活动目录操作主机（FSMO）角色详解-技术文章-泗阳伟达网络信息科技有限公司-专注于IT运维服务的专业团队

1：概述

Active Directory 域服务 (AD DS) 的逻辑结构主要可分为Active Directory林、Active Directory域；通过林树和域树之间的组合可以满足各种规模的企业的各种需求；但是无论怎么进行设置都必须要考虑到以下5个FSMO操作主机角色的放置问题。FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在活动目录中有五种FSMO角色，并且分为两大类：

林级别(在整个林中只能有一台DC拥有访主机角色)

架构主机 (Schema Master)
域命令主机 (Domain Naming Master)

域级别(在域中只有一台DC拥有该角色)

PDC模拟器(PDC Emulator)
RID主机 (RID Master)
基础架构主机 (Infrastructure Master)

2：FSMO角色功能

2.1：架构主机

控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.2：域命令主机

2.3：PDC模拟器

向后兼容低级客户端和服务器，担任NT系统中PDC角色
时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!
密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。
首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器的[url=file://windows/sysvol/sysvol/%3Cdomain]\windowssysvolsysvol目录下，然后通过DFS复制到本域其它DC中。
域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能

2.4：主机角色：RID主机

Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配512个)，所有非RID在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突!

2.5：基础架构主机

基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。

将承载这些操作主机角色的域控制器放置在具有高网络可靠性的区域，并确保 PDC 模拟器和 RID 主机始终可用。

3：如何查询或迁移操作主机角色

3.1：如何查询操作主机所在服务器

默认情况下这五种操作主机角色会部署在环境中的林域中，也就是部署的第一台域控制器。因为其是林域，所以林和域的操作主机角色会放置在这里。我们也可以通过以下办法来查询环境中的实际操作主机放置的位置。

在域控制器的命令行控制台中通过命令netdom query fsmo来查询，可以看到这五种操作主机角色全部在第一台域控制器中

clip_image002_thumb[1]

也可以通过使用Dsquery工具单独查看操作主机角色

Dsquery Server –Hasfsmo Schema //查看架构主机

Dsquery Server –Hasfsmo Name //查看域主机

Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机

Dsquery Server –Hasfsmo RID //查看RID主机

Dsquery Server –Hasfsmo Infr //查看基础结构主机

clip_image004_thumb[1]

3.2：迁移域级别操作主机角色

对于域级别的FSMO角色，也就是RID、PDC、基础架构这三个角色的迁移直接通过“Active Drictory用户和计算机”管理控制台就可以进行查询以及迁移；

打开控制台后，选中域并右键选择“操作主机”

clip_image006_thumb[1]

在这里就可以看到域级别的三种FSMO角色，并且看到其当前所在的主机；

clip_image008_thumb[1]

但是默认情况下点击更改，会出现以下提示；这是因为当前的FSMO角色和迁移的目的主机是同一台，所以无法迁移。

clip_image010_thumb[1]

为了完成迁移必须要先连接到目的域控制器，在该管理控制台中右键选择“更改域控制器”

clip_image012_thumb[1]

将目录服务器更改为要迁移的目的服务器，在本实例就是实验从DC01迁移到DC02，所以这里要选择DC02

clip_image014_thumb[1]

接下来返回操作主机选项卡可以看到操作主机和下方的目的服务器不一致，点击更改

clip_image016_thumb[1]

点击更改，在弹出的提示中点击“是”；就可以执行迁移操作

clip_image018_thumb[1]

接下来就可以看到操作成功的提示，并且可以看到操作主机已经迁移到DC02

clip_image020_thumb[1]

对于其他的PDC、基础架构主机执行同样的操作即可将其迁移到其他主机上。

clip_image022_thumb[1]

clip_image024_thumb[1]

通过netdom query fsmo命令查询也可以确认角色已经迁移到DC02

clip_image026_thumb[2]

3.3：迁移林级别操作主机

对于林级别的操作主机角色架构主机 (Schema Master)、域命令主机 (Domain Naming Master)角色迁移则通过以下方法进行操作。

域命名主机的迁移需要通过“Active Directory域和信任关系”管理工具进行，首先还是要将当前连接的域控制器更改为要迁移的目的服务器

clip_image028_thumb[1]

本示例也就是DC02

clip_image030_thumb[1]

接下来选择“操作主机”

clip_image032_thumb[1]

在弹出的操作主机中，点击更改

clip_image034_thumb[2]

确定迁移，点击是

clip_image036_thumb[1]

提示操作成功即成功将域命名主机迁移到其他域控制器中

clip_image038_thumb[1]

域架构主机角色的迁移和其他四种角色的操作方法有所不同，在对域架构主机进行迁移前首先在迁移前需要在域控制器上注册schmmgmt.dll，在CMD中输入命令regsvr32 schmmgmt.dll，回车后提示注册成功

clip_image040_thumb[1]

接下来通过MMC管理控制台来添加管理单元

clip_image042_thumb[1]

将“Active Directory架构”管理单元添加进来

clip_image044_thumb[1]

接下来在Active Directory架构中点击“操作主机”

clip_image046_thumb[1]

在这里就可以看到当前的架构主机在哪台服务器上运行

clip_image048_thumb[1]

同样如果源和目的服务器处于同一台主机上，无法进行迁移；同样需要将当前连接的域控制器选择为目的域控制器，在该控制台右键选择“更改Active Dirctory域控制器”

clip_image050_thumb[1]

本示例要迁移到DC02，故此选择DC02

clip_image052_thumb[1]

其会弹以下提示，点击确定即可

clip_image054_thumb[1]

返回到更改操作主机页面，点击更改

clip_image056_thumb[1]

就可以将架构主机迁移到DC02

clip_image058_thumb[1]

通过命令行查询，可以发现五种角色均迁移到DC02

clip_image060_thumb[1]

4：操作主机规划建议

4.1：操作主机故障影响

操作主机在Active Directory环境中，肩负着重要的作用，如果操作主机出现问题，将会出现以下问题：

当架构主机不可用时，不能对架构进行更改。在大多数网络环境中，对架构更改的频率很低，并且应提前进行规划，以便使架构主机的故障不至于产生任何直接的问题。
当域命名主机不可用时，不能通过运行DCPROMO向Active Directory中添加域，同时也不能从目录林中删除域，如果在域命名主机不可用时试图通过运行DCPROMO来删除域，那么就会收到一条"RPC 服务器不可用"的消息。
当RID主机不可用时，所遇到的主要问题是不能向域中添加任何新的安全对象，例如用户、组和计算机；如果试图添加，则会出现如下的错误消息："Windows 不能创建对象，因为：目录服务已经用完了相对标识号池"。
当PDC主机不可用时，在本机模式环境中用户登录失败的可能性增大。如果重新设置用户密码，例如用户忘记密码，然后管理员在一台DC（不是验证DC）上重新设置密码，那么该用户就必须等到密码复制到验证DC之后才能登录。试图编辑组策略对象时出错。
当基础架构主机不可用时，结构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响，只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下，结构主机故障只是会延迟通过Active Directory管理单元引用这些更改的时间。

4.2：操作主机角色放置优化配置建议

默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!

常见的操作主机角色放置建议如下：

1. 架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少。但要保证可用性，否则在安装Exchange等会扩展AD架构的软件时会出错。

2. 域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的，以保证在添加删除当前林中域时可以使用。一般建议由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。

3. PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。

4. RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。

5. 基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。

建议将PDC模拟器，RID主机以及基础结构主机放置在一台性能较好的DC中，且尽量不要配置成GC。

技术文章