AD中FSMO五大角色的介绍及操作解析

1、AD 中 FSMO 五大角色的介绍及操作（转移与抓取）FSMO 是 Flexible single master operation的缩写，意思就是灵活单主机操作。营运主机（Operation Masters ，又称为 Flexible Single Master Operation ，即 FSMO ）是被设置 为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网络，整个域森林中，存在 5 种重要的 FSMO 角色而且这些角色都 是唯一的。五大角色：1、 森林级别（一个森林只存在一台 DC 有这个角色）:、Schema Master（ 也叫

2、Schema Own er）:架构主控（2）、Domain Naming Master: 域命名主控2、 域级别（一个域里面只存一台 DC 有这个角色）:（1）、PDC Emulator :PDC 仿真器（2）、RID Master :RID 主控（3）、Infrastructure Master : 结构主控对于查询 FSMO 主机的方式有很多，本人一般在命令行下，用 netdom query fsmo 命令查 询.要注意的是本命令需要安装windows 的 Support Tools.五种角色主控有什么作用？1、 Schema Master（架构主控）作用是修改活动目录的源数据。我们知道在

3、活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是 Schema Master，如果大家部署过 Exchange 的话，就会知道 Schema 是可以被扩展的，但需要大家注意的是，扩展Schema 一定是在 Schema Master 进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema 上然后再在 Schema Master 上进行扩展的，要扩展 Schema 就必须具有 Schema Admin

4、s 组 的权限才可以。建议:在占有 Schema Master 的域控制器上不需要高性能，因为我们不是经常对Schema 进行操作的，除非是经常会对Schema 进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchange 或 LCS 之类的软件时会出错。2、 Domai n Nami ng Master（域命名主控）这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和 Domain Nami ng Master进行联系，如果 Domain Naming Master 处于 Down 机状态的

5、话，你的添加和删除操作那 上肯定会失败的。建议:对占有 Domain Naming Master 的域控制器同样不需要高性能，我想没有一个网 络管理员会经常在森林里添加或者删除域吧？当然高可用性是有必要的，否则就没有办法添 加删除森里的域了。3、 PDC Emulator （ PDC 仿真器）在前面已经提过了， Windows 2000 域开始，不再区分 PDC 还是 BDC，但实际上有些 操作则必须要由 PDC 来完成，那么这些操作在 Windows 2000 域里面怎么办呢？那就由 PDC Emulator 来完成，主要是以下操作：、处理密码验证要求；在默认情况下，Windows 2000

6、 域里的所有 DC 会每 5 分钟复制一次，但有一些情况是 例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator ，然后由 PDC Emulator 触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复 制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。、统一域内的时间；微软活动目录是用 Kerberos 协议来进行身份认证的，在默认情况下，验证方与被验证 方之间的时间差不能超过5 分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PD

7、C Emulator 来完成的。、向域内的 NT4 BDC 提供复制数据源；对于一些新建的网络，不大会存在Windows 2000 域里包含 NT4 的 BDC 的现象，但是对于一些从 NT4 升级而来的 Windows 2000 域却很可能存有这种情况， 这种情况下要向 NT4 BDC 复制，就需要 PDC Emulator。、统一修改组策略的模板；、对 Windows 2000 以前的操作系统，如 WIN98 之类的计算机提供支持；对于 Windows 2000 之前的操作系统，它们会认为自己加入的是NT4 域，所以当这些机器加入到 Windows 2000 域时，它们会尝试联系 PDC，

8、而实际上 PDC 已经不存在了，所 以 PDCEmulator 就会成为它们的联系对象！建议:从上面的介绍里大家应该看出来了，PDC Emulator 是 FSMO 五种角色里任务最重的，所以对于占用 PDC Emulator 的域控制器要保证高性能和高可用性。4、 RID Master （ RID 主控）在 Windows 2000 的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID 一样的时候，尽管他们的用户名可能不一样，但Windows 的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内

9、的用户安全SID=Domain SID+RID ，那么如何避免这种情况？这就需要用到 RID Master，RID Master 的作用是：分配可用 RID 池给域内的 DC 和防止安全主体的 SID 重复。建议:对于占有 RID Master 的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定 了，当然高可用性是必不可少的，否则就没有办法添加用户了。5、 In frastructure Master（结构主控）FSMO 的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目

10、录中很有可能有一些用户从一个么用户的 DN 名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由OU 转移到另外一个 OU，那In frastructure Master 来完成的。建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC（全局编录）的情况下，In frastructure Master 根本不起作用，所以一般情况下对于占有In frastructure Master的域控制器往忽略性能和可能性。在 FSMO 的规划时，请大家按以下原则进行：1、 占有 Domain Naming Master角色的域控制器必须同时也是GC;2、 不能把 Infr

11、astructure Master 和 GC 放在同一台 DC 上;3、建议将 Schema Master和 Domain Naming Master放在森林根域的 GC 服务器上；4、建议将 Schema Master和 Domain Naming Master放在同一台域控制器上；5、 建议将 PDC Emulator、RID Master 及 Infrastructure Master 放在同一台性能较好 的域控制器上；6、尽量不要把 PDC Emulator、RID Master 及 Infrastructure Master 放置在 GC 服务 器上；对 FSMO 角色的操作，即更改

