下载文档原格式
AD五大角色轉移及GC移轉說明在樹系中,至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。
這五種 FSMO 角色如下:* 架構主機:架構主機網域控制站會控制對架構所做的所有更新及修改。
如果要更新樹系的架構,必須具有架構主機的存取權限。
整個樹系中只能有一個架構主機。
* 網域命名主機:網域命名主機網域控制站會控制在樹系中新增或移除網域。
整個樹系中只能有一個網域命名主機。
* 基礎結構主機:基礎結構負責更新自己網域中物件對其他網域中物件的參考。
在任何時候,每個網域中只能有一個網域控制站做為基礎結構主機。
* 相對 ID (RID) 主機:RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。
在任何時候,每個網域中只能有一個網域控制站做為 RID 主機。
* PDC 模擬器:PDC模擬器是一個網域控制站,它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。
例如,如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦,或者如果其中包含 Microsoft Windows NT 備份網域控制站,PDC 模擬器主機就會成為 Windows NT PDC。
它也是網域主機瀏覽器 (Domain Master Browser),而且會處理密碼不符的問題。
在任何時候,樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。
可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。
根據您要轉移的 FSMO 角色而定,可以使用下列三種 MMC 嵌入式工具之一:Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在,就必須取回角色。
FSMO 角色在目录林中,有至少五个分配给一个或多个域控制器的FSMO 角色。
这五个FSMO角色是:∙架构主机:架构主机域控制器控制对架构的所有更新和修改。
若要更新目录林的架构,您必须有权访问架构主机。
在整个目录林中只能有一个架构主机。
∙域命名主机:域命名主机域控制器控制目录林中域的添加或删除。
在整个目录林中只能有一个域命名主机。
∙结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。
任何时刻,在每一域中只能有一个域控制器充当结构主机。
∙相对ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的RID 池请求。
任何时刻,在域中只能有一个域控制器充当RID 主机。
∙PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。
例如,如果该域包含未运行Microsoft Windows XP Professional 或MicrosoftWindows 2000 客户端软件的计算机,或者如果包含Microsoft Windows NT 备份域控制器,则PDC 模拟器主机充当Windows NT PDC。
它还是“域主浏览器”并负责处理密码差异。
任何时刻,在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。
您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。
根据您要转移的FSMO 角色,可以使用以下三个MMC 管理单元工具之一:“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在,则必须取回其角色。
若要取回角色,请使用Ntdsutil.exe 实用工具。
回到顶端转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。
AD林中五种唯一的 FSMO 角色类型AD林中五种唯一的 FSMO 角色类型以下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型,以及这些角色执行的相关操作:• 架构主机 (Schema master) -架构主机角色是林范围的角色,每个林一个。
此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。
• 域命名主机 (Domain naming master) -域命名主机角色是林范围的角色,每个林一个。
此角色用于向林中添加或从林中删除域或应用程序分区。
• RID 主机 (RID master) - RID 主机角色是域范围的角色,每个域一个。
此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。
• PDC 模拟器 (PDC emulator) - PDC 模拟器角色是域范围的角色,每个域一个。
将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。
此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。
• 结构主机 (Infrastructure master) -结构主机角色是域范围的角色,每个域一个。
此角色供域控制器使用,用于成功运行 adprep /forestprep 命令,以及更新跨域引用的对象的 SID 属性和可分辨名称属性。
Active Directory 安装向导 (Dcpromo.exe)将这五种 FSMO 角色全部分配给林根域中的第一台域控制器。
每个新子域或树域中的第一台域控制器将获得三个域范围的角色。
在使用以下某种方法重新分配 FSMO 角色之前,域控制器将一直担任 FSMO 角色:• 管理员使用 GUI 管理工具重新分配角色。
• 管理员使用 ntdsutil /roles 命令重新分配角色。
AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行,这些任务是其他域控制器无权执行的。
