功能和作用。

所以，当某一台拥有某些角色的DC宕机之后，这个域会出现很多问题，特别是PDC主控坏掉起不来的时候，那么整个域的身份验证将变的不可用，如果Schema master不可用，那么在安装exchange服务器的时候将不能进行森林和域的拓展，等等，总之这5个角色是非常重要，除了 infrastructure master 这个角色是这5个中最无关紧要的角色，当只有一个域或森林而且所有的DC都是GC的时候，这个角色根本就没用，当然我们最好是使它为可用，来保证我们的域的完整行。

AD林中五种唯一的 FSMO 角色类型AD林中五种唯一的 FSMO 角色类型以下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型，以及这些角色执行的相关操作：• 架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

• 域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

• RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。

此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

• PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

• 结构主机 (Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

Active Directory 安装向导 (Dcpromo.exe)将这五种 FSMO 角色全部分配给林根域中的第一台域控制器。

每个新子域或树域中的第一台域控制器将获得三个域范围的角色。

在使用以下某种方法重新分配 FSMO 角色之前，域控制器将一直担任 FSMO 角色：• 管理员使用 GUI 管理工具重新分配角色。

• 管理员使用 ntdsutil /roles 命令重新分配角色。

AD五大角色转移及GC移转说明AD五大角色轉移及GC移轉說明在樹系中，至少會有五個FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站(PDC)。

例如，如果網域中包含不是執行Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD 域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC 模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT 和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。