12、角色的操作主机（传送或抓取，抓取也叫占用）我们在安装完第一台主 DC 后，一定会再安装第二台 DC 做为额外 DC,以保持其域的 安全可靠。从额外 DC 角色转换为主 DC 角色可以有二种方法一一通用 FSMO 的传送或抓 取来实现。1、 传送：当主 DC 工作正常，但出于某些原因要将其上的FSMO 角色主机传到其它额外DC 上时可以使用传送”方式。2、 抓取：当主 DC 工作出现严重故障， AD 工作不正常时，如：操作系统故障且AD 无法修复，亦或是硬件问题不能开机等原因，这时我们可以用抓取”方式。一、传送（使用图形化界面操作）1、除 Schema Master（ 也叫 Schema Own

13、er）: 架构主控 夕卜，其它四个角色主控都可 以通过下面这个方式进行操作：1）打开服务器管理器，找到角色- Active Directory域服务，然后右建点击ActiveDirectory 用户和计算机在所有任务中，先选择更改域控制器（此步骤是让此 DC 计算机直接连接到另一台 额外 DC计算机上的主控）負愿劳器管理器文件（F）操作4）查看帮助002）选择要传送的 DC （联机的即为当前是主控角色）気囲劳器管理器0C2）曰畐角色-二:曲讼Dirsctory域朋务B _ _acom*测曲讼Dirsctory点和服务 田屎服务器a交件服务_功能诊断SSSActive Directory用户和计

14、算机UC2.Active Directory用户和计算机更改域叽 更改S控制器 g类型*:田i所有任劳 （K更改域他域5谦级别的凶当前目录鵰势器：更改为:左忏何可写的域控制器）C此域控制器或AT LDS实例（X）确圭 | 取消 | 帮助 3）之后再回到第一步，重新找到涌色- Active Directory 域服务，然后右建点击Active Directory 用户和计算机在所有任务中，先选择操作主机。然后单击更改就可以将此角色主控传送到刚才 选择的额外 DC 上去。注：在这里，域级别的三个角色主控RID、PDC、Infrastructure Master 都在这里操作。另一个域林级别的 Do

15、mai n Nami ng Master:域命名主控则需要在 角色- Active Directory站点和服务中右键单击进行操作，操作方式与这里一样。L?rxi樂罷管谨向苴他域控制器分配RIC池&域中只有一台服劳器担关闭 | 氐肖一12、架构主控的传送操作有一点点麻烦，因为微软为了安全考虑并没有默认安装架构主控的管理单元。所以我们要自己手动安装并在MMC 中添加一下。方法如下：1）用管理员身份运行 CMD （一定要管理员身份哦！不然下面注册时会报错）操作主机:锁走到任务栏 00从列表中删除血* 厲性 GOActive lirsctory 管理中心搽惟主机2）在命令行中输入：regsv

16、r32 schmmgmt.dll然后回车！3）在命令窗口输入： mmc回车后会弹出控制台窗口IL.聯务哭管强哭mcpiMicrosoft Windows版本6.760:1版权所有 2009 Microsoft Corporation.保留所有权東UC：Windows system32 j*easvr32 scFimgFit - dllC：XWindowssyEtem32 MMCC：XU indous systEin32 4）在管理台中，点击文件- 添加/删除管理单元5）在添加或删除管理单元中找到刚才注册的Active Directory 架构单元，然后点添加，之后确定6）还是和前面一样，在架构

17、单元上点右键，先要选择更改 Active Directory 域控制器,将管理的单元直接切换到另一个将要传送角色的额外DC 上，之后再点击操作主机戸轻制台1- 檯制台視节点Directly架构DC.先更改煙接到霜要转融了兀上鈕文件S?）操作如查看W收藏夹紛窗口Of）帮助（H.）IQlra览制台根节点Rfe；E : *更改Active Birec書作主机紂二 权限重新加载架构丽twy域控制器傑枸損作丰机 *查e（v）从这里创建窗口w-书选擇摊作主机二新任劳板视圏刷新閃 导出列表0J更改養作主帮助007）在弹出的窗口中点击更改，就可以将架构主控从DC 传送到 DC2 上。到此，主控上的五大主控都传

18、送到另一台额外DC 上去了。这时额外 DC 就成了真正意义上的主控 DC,而原主控 DC 刚成了额外了。（注意，windows2003 开始，已经没有主和副的概念了，只有主 DC 和额外 DC，所有 DC 都是平等的，谁担任了这五大FSMO 主控角色谁就是主DC ）。之后，可以把用户的DNS 指向新的这台 DC （已有 DNS 服务）。或将原主控 DC 下线，把新的 DC 改 IP 为原主 DC（不推荐改新 DC 主机的 IP 方式，这样做存在一些可可见的风险）、抓取，也叫占用（抓取只能使用命令行工具，传送也可以用命令行方式）1 n tdsutil进入 ntds 工具提示符2 roles调整操作主机角色3 conn ecti ons进入连接模式4 connect to server DC名连接到可用 DC 上5 quit返回上层菜单6 tran sfer pdc7 quit 退岀（或其他）进行转移或抓取第 6 步的命令可以改为以下:-抓取角色命令-占用 RID 主机角色seize RID master占用