由于操作主机对于目录的长期性能至关重要,因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。
在添加更多的域和站点来生成林时,小心放置操作主机非常重要。
若要执行这些功能,必须使托管这些操作主机的域控制器始终可用,且将其放置在网络可靠性较高的区域。
角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。
在角色传送过程中,对这两个域控制器进行复制,以确保没有丢失信息。
在传送完成后,之前的角色持有者将进行重新自我配置,以便在新域控制器承担这些职务时,此角色持有者不再尝试做为操作主机。
这样就防止了网络中同时出现两个操作主机的现象,这种现象可能导致目录损坏。
目的每个域中存在三个操作主机角色:* 主域控制器 (PDC) 仿真器。
PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。
它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新,以及任何其他目录写入操作。
* 相对标识符 (RID) 主机。
RID 主机将 RID 池分配至所有的域控制器,以确保可使用单一标识符创建新安全主体。
* 基础结构主机。
给定域的基础结构主机维护任何链接值属性的安全主体列表。
除了这三个域级的操作主机角色外,在每个林中还存在两个操作主机角色:* 管理所有架构更改的架构主机。
* 添加和删除域和应用程序分区复制到林(和从林复制到域)的域命名主机。
指导方针有关初始操作主机角色分配的设计规则和最佳操作,请参阅 Windows Server 2003 部署工具包:计划、测试以及试验部署项目。
在指定域中创建第一个域控制器时,会自动放置操作主机角色持有者。
将这三个域级角色分配至域中创建的第一个域控制器。
将这两个林级角色分配至林中第一个创建的域控制器。
移动操作主机角色(一个或多个)的原因包括:托管操作主机角色的域控制器服务性能不充足、故障或取消,或服从由管理员进行配置更改。
AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色(又称FSMO):1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作,具有不同的功能:1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC:向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。
只有一个服务器执行此任务。
在创建安全主体(例如用户、组或计算机)时,需要将RID 与域范围内的标识符相结合,以创建唯一的安全标识符(SID)。
每一个Windows 2000 DC 都会收到用于创建对象的RID 池(默认为512)。
RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。
通过RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。
相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机A4.PDCE主域控制器模拟器提供以下主要功能:向后兼容低级客户端和服务器,允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。
本机Windows 2000 环境将密码更改转发到PDCE。
每当DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证DC 中。
在一个Windows 2000 目录林中有五个Flexible Single Master Operations (FSMO) 角色。
在Windows 2000 中转移FSMO 角色有两种方法。
本文介绍如何用Microsoft 管理控制台(MMC) 管理单元来转移所有这五个FSMO 角色。
这五个FSMO 角色是:∙架构主机- 每个目录林中有一个主机角色担任者。
架构主机FSMO 角色的担任者是负责对目录架构执行更新的域控制器(DC)。
∙域命名主机- 每个目录林中有一个主机角色担任者。
域命名主机FSMO 角色的担任者是负责对目录的目录林范围的域名空间进行更改的DC。
∙结构主机- 每个域中有一个主机角色担任者。
结构主机FSMO 角色的担任者是负责在一个跨域的对象引用中更新对象的SID 和辨别名的DC。
∙RID 主机- 每个域中有一个主机角色担任者。
RID 主机FSMO 角色的担任者是负责处理来自某一给定域中的所有DC 的“RID 池”请求的单个DC。
∙PDC 模拟器- 每个域中有一个主机角色担任者。
PDC 模拟器FSMO 角色的担任者是一个向较早版本的工作站、成员服务器和域控制器公布自己是主域控制器(PDC) 的Windows 2000 DC。
它还是域主浏览器并负责处理密码差异。
有关Windows 2000 中FSMO 角色的其他信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:CHS197132Windows 2000 Active Directory FSMO 角色用MMC 工具转移FSMO 角色在Windows 2000 中,您可以通过MMC 工具转移所有这五个FSMO 角色。
为使转移成功,双方计算机都必须能够联机访问到。
如果有一个计算机已不存在,则必须取回其角色。
要取回一个角色,必须使用一个叫做Ntdsutil 的实用工具。
有关其他信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:255504Using Ntdsutil.exe to Seize or Transfer the FSMO Roles to a Domain(使用Ntdsutil.exe 将FSMO 角色取回或转移到一个域)转移特定于域的角色:RID、PDC 和结构主机1.单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
AD域环境中五大主机角色在Win2003多主机复制环境中,任何域控制器理论上都可以更改ActiveDirectory中的任何对象。
