技术文章

1：概述

Active Directory 域服务 (AD DS) 的逻辑结构訊她主要可分为Active Directory林、Active Directo如章ry域；通過(guò)林树和域树之间的组合可以满足各種(zh器了ǒng)规模的企业的各種(zhǒng)需求；但是无论怎麼(m城答e)進(jìn)行设置都(dōu)必须要考虑到(dào)以下5个FS訊光MO操作主机角色的放置问题。FSMO是Flexible sin吧匠gle master operation的缩写，意思就(jiù)是灵道海活单主机操作。营运主机（Operation Masters，又称为Fle司呢xible Single Master Operation，即FSM公現O）是被(bèi)设置为担任提供特定角色信息的网域控制站，在也讀活动目录中有五種(zhǒng)FSMO角色，并且分为兩(liǎ女務ng)大类：

林级别(在整个林中只能(néng)有一台DC拥有访主机角色)

• 架构主机 (Schema Master)

• 域命令主机 (Domain Naming Master)

域级别(在域中只有一台DC拥有该角色)

• PDC模拟器(PDC Emulator)

• RID主机 (RID Master)

• 基础架构主机 (Infrastructure Master)

2：FSMO角色功能(néng)

2.1：架构主机

控制活动目录整个林中所有對(duì)象和属性的定义，具有架构行算主机角色的DC是可以更新目录架构的唯一 DC。這(zhè)些架构更些開新會(huì)从架构主机复制到(dào)目录林中的所有其它域控制器中。 視路架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.2：域命令主机

• 向(xiàng)目录林中添加新域。

• 从目录林中删除现有的域。

• 添加或删除描述外部目录的交叉引用對(duì)象.

2.3：PDC模拟器

• 向(xiàng)後(hòu)兼容低级客户端和服务器，担任NT系统開動中PDC角色

• 時(shí)间同步服务源，作为本域权威時(shí)间服务器，为本和東域中其它DC以及客户机提供時(shí)间同步服务，林中根域的PDC模家湖拟器又为其它域PDC模拟器提供時(shí)间同步!

• 密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码黃票无效時(shí)，本地DC會(huì)查询PDC模拟器，询问密码是否正确。綠志

• 首选的组策略存放位置，组策略對(duì)象(GPO)由兩(liǎ就通ng)部分构成(chéng)：GPT和GPC，其中GPC存放在AD要商数据库中，GPT默认存放PDC模拟器的[url=file:/如嗎/windows/sysvol/sysvol/%3Cdomain]\開到windowssysvolsysvol目录下，然後(hòu)通過(g高數uò)DFS复制到(dào)本域其它DC中。

• 域主机浏览器，提供通過(guò)网上邻居查看域环境中所有主机的功能(né問為ng)

2.4：主机角色：RID主机

    Win2003环境中，所有問信的安全主体都(dōu)有SID，SID由域SID+序列号组合而成(ché就件ng)，後(hòu)者称为“相對(duì)ID”(Relati多但ve ID,RID),在Win2003环境中，由于任何DC都(dōu)可以创建公自安全主体，为保证整个域中每个DC所创建的安全主体對(duì)应的SID在湖新整个域范围唯一性，设立该主机角色，负责向(xiàng)其它DC分配RI門也D池(默认一次性分配512个)，所有非RID在创建安全实体時(s房開hí)，都(dōu)从分配给的RID池中分配RID，以保证SID不會(hu我務ì)發(fā)生冲突!

2.5：基础架构主机

基础结构主机的作用是负责對(duì)跨域對(duì)象引用進(jìn)行更新，技見以确保所有域间操作對(duì)象的一致性。基础架构主机工作机笑們制是定期會(huì)對(duì)沒(méi)有保存在本机的引用對(d習自uì)象信息，而對(duì)于GC来說(shuō)，會(huì)保又可存当前林中所有對(duì)象信息。如果基础架构主机与GC在同一台机，基紅懂础架构主机就(jiù)不會(huì)更新到(dào)任何對(duì)象舊冷。所以在多域情况下，强烈建议不要將(jiāng)基础架构主机设为GC。

將(jiāng)承载這(zhè)些操作主机角色的域控制器放置在具有高网络可靠高在性的区域，并确保 PDC 模拟器和 RID 主机始终可用。

3：如何查询或迁移操作主机角色

3.1：如何查询操作主机所在服务器

默认情况下這(zhè)五種(zhǒng)操作主机角色會(huì子我)部署在环境中的林域中，也就(jiù)是部署的第一台域控制器。能做因为其是林域，所以林和域的操作主机角色會(huì)放置在這(zhè)裡(lǐ)又拍。我们也可以通過(guò)以下办法来查询环境中的实际操作主机放置的位置。

