转载自运维网和51CTO-AD中FSMO五大角色的介绍及操作

FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。 　　五大角色：　　1、 森林级别(一个森林只存在一台DC有这个角色): 

　　(1)、Schema Master(也叫Schema Owner):架构主控 

　　(2)、Domain Naming Master:域命名主控 

　　2、 域级别(一个域里面只存一台DC有这个角色): 

　　(1)、PDC Emulator :PDC仿真器 

　　(2)、RID Master :RID主控 

　　(3)、Infrastructure Master :结构主控 

　　对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools. 

　　五种角色主控有什么作用？ 　　1、 Schema Master（架构主控） 

　　作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。 

　　建议:在占有Schema Master的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchange或LCS之类的软件时会出错。 

　　2、 Domain Naming Master （域命名主控）

　　这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。 

　　建议:对占有Domain Naming Master的域控制器同样不需要高性能，我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的，否则就没有办法添加删除森里的域了。 

　　3、 PDC Emulator （PDC仿真器） 

　　在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是以下操作: 

　　⑴、处理密码验证要求; 

　　在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。 

　　⑵、统一域内的时间; 

　　微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。 

　　⑶、向域内的NT4 BDC提供复制数据源; 

　　对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。 

　　⑷、统一修改组策略的模板; 

　　⑸、对Windows 2000以前的操作系统，如WIN98之类的计算机提供支持; 

　　对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象! 

　　建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。 

　　4、RID Master （RID主控）

　　在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。 

　　建议:对于占有RID Master的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了，当然高可用性是必不可少的，否则就没有办法添加用户了。 

　　5、 Infrastructure Master （结构主控）

　　FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。 

　　建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下，Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。 

　　在FSMO的规划时，请大家按以下原则进行: 

　　1、占有Domain Naming Master角色的域控制器必须同时也是GC; 

　　2、不能把Infrastructure Master和GC放在同一台DC上; 

　　3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上; 

　　4、建议将Schema Master和Domain Naming Master放在同一台域控制器上; 

　　5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上; 

　　6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

－－以上内容参考自百度百科：

http://baike.baidu.com/view/1623435.htm

一．目的：

在安装DC的过程中，系统会默认将域中第一台DC做为五种角色的操作主机，但是有时候我们需要手工指定更可靠更安全的DC来做操作主机，因为操作主机一旦损坏，那么整个域就会产生非常严重的后果，比如：无法新建（大量）用户帐户，用户无法访问AD和更改密码等。

二．目标：

将域中五种操作主机角色进行迁移

三．实现：

迁移之前先查看当前的FSMO操作主机：命令行执行netdom query fsmo

以上图可知，现在的操作主机角色全在DC2上，接下来我们将五种操作主机角色迁移到DC1

1. RID角色转移：

RIP主机主要是管理域中对象相对标识符（RID）池，对象安全标识符SID＝域安全标识符+相对标识符（RID），一旦损坏，域中对象将无法获得新的RID池分配，现象为：无法新建（大量）用户。

转移方法：在“管理工具”－“AD用户和组”管理单元，右键－操作主机中更改。

2. PDC角色转移

模拟Windows NT PDC，默认的域主浏览器，默认的域内权威时间服务源，统一管理域帐号密码更新、验证及锁定。一旦损坏，底端客户将不能访问AD，不能更改用户密码，时间也不能同步。

转移：

3. 结构主机转移

结构主机主要是负责对跨域对象的引用更新，单域情况下一般不工作，一般产生故障后影响不太明显，故障现象为不能识别外域帐号。

4. 域命名主机转移

主要功能是负责控制域林内域的添加和删除，损坏后不能添加、删除域。

转移方法：在“管理工具”－“AD域和信任关系”管理单元，右键－操作主机中更改。

5. 架构主机转移

架构主机主要是控制AD内所有对象/属性的定义，损坏后短期内看不到影响，只是在安装布署高级的服务器产品时将会出现问题。比如：安装Exchange时，如果联系不上架构主机，将无法安装成功。

? 转移方法：

先注册架构域控：regsvr32 C:\WINDOWS\system32\schmmgmt.dll

然后在MMC控制台上添加其管理单元，进行角色转换：

四．测试：

至此五种操作主机在各主机角色都正常的情况下，完成了角色的转移，用VBS脚本查看：

命令行查看：

至此，FSMO五种操作主机角色就完成了正常的迁移了。

到此，主控上的五大主控都传送到另一台额外DC上去了。这时额外DC就成了真正意义上的主控DC，而原主控DC刚成了额外了。（注意，windows2003开始，已经没有主和副的概念了，只有主DC和额外DC，所有DC都是平等的，谁担任了这五大FSMO主控角色谁就是主DC）。之后，可以把用户的DNS指向新的这台DC（已有DNS服务）。或将原主控DC下线，把新的DC改IP为原主DC（不推荐改新DC主机的IP方式，这样做存在一些可可见的风险）