但实际上并非如此,某些AD功能不允许在多台DC上完成,否则可能会造成AD数据库一致性错误,这些特殊的功能称为“灵活单一主机操作”,常用FSMO来表示,拥有这些特殊功能执行能力的主机被称为FSMO角色主机。
在Win2003 AD 域中,FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1:架构主机 (Schema Master)2:域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3:PDC模拟器(PDC Emulator)4:RID主机 (RID Master)5:基础架构主机 (Infrastructure Master)1:架构主机控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的DC是可以更新目录架构的唯一 DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
2:域命令主机向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象.3:PDC模拟器向后兼容低级客户端和服务器,担任NT系统中PDC角色时间同步服务源,作为本域权威时间服务器,为本域中其它DC以及客户机提供时间同步服务,林中根域的PDC模拟器又为其它域PDC 模拟器提供时间同步!密码最终验证服务器,当一用户在本地DC登录,而本地DC验证本地用户输入密码无效时,本地DC会查询PDC模拟器,询问密码是否正确。
首选的组策略存放位置,组策略对象(GPO)由两部分构成:GPT 和GPC,其中GPC存放在AD数据库中,GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下,然后通过DFS复制到本域其它DC中。
如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作:1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。
我们建议您登录到要为其分配 FSMO 角色的域控制器。
登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。
2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。
3. 键入 roles,然后按 Enter。
注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。
4. 键入 connections,然后按 Enter。
5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。
6. 在“server connections”提示符处,键入 q,然后按 Enter。
7. 键入 transfer role,其中 role 是要转移的角色。
要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。
例如,要转移 RID 主机角色,键入 transfer rid master。
PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。
8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。
键入 q,然后按 Enter,退出 Ntdsutil 实用工具。
FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)BDC, FSMO, 硬件, 角色, 损坏由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器. 这个过程的实施给写下来:服务器操作系统.2003Entprise Edition客户端系统.XP pro拓朴如下:[本帖最后由 lianggj 于 06-10-17 13:30 编辑]1.jpg (21.32 KB)1评分人数回复引用报告使用道具TOP lianggj论坛资产11042 wb发表于 2006-10-17 11:31 | 只看该作者现在是存在一台DC(域名:nwtrader.msft),DC 上有用户a(用于后面验证),一台客户端,网络是连通的. 购买了一台新的机器,放到这个网络来了,IP:192.168.10.2.准备替换之前那台DC那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下:(新机器上操作)检查本机跟DC 的域名解释.[ 本帖最后由 lianggj 于 06-10-17 13:25 编辑 ] 1.JPG (30.17 KB)2.JPG (23.13 KB)回复引用报告使用道具 TOPlianggj发表于 2006-10-17 11:33 | 只看该作者MCITP EA远程培训 | Windows Server 2008 R2应用技术 | CCNA远程培训 | CCNA视频课件 | 企业服务论坛资产11042 wb建立BDC 3.JPG (15.74 KB)4.JPG (34.27 KB)5.JPG (38.7 KB)回复引用报告使用道具 TOPlianggj发表于 2006-10-17 11:38 | 只看该作者输入具有权限的用户,我用的是administrator,属于enterprise admins 现有DNS名称.6.JPG (28.5 KB)论坛资产11042 wb7.JPG (31.52 KB)回复引用报告使用道具 TOPlianggj论坛资产11042 wb发表于 2006-10-17 11:41 | 只看该作者 数据库存放路径,sysvol 存放路径,(建议用默认路径)必须存放在NTFS 的文件系统. 8.JPG (34.62 KB)9.JPG (30.97 KB)回复引用报告使用道具 TOPlianggj论坛资产11042 wb发表于 2006-10-17 11:42 | 只看该作者 输放还原模式密码,用于目录服务的还原.10.JPG (35.58 KB)回复 引用报告使用道具TOPlianggj发表于 2006-10-17 11:46 | 只看该作者BDC建立成功.11.JPG (32.59 KB)论坛资产11042 wb回复引用报告 使用道具 TOPlianggj发表于 2006-10-17 12:05 | 只看该作者BDC重启.