在域控制器的命令行控制台中通過(guò)命令netdom query訊動 fsmo来查询，可以看到(dào)這(zhè)五種(zhǒng)操作主机為媽角色全部在第一台域控制器中

也可以通過(guò)使用Dsquery工具单独查看操作主机角色

Dsquery Server –Hasfsmo Schema //查看架构年大主机

Dsquery Server –Hasfsmo Name //查看域 筆著主机

Dsquery Server –Hasfsmo PDC //查看PDC模上畫拟器主机

Dsquery Server –Hasfsmo RID //查看RID主机

Dsquery Server –Hasfsmo Infr //查看基础有從结构主机

3.2：迁移域级别操作主机角色

對(duì)于域级别的FSMO角色，也就(jiù)是RID、PD鐘媽C、基础架构這(zhè)三个角色的迁移直接通過(guò)“Acti訊民ve Drictory用户和计算机”管理控制台就(jiù)可白時以進(jìn)行查询以及迁移；

打開(kāi)控制台後(hòu)，选中域并右键选择“操作主机”

在這(zhè)裡(lǐ)就(jiù)可以看到(dào)域级别的三種(zhǒn老術g)FSMO角色，并且看到(dào)其当前所在的主机；

但是默认情况下点击更改，會(huì)出现以下提示；這(zhè)是因事又为当前的FSMO角色和迁移的目的主机是同一台，所以无法迁移。

为了完成(chéng)迁移必须要先连接到(dào)目的域控制器，在该民通管理控制台中右键选择“更改域控制器”

將(jiāng)目录服务器更改为要迁移的目的服务器，在本实例就(j數輛iù)是实验从DC01迁移到(dào)DC02，所以這(zhè)裡照到(lǐ)要选择DC02

接下来返回操作主机选项卡可以看到(dào)操作主机和下方的目船舊的服务器不一致，点击更改

点击更改，在弹出的提示中点击“是”；就(jiù)可以执行迁移操作

接下来就(jiù)可以看到(dào)操作成(chéng)功的提示，并雪熱且可以看到(dào)操作主机已經(jīng)迁移到(dào)DC0山亮2

對(duì)于其他的PDC、基础架构主机执行同樣(yàng)的操作即可將靜數(jiāng)其迁移到(dào)其他主机上。

通過(guò)netdom query fsmo命令查询也可以确认角色已經生章(jīng)迁移到(dào)DC02

3.3：迁移林级别操作主机

對(duì)于林级别的操作主机角色架构主机 (Schema 會快Master)、域命令主机 (Domain Naming Master)角色迁車得移则通過(guò)以下方法進(jìn)行操作。

域命名主机的迁移需要通過(guò)“Active Direc快影tory域和信任关系”管理工具進(jìn)行，首先還(hái月如)是要將(jiāng)当前连接的域控制器更改为要迁移的目的服务器

本示例也就(jiù)是DC02

接下来选择“操作主机”

在弹出的操作主机中，点击更改

确定迁移，点击是

提示操作成(chéng)功即成(chéng)功將(jiāng)域命名主机迁移相城到(dào)其他域控制器中

域架构主机角色的迁移和其他四種(zhǒng)角色的操作方法有所不同，在對(d村白uì)域架构主机進(jìn)行迁移前首先在迁移前需要在域控制器上注册sc木子hmmgmt.dll，在CMD中输入命令regsvr32 schmmg光資mt.dll，回车後(hòu)提示注册成(chéng)功

接下来通過(guò)MMC管理控制台来添加管理单元

將(jiāng)“Active Directory架构”管理单元添加進(j知物ìn)来

接下来在Active Directory架构中点击“操作主机”

在這(zhè)裡(lǐ)就(jiù)可以看到(dào)当前的架构主亮報机在哪台服务器上运行

同樣(yàng)如果源和目的服务器处于同一台主机上，无法進(jìn)行迁土亮移；同樣(yàng)需要將(jiāng)当前连接的域控制器选择为目的相聽域控制器，在该控制台右键选择“更改Active Dirctory域控冷兵制器”

本示例要迁移到(dào)DC02，故此选择DC02

其會(huì)弹以下提示，点击确定即可

返回到(dào)更改操作主机页面(miàn)，点击更改

就(jiù)可以將(jiāng)架构主机迁移到(dào)DC02電機

通過(guò)命令行查询，可以發(fā)现五種(zhǒng)外少角色均迁移到(dào)DC02

4：操作主机规划建议

4.1：操作主机故障影响

操作主机在Active Directory环境中，肩负著(z作見he)重要的作用，如果操作主机出现问题，將(jiāng)會(huì)出现他看以下问题：

• 当架构主机不可用時(shí)，不能(néng)對(duì)架金算构進(jìn)行更改。在大多数网络环境中，對(duì)架构更改的離又频率很低，并且应提前進(jìn)行规划，以便使架构主机的故障不至于产生事嗎任何直接的问题。

