AD五大角色转移及GC移转说明

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

AD五大角色转移及GC移转说明AD五大角色轉移及GC移轉說明在樹系中，至少會有五個FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站(PDC)。

例如，如果網域中包含不是執行Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD 域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC 模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT 和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

FSMO五种角色的作用、查找及规划FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。

如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。

多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC 和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:1、森林级别(即一个森林只存在一台DC有这个角色):(1)、Schema Master中文翻译成:架构主控(2)、Domain Naming Master中文翻译成:域命名主控2、域级别(即一个域里面只存一台DC有这个角色):(1)、PDC Emulator 中文翻译成:PDC仿真器(2)、RID Master 中文翻译成:RID主控(3)、Infrastructure Master 中文翻译成:基础架构主控一、接下来就来说明一下这五种角色空间有什么作用:1、Schema Maste用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

Server1的五大角色转换到server2上.一旦server2异常关闭server1再把server2的角色占用过来.实验之前有两点要求:第一,两个DC必须是再同一个网段之内.第二,两个的DNS地址和网关必须一样.步骤如下:1、再server1上建立主AD。

2、再server2上打开“开始”-“程序”-“管理工具”-“管理您的伺服器”选择“添加或删除角色”选项。

3、点击“下一步”在“配置您的服务器向导”里面选中“域控制器”点击“下一步”选中“现有域的额外控制域”，点击“下一步”。

4、点击“下一步”，输入域名。

“浏览”下也行。

输入。

一直点击“下一步”直到完成。

然后从其计算机。

下面我们来把server1中的AD五大角色转移到server2里面。

第一、我们在server1中“WIN+R”键输入“cmd”打开dos命令。

在里面输入“regsvr32schmmgmt.dll”点击“回车”就会出现如图。

除管理单元”点击“添加按钮”选中“AD架构”点击“添加”按钮。

选中（AD架构）打开“操作”下拉菜单的“更改域控制器”选项，打开“改变域控制器”对话框。

选中“指定名称”单选框输入server2的全名称“”。

点击“确定”。

机”对话框。

点击“更改”。

第四、我们打开server2的“AD域和信任关系”选项。

点击“操作”选择“连接到域控制器”选项。

打开“连接到域控制器”对话框。

选中“”点击“确定”。

机”对话框中选中“更改”在谈书的对话框选择“是”。

就会出现“已成功转移操作主机”对话框。

第五、我们来通过命令方式转移域范围角色。

首先转移PDC 命令如下：Ntdsutil 回车Roles 回车Connection 回车Connect to server 回车Quit 回车Transfer PDC 回车点击“是”如果出现下图就说明转移成功。

以同样的方式转移其他角色，使用命令的具体转移方式是：Transfer PDC 转移PDC仿真主机Transfer RID master 转移RID主机Transfer infrastructure master 转移基础结构主机Transfer domain naming master 转移域命名主机Transfer schema master 转移架构主机注意：以上命令是不区分大小写的。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：其中：：ADC01作为主域控制器，操作系统为WindowsServer2008R2，并安装有DHCP服务，作用域范围为——。

ADC02作为的辅助域控制器，操作系统为WindowsServer2008R2Exs01为的Mail服务器，操作系统为WindowsServer2003SP2，Exchange版本为2003TMG01为防火墙，加入到网域，操作系统为WindowsServer2008R2，ForefrontTMG为2010Client为加入到此网域的客户端PC，由DHCPServer分配IP：Ad-cntse为的域控制器，操作系统为WindowsServer2008R2，为了网域的迁移安装有ADMT以及SQLServerExpress2005SP2Exs-centse作为的MailServer，操作系统为WindowsServer2003SP2，Exchange版本为2003.备注：所有的Server均处在同一个网段二、的User结构：如图，其中红色圈中部分为自建组别，OAUser为普通办公人员组别，拥有Mail账号，admins为管理员群组，TerminalUser为终端机用户组别，均没有Mail 账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把的解析交给的DNS。

如下图：2、在“ActiveDirectory网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

活动⽬录5种操作主机⾓⾊转移详解如何将server 2008 R2作为server 2003域中的额外域控 ?⼀、迁移前的准备如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中，⾸先需要更新Active Directory的架构，并且该更新需要在架构主机上进⾏操作，同时进⾏操作的域⽤户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。