接下来在BDC上建立DNS服务器,同步AD信息. 打开控制面版,winodws组件向导.12.JPG (50.43 KB)论坛资产11042 wb回复 引用报告 使用道具 TOPlianggj论坛资产11042 wb发表于 2006-10-17 12:07 | 只看该作者BDC的DNS指向自己.接着在运行输放dnsmgmt.msc新建正向区域.[本帖最后由 lianggj 于 06-10-18 18:18 编辑]15.JPG (58.66 KB)16.JPG (56.59 KB)回复引用报告使用道具TOPlianggj发表于 2006-10-17 12:09 | 只看该作者输入域名.允许动态更新.17.JPG (46.96 KB)论坛资产11042wb18.JPG (59.09 KB)重新加载DNS,目的是让区域生成SRV(资源指针记录). 用到命令如图,,或重新启动.20.jpg (52.96 KB)回复引用报告使用道具TOP lianggj论坛资产发表于 2006-10-17 12:30 | 只看该作者接下来可以指自己做为GC.在运行里输放dssite.msc[本帖最后由 lianggj 于 06-10-18 18:18 编辑]21.JPG (49.56 KB)11044 wb回复引用报告使用道具TOP lianggj论坛资产11044 wb发表于 2006-10-17 12:32 | 只看该作者MCITP EA 远程培训 | Windows Server 2008 R2应用技术 | CCNA 远程培训 | CCNA 视频课件 | 企业服务 在前面,yansy 有过一篇简单的基于图形角色的转移.下面我是基于命令符实现的.yansy 的参考文章:/viewthread.php?tid=1527回复 引用报告 使用道具 TOPlianggj发表于 2006-10-17 12:42 | 只看该作者论坛资产具体命令作用,在这我不详述.用到的命令是命令符下,ntdsutil后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令[本帖最后由 lianggj 于 06-10-17 12:59 编辑]22.JPG (29.05 KB)11044wb29.JPG (52.5 KB)回复引用报告 使用道具 TOPlianggj发表于 2006-10-17 12:46 | 只看该作者以上是DC 正常情况下的转移,DC 坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊论坛资产11044wb 所以我就只把夺取写了下来,而没把转移过程贴图)这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)[本帖最后由 lianggj 于 06-10-17 13:28 编辑]23.JPG (40.31 KB)24.JPG (67.82 KB)回复引用报告使用道具TOPlianggj发表于 2006-10-17 12:49 | 只看该作者把如4个角色像刚才一样操作,那就5种角色转移成功.25.JPG (78.6 KB)论坛资产11044 wb回复引用报告使用道具TOPlianggj发表于 2006-10-17 12:53 | 只看该作者如下:26.JPG (98.68 KB)论坛资产11044wb27.JPG (49.45 KB)28.JPG (43.14 KB)回复引用报告 使用道具 TOPlianggj发表于 2006-10-17 13:24 | 只看该作者到现在为止,基本这程实验完毕.还有就是IP 地址的问题,现在的BDC 可以正常工作了.验证结果.论坛资产11044 wb 有人就会想到,现在DC 的IP 不是192.168.10.2吗??客户端DNS 指向是192.168.10.1.怎么办?有两种方法:1.把DC 的IP 改为192.168.10.1. 2.把客户端DNS 的IP 改为192.168.10.2.清理DNS 记录,(我把之前的区域删除,重新建了个) 之前在旧DC 上建立的用户a,现在到客户端登录. 看是否能登录,如果能,说明新DC 是可以正常工作了.回复 引用报告 使用道具 TOPlianggj发表于 2006-10-17 13:30 | 只看该作者这是之前旧DC 上建立的用户a,如下.结果也如下:客户端成功登录,也即是大功告成.[ 本帖最后由 lianggj 于 06-10-17 13:31 编辑 ]论坛资产11044 wb30.JPG (32.28 KB)31.JPG (46.77 KB)回复引用报告使用道具 TOPwindows 2008 AD 操作主机(FSMO)完全攻略windows, FSMO, 攻略, 主机本帖最后由ttzztt2 于2009-7-6 16:19 编辑在windows 2003 和windows2008的域环境下,Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的,并没有主域控与辅助域控之分。
AD中FSMO五大角色的介绍及操作(转移与抓取)FSMO是Flexible single master operation的缩写,意思就是灵活单主机操作。
营运主机(Operation Masters,又称为Flexible Single Master Operation,即FSMO)是被设置为担任提供特定角色信息的网域控制站,在每一个活动目录网域中,至少会存在三种营运主机的角色。
但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。
五大角色:1、森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(一个域里面只存一台DC有这个角色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种角色主控有什么作用?1、Schema Master(架构主控)作用是修改活动目录的源数据。
我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Master进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。