• 当域命名主机不可用時(shí)，不能(néng)通過(guò)运媽唱行DCPROMO向(xiàng)Active Directory中添加域，家高同時(shí)也不能(néng)从目录林中删除域，如果在域命名媽讀主机不可用時(shí)试图通過(guò)运行DCPROMO来删除域書工，那麼(me)就(jiù)會(huì)收到(dào)一条&qu信飛ot;RPC 服务器不可用"的消息。

• 当RID主机不可用時(shí)，所遇到(dào)的主要问题是不能(néng)謝路向(xiàng)域中添加任何新的安全對(duì)象，例如用户、组和计算机；冷北如果试图添加，则會(huì)出现如下的错误消息："Windows 上從不能(néng)创建對(duì)象，因为：目录服务已經(jīng)用完了得志相對(duì)标识号池"。

• 当PDC主机不可用時(shí)，在本机模式环境中用户登录失败的算數可能(néng)性增大。如果重新设置用户密码，例如用户忘记密码，然後風雪(hòu)管理员在一台DC（不是验证DC）上重新设置密码，那麼(me)该冷志用户就(jiù)必须等到(dào)密码复制到(dào)验证DC之後(線們hòu)才能(néng)登录。试图编辑组策略對(duì)象時你文(shí)出错。

• 当基础架构主机不可用時(shí)，结构主机故障對(duì)环境的綠醫影响是有限的。最终用户并不能(néng)感觉到(dào)它的影响，只和我對(duì)管理员执行大量组操作产生影响。這(zhè)些组操作通常風光是添加用户和/或重新命名用户。在此情况下，结构主机故障只是會(huì)延迟通我機過(guò)Active Directory管理单元引用這(zhè)些低北更改的時(shí)间。

4.2：操作主机角色放置优化配置建议

默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，河著RID主机和基础结构主机默认放置在当前域的第一台DC上。特别司討是在单域环境中，按默认安装，第一台DC會(huì)同時(sh笑文í)拥有這(zhè)五種(zhǒng)FSMO操作主机角色。万一這(zhè)光術台DC损坏，會(huì)對(duì)域环境造成(chéng)极大木明风险!

常见的操作主机角色放置建议如下：

1. 架构主机：拥有架构主机角色的DC不需要高性能(néng)，因为在实厭還际环境中不會(huì)經(jīng)常對(duì)Schema進(jìn從店)行操作的，除非是經(jīng)常會(huì)對(duì)Schema進(jì妹黃n)行扩展，不過(guò)這(zhè)種(zhǒng)情况非常的少。但要保证可村吃用性，否则在安装Exchange等會(huì)扩展AD架构的雪票软件時(shí)會(huì)出错。

2. 域命名主机：對(duì)占有域命名主机的DC也不需要高性能(n相很éng)，在实际环境中也不會(huì)經(jīng)常在森林裡(對唱lǐ)添加或者删除域的。但要保证高可用性是有必要的，以保证在添加銀下删除当前林中域時(shí)可以使用。 一般建议由同一台DC承担架构主請快机与域域命名主机角色，并由GC放置在同一台DC中。

3. PDC模拟器：从上述PDC功能(néng)中可以看出，PDC模拟上河器是FSMO五種(zhǒng)角色裡(lǐ)任务最重的，必须子下保持拥有PDC的DC有高性能(néng)和高可用性。

4. RID主机：對(duì)于占有RID Master的域控呢廠制器，沒(méi)有必要一定要求高性能(néng)，因为给其它DC分配RID用男池的操作不是經(jīng)常性發(fā)生，但要求高可用性，否则在添加用身員户時(shí)出错。

5. 基础架构主机：對(duì)于单域环境，基础架构主机实际上不姐睡起(qǐ)作用，因为基础架构主机主要作用是對(duì)跨域對都體(duì)象引用進(jìn)行更新，對(duì)于单域，不存在跨域對(du山黃ì)象的更新。基础架构主机對(duì)性能(néng)和可用性方面(mià但舊n)的要求较低。

6.

建议將(jiāng)PDC模拟器，RID主机以及基础结构主机放置在一樹這台性能(néng)较好(hǎo)的DC中，且尽量不要配置成(c慢新héng)GC。