轉載自運維網和51CTO-AD中FSMO五大角色的介紹及操作

FSMO是Flexible single master operation的縮寫，意思就是靈活單主機操作。營運主機（Operation Masters，又稱為Flexible Single Master Operation，即FSMO）是被設定為擔任提供特定角色資訊的網域控制站，在每一個活動目錄網域中，至少會存在三種營運主機的角色。但對于大型的網絡,整個域森林中,存在5種重要的FSMO角色.而且這些角色都是唯一的。 　　五大角色：　　1、 森林級别(一個森林隻存在一台DC有這個角色): 

　　(1)、Schema Master(也叫Schema Owner):架構主要 

　　(2)、Domain Naming Master:域命名主要 

　　2、 域級别(一個域裡面隻存一台DC有這個角色): 

　　(1)、PDC Emulator :PDC仿真器 

　　(2)、RID Master :RID主要 

　　(3)、Infrastructure Master :結構主要 

　　對于查詢FSMO主機的方式有很多,本人一般在指令行下,用netdom query fsmo指令查詢.要注意的是本指令需要安裝windows 的Support Tools. 

　　五種角色主要有什麼作用？ 　　1、 Schema Master（架構主要） 

　　作用是修改活動目錄的源資料。我們知道在活動目錄裡存在着各種各樣的對像，比如使用者、計算機、列印機等，這些對像有一系列的屬性，活動目錄本身就是一個資料庫，對象和屬性之間就好像表格一樣存在着對應關系，那麼這些對像和屬性之間的關系是由誰來定義的，就是Schema Master，如果大家部署過Exchange的話，就會知道Schema是可以被擴充的，但需要大家注意的是，擴充Schema一定是在Schema Master進行擴充的，在其它域控制器上或成員伺服器上執行擴充程式，實際上是通過網絡把資料傳送到Schema上然後再在Schema Master上進行擴充的，要擴充Schema就必須具有Schema Admins組的權限才可以。 

　　建議:在占有Schema Master的域控制器上不需要高性能，因為我們不是經常對Schema進行操作的，除非是經常會對Schema進行擴充，不過這種情況非常的少，但我們必須保證可用性，否則在安裝Exchange或LCS之類的軟體時會出錯。 

　　2、 Domain Naming Master （域命名主要）

　　這也是一個森林級别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你現有森林中添加一個域或者删除一個域的話，那麼就必須要和Domain Naming Master進行聯系，如果Domain Naming Master處于Down機狀态的話，你的添加和删除操作那上肯定會失敗的。 

　　建議:對占有Domain Naming Master的域控制器同樣不需要高性能，我想沒有一個網絡管理者會經常在森林裡添加或者删除域吧?當然高可用性是有必要的，否則就沒有辦法添加删除森裡的域了。 

　　3、 PDC Emulator （PDC仿真器） 

　　在前面已經提過了，Windows 2000域開始，不再區分PDC還是BDC，但實際上有些操作則必須要由PDC來完成，那麼這些操作在Windows 2000域裡面怎麼辦呢?那就由PDC Emulator來完成，主要是以下操作: 

　　⑴、處理密碼驗證要求; 

　　在預設情況下，Windows 2000域裡的所有DC會每5分鐘複制一次，但有一些情況是例外的，比如密碼的修改，一般情況下，一旦密碼被修改，會先被複制到PDC Emulator，然後由PDC Emulator觸發一個即時更新，以保證密碼的實時性，當然，實際上由于網絡複制也是需要時間的，是以還是會存在一定的時間差，至于這個時間差是多少，則取決于你的網絡規模和線路情況。 

　　⑵、統一域内的時間; 

　　微軟活動目錄是用Kerberos協定來進行身份認證的，在預設情況下，驗證方與被驗證方之間的時間差不能超過5分鐘，否則會被拒絕通過，微軟這種設計主要是用來防止回放式攻擊。是以在域内的時間必須是統一的，這個統一時間的工作就是由PDC Emulator來完成的。 

　　⑶、向域内的NT4 BDC提供複制資料源; 

　　對于一些建立的網絡，不大會存在Windows 2000域裡包含NT4的BDC的現象，但是對于一些從NT4更新而來的Windows 2000域卻很可能存有這種情況，這種情況下要向NT4 BDC複制，就需要PDC Emulator。 

　　⑷、統一修改組政策的模闆; 

　　⑸、對Windows 2000以前的作業系統，如WIN98之類的計算機提供支援; 

　　對于Windows 2000之前的作業系統，它們會認為自己加入的是NT4域，是以當這些機器加入到Windows 2000域時，它們會嘗試聯系PDC，而實際上PDC已經不存在了，是以PDC Emulator就會成為它們的聯系對象! 