建议:在占有Schema Master的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchange或LCS之类的软件时会出错。
2、Domain Naming Master (域命名主控)这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。
如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master 进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
3、PDC Emulator (PDC仿真器)在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作:⑴、处理密码验证要求;在默认情况下,Windows 2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
⑵、统一域内的时间;微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。
所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。
⑶、向域内的NT4 BDC提供复制数据源;对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。
⑷、统一修改组策略的模板;⑸、对Windows 2000以前的操作系统,如WIN98之类的计算机提供支持;对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象!建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。
4、RID Master (RID主控)在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。
而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。
这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。
5、Infrastructure Master (结构主控)FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。
这种变化就是由Infrastructure Master来完成的。
建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。
在FSMO的规划时,请大家按以下原则进行:1、占有Domain Naming Master角色的域控制器必须同时也是GC;2、不能把Infrastructure Master和GC放在同一台DC上;3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;--以上内容参考自百度百科:/view/1623435.htm——————————————————————————————————————————————————对FSMO角色的操作,即更改角色的操作主机(传送或抓取,抓取也叫占用)我们在安装完第一台主DC后,一定会再安装第二台DC做为额外DC,以保持其域的安全可靠。
从额外DC角色转换为主DC角色可以有二种方法——通用FSMO的传送或抓取来实现。
1、传送:当主DC工作正常,但出于某些原因要将其上的FSMO角色主机传到其它额外DC上时可以使用“传送”方式。
2、抓取:当主DC工作出现严重故障,AD工作不正常时,如:操作系统故障且AD无法修复,亦或是硬件问题不能开机等原因,这时我们可以用“抓取”方式。
一、传送(使用图形化界面操作)1、除Schema Master(也叫Schema Owner):架构主控外,其它四个角色主控都可以通过下面这个方式进行操作:1)打开服务器管理器,找到[角色] --> [Active Directory 域服务] ,然后右建点击[Active Directory 用户和计算机]在[所有任务] 中,先选择[更改域控制器] (此步骤是让此DC计算机直接连接到另一台额外DC计算机上的主控)2)选择要传送的DC(联机的即为当前是主控角色)3)之后再回到第一步,重新找到[角色] --> [Active Directory 域服务] ,然后右建点击[Active Directory 用户和计算机]在[所有任务] 中,先选择[操作主机] 。
然后单击[更改] 就可以将此角色主控传送到刚才选择的额外DC上去。
注:在这里,域级别的三个角色主控RID、PDC、Infrastructure Master都在这里操作。
另一个域林级别的Domain Naming Master:域命名主控则需要在[角色] --> [Active Directory 站点和服务] 中右键单击进行操作,操作方式与这里一样。
2、架构主控的传送操作有一点点麻烦,因为微软为了安全考虑并没有默认安装架构主控的管理单元。
所以我们要自己手动安装并在MMC中添加一下。
方法如下:1)用管理员身份运行CMD(一定要管理员身份哦!不然下面注册时会报错)2)在命令行中输入:regsvr32 schmmgmt.dll 然后回车!3)在命令窗口输入:mmc回车后会弹出[控制台] 窗口4)在管理台中,点击[文件] --> [添加/删除管理单元]5)在添加或删除管理单元中找到刚才注册的[Active Directory 架构] 单元,然后点[添加],之后确定6)还是和前面一样,在架构单元上点右键,先要选择[更改Active Directory 域控制器] ,将管理的单元直接切换到另一个将要传送角色的额外DC上,之后再点击[操作主机]7)在弹出的窗口中点击更改,就可以将架构主控从DC传送到DC2上。
到此,主控上的五大主控都传送到另一台额外DC上去了。
这时额外DC就成了真正意义上的主控DC,而原主控DC刚成了额外了。
(注意,windows2003开始,已经没有主和副的概念了,只有主DC和额外DC,所有DC都是平等的,谁担任了这五大FSMO主控角色谁就是主DC)。