1、更新林架构在server A中插⼊Windows server 2008 R2 的安装光盘，导航到\support\adprep⽬录下，运⾏adprep32.exe /forestprep，在警告窗⼝中键⼊C，确认所有windows 2000域控制器都是sp4或更⾼版本，即开始⾃动更新⽬录林架构。

2、更新域架构在相同⽬录下，运⾏adprep /domainprep，活动⽬录森令就为加⼊windows server 2008 R2域控制器做好了准备。

注意：如果当前域的功能级别⾮Windows 2000纯模式以上，将会出现如下提⽰：此时只要在Active Directory 域和信任关系中，将功能级别提升到Windows 2000纯模式即可。

3、更新AD对RODC只读域控制器的⽀持，adprep32.exe /rodcprep;⼆、在林中加⼊Windows server 2008 R2的域控制器1、安装AD DS⾓⾊Windows server 2008 R2使⽤⼀个基于⾓⾊的模型。

所以，要使⽤⼀个Windows 2008服务器成为⼀个域控制器，需要先添加Active Directory Domain services⾓⾊。

打开【服务器管理器】，选择【⾓⾊】节点，点击【添加⾓⾊】，选中【Active Directory域服务】，在弹出的向导中，点击【添加必需的功能】，添加.NET Framwork 3.5.1功能。

AD迁移之主机角色迁移（图形界面）2013-10-25 00:17:27 发表评论随着科技的日新月异，日子的一天一天过去了，老服务器终于到了退休的日子了这意味着需要把旧服务器的数据迁移到新服务器，其中一个重要项目就迁移主机角色迁移之前需要先把新服务器提升为额外域控制器/405708/1120831提升完，就要进行主机角色的迁移了！关于五个角色的知识可以参考这里/405708/920885环境：DC1：win08dc1DC2： win08dc2IP：192.168.1.2 IP:192.168.1.3子网掩码：255.255.255.0 子网掩码：255.255.255.0网关：192.168.1.1 网关：192.168.1.1DNS：192.168.1.2 DNS：192.168.1.3192.168.1.3192.168.1.2首先打开使用netdom query fsmo命令查询一下主机的五个角色的所在我们直接打开DC2中的AD用户和计算机,在域名上右击选择操作主机这里可以看到有RID、PDC、基础架构主机三个角色，直接点击更改变就可以简单的将角色从DC1迁移到DC2上面。

接着打开DC2的AD域和信任关系在AD域和信任关系上右键选择操作主机，而不是在域名上面点击更改同样将域命名操作主机角色迁移到DC2上面最后剩下架构主机了，由于架构主机重要特殊，并没有预先设置的工具必须通过注册动态链接库来打开，在DC2运行regsvr32 schmmgmt.dll来注册动态链接库，并使用MMC工具来添加管理架构主机点击运行输入MMC打开控制台，添加选择AD架构，点确定右击AD架构选择操作主机，这里显示当前架构和可以转移的架构都是DC1 并不像之前的操作主机角色一样可以直接迁移所以我们必须在DC更改所连接目录服务器，点击更改AD域控制器选择DC2点击确定，更改连接的目录服务器接着再点击操作主机会发现，架构主机已经是可以迁移的了！到这里我们的五个操作主机角色就迁移完成了，我们可以在DC1上面在此输入netdom query fsmo进行验证角色所在域控制器命令显示角色已经成功转移到了DC2上面，到这里迁移就结束了！本文出自“紫柒”博客，请务必保留此出处/405708/1122349。

WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.首先我们先来了解什么是"操作主机","操作主机"都包括什么?在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)在林范围内包括以下两种:1)架构主机2)域命名主机在每个林中这些角色都必须是唯一的!在域范围内包括以下:1)主域控制器仿真主机（PDC Emulator）2)相对ID (RID) 主机3)基础结构主机以上三种在每个域中必须是唯一的!1.架构主机（Schema Master）架构主机控制对整个林的架构的全部更新在整个林中，只能有一个架构主机如何管理架构主机(默认没有安装管理架构的工具):1)注册架构管理工具regsvr32 schmmgmt.dll2)使用mmc添加【Active Directory架构】3)查看架构主机2.域命名主机（Domain Naming Master）控制林中域的添加或删除，可以防止林中的域名重复在整个林中只能有一个域命名主机注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器使用【Active Directory域和信任关系】查看域命名主机3.PDC 仿真主机（PDC Emulator Master）PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）林中的每个域中只能有一个PDC 仿真主机PDC 仿真主机的主要作用:1)管理来自客户端（Windows NT/95/98）的密码更改2)最小化密码变化的复制等待时间3)同步整个域内所有域控制器上的时间4)查看PDC 仿真主机4.RID 主机（RID Master）RID 主机将相对ID（RID）序列分配给域中每个域控制器林中的每个域中只能有一个RID 主机每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