　　建議:從上面的介紹裡大家應該看出來了，PDC Emulator是FSMO五種角色裡任務最重的，是以對于占用PDC Emulator的域控制器要保證高性能和高可用性。 

　　4、RID Master （RID主要）

　　在Windows 2000的本機安全性授權中，使用者的辨別不取決于使用者名，雖然我們在一些權限設定時用的是使用者名，但實際上取決于安全主體SID，是以當兩個使用者的SID一樣的時候，盡管他們的使用者名可能不一樣，但Windows的本機安全性授權中會把他們認為是同一個使用者，這樣就會産生安全問題。而在域内的使用者安全SID=Domain SID+RID，那麼如何避免這種情況?這就需要用到RID Master，RID Master的作用是:配置設定可用RID池給域内的DC和防止安全主體的SID重複。 

　　建議:對于占有RID Master的域控制器，其實也沒有必要一定要求高性能，因為我們很少會經常性的利用批處理或腳本向活動目錄添加大量的使用者。這個請大家視實際情況而定了，當然高可用性是必不可少的，否則就沒有辦法添加使用者了。 

　　5、 Infrastructure Master （結構主要）

　　FSMO的五種角色中最無關緊要的可能就是這個角色了，它的主要作用就是用來更新組的成員清單，因為在活動目錄中很有可能有一些使用者從一個OU轉移到另外一個OU，那麼使用者的DN名就發生變化，這時其它域對于這個使用者引用也要發生變化。這種變化就是由Infrastructure Master來完成的。 

　　建議:其實在活動目錄森林裡僅僅隻有一個域或者森林裡所有的域控制器都是GC(全局編錄)的情況下，Infrastructure Master根本不起作用，是以一般情況下對于占有Infrastructure Master的域控制器往忽略性能和可能性。 

　　在FSMO的規劃時，請大家按以下原則進行: 

　　1、占有Domain Naming Master角色的域控制器必須同時也是GC; 

　　2、不能把Infrastructure Master和GC放在同一台DC上; 

　　3、建議将Schema Master和Domain Naming Master放在森林根域的GC伺服器上; 

　　4、建議将Schema Master和Domain Naming Master放在同一台域控制器上; 

　　5、建議将PDC Emulator、RID Master及Infrastructure Master放在同一台性能較好的域控制器上; 

　　6、盡量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC伺服器上;

－－以上内容參考自百度百科：

http://baike.baidu.com/view/1623435.htm

一．目的：

在安裝DC的過程中，系統會預設将域中第一台DC做為五種角色的操作主機，但是有時候我們需要手工指定更可靠更安全的DC來做操作主機，因為操作主機一旦損壞，那麼整個域就會産生非常嚴重的後果，比如：無法建立（大量）使用者帳戶，使用者無法通路AD和更改密碼等。

二．目标：

将域中五種操作主機角色進行遷移

三．實作：

遷移之前先檢視目前的FSMO操作主機：指令行執行netdom query fsmo

以上圖可知，現在的操作主機角色全在DC2上，接下來我們将五種操作主機角色遷移到DC1

1. RID角色轉移：

RIP主機主要是管理域中對象相對辨別符（RID）池，對象安全辨別符SID＝域安全辨別符+相對辨別符（RID），一旦損壞，域中對象将無法獲得新的RID池配置設定，現象為：無法建立（大量）使用者。

轉移方法：在“管理工具”－“AD使用者群組”管理單元，右鍵－操作主機中更改。

2. PDC角色轉移

模拟Windows NT PDC，預設的域主浏覽器，預設的域内權威時間服務源，統一管理域帳号密碼更新、驗證及鎖定。一旦損壞，底端客戶将不能通路AD，不能更改使用者密碼，時間也不能同步。

轉移：

3. 結構主機轉移

結構主機主要是負責對跨域對象的引用更新，單域情況下一般不工作，一般産生故障後影響不太明顯，故障現象為不能識别外域帳号。

4. 域命名主機轉移

主要功能是負責控制域林内域的添加和删除，損壞後不能添加、删除域。

轉移方法：在“管理工具”－“AD域和信任關系”管理單元，右鍵－操作主機中更改。

5. 架構主機轉移

架構主機主要是控制AD内所有對象/屬性的定義，損壞後短期内看不到影響，隻是在安裝布署進階的伺服器産品時将會出現問題。比如：安裝Exchange時，如果聯系不上架構主機，将無法安裝成功。

? 轉移方法：

先注冊架構域控：regsvr32 C:\WINDOWS\system32\schmmgmt.dll

然後在MMC控制台上添加其管理單元，進行角色轉換：

四．測試：

至此五種操作主機在各主機角色都正常的情況下，完成了角色的轉移，用VBS腳本檢視：

指令行檢視：

至此，FSMO五種操作主機角色就完成了正常的遷移了。

到此，主要上的五大主要都傳送到另一台額外DC上去了。這時額外DC就成了真正意義上的主要DC，而原主要DC剛成了額外了。（注意，windows2003開始，已經沒有主和副的概念了，隻有主DC和額外DC，所有DC都是平等的，誰擔任了這五大FSMO主要角色誰就是主DC）。之後，可以把使用者的DNS指向新的這台DC（已有DNS服務）。或将原主要DC下線，把新的DC改IP為原主DC（不推薦改新DC主機的IP方式，這樣做存在一些可可見的風險）