AD FSMO五种角色主机的作用AD FSMO五种角色主机的作用 (1)森林级别 (1)１、架构主机（Schema Master） (1)２、域命名主机（Domain Naming Master） (2)域级别 (2)３、RID主机（RID Master） (2)４、PDC模拟主机（PDC Emulator） (3)５、基础结构主机（Infrastructure Master） (3)性能优化考虑 (4)Active Directory定义了五种操作主机角色（又称ＦＳＭＯ）：1.架构主机schema master2.域命名主机domain naming master3.相对标识号(RID)主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master森林级别１、架构主机（Schema Master）功能：控制活动目录内所有对象属性的定义提示：Regsvr32schmmgmt.dllSchema Admins组故障影响：更新Schema受影响短期内一般看不到影响典型问题如：无法安装Exchange故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC２、域命名主机（Domain Naming Master）功能：控制森林内域的添加和删除添加和删除对外部目录的交叉引用对象提示：建议与GC配置在一起Enterprise Admins组故障影响：更改域结构受影响短期内一般看不到影响典型问题如：添加/删除域故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC域级别３、RID主机（RID Master）功能：管理域中对象相对标识符（RID）池提示：对象安全标识符（SID）=域安全标识符+相对标识符（RID）*形如：S-1-5-21-1343024091-879983540-3…故障影响：无法获得新的RID池分配典型问题如：无法新建（大量）用户帐号故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC４、PDC模拟主机（PDC Emulator）功能：模拟Windows NT PDC默认的域主浏览器默认的域内权威的时间服务源统一管理域帐号密码更新、验证及锁定提示：PDC模拟主机不仅仅是模拟NT PDC故障影响：底端客户不能访问AD不能更改域帐号密码浏览服务问题时间同步问题故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去５、基础结构主机（Infrastructure Master）功能：负责对跨域对象引用进行更新提示：单域情况下基础结构主机不需要工作不能同时和GC配置在一起（单域控除外）故障影响：外域帐号不能识别，标记为SID故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去查看操作主机角色命令行工具：Ntdsutil Netdom Dcdiag操作主机的放置默认情况：架构主机在根域的第一台DC上域命名主机在根域的第一台DC上其他三个主机角色在各自域的第一台DC上考虑问题：和GC的冲突性能优化考虑手工优化：基础结构主机与GC不放在一起域命名主机与GC放在一起架构主机与域命名主机可放在一起PDC模拟主机建议单独放置操作主机的转移１、转移（Transfer）把OM角色平滑地传递给另一台DC操作可逆２、抓取（Seize）把OM角色强制地赋予另一台DC操作不可逆抓取命令会自动先尝试转移一．目的：在安装DC的过程中，系统会默认将域中第一台DC做为五种角色的操作主机，但是有时候我们需要手工指定更可靠更安全的DC来做操作主机，因为操作主机一旦损坏，那么整个域就会产生非常严重的后果，比如：无法新建（大量）用户帐户，用户无法访问AD和更改密码等。

AD中FSMO五⼤⾓⾊的介绍及操作AD中FSMO五⼤⾓⾊的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，⼜称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定⾓⾊信息的⽹域控制站，在每⼀个活动⽬录⽹域中，⾄少会存在三种营运主机的⾓⾊。

但对于⼤型的⽹络,整个域森林中,存在5种重要的FSMO⾓⾊.⽽且这些⾓⾊都是唯⼀的。

五⼤⾓⾊：1、森林级别(⼀个森林只存在⼀台DC有这个⾓⾊):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(⼀个域⾥⾯只存⼀台DC有这个⾓⾊):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的⽅式有很多,本⼈⼀般在命令⾏下,⽤netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种⾓⾊主控有什么作⽤？1、Schema Master（架构主控）作⽤是修改活动⽬录的源数据。

我们知道在活动⽬录⾥存在着各种各样的对像，⽐如⽤户、计算机、打印机等，这些对像有⼀系列的属性，活动⽬录本⾝就是⼀个数据库，对象和属性之间就好像表格⼀样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果⼤家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要⼤家注意的是，扩展Schema⼀定是在Schema Master进⾏扩展的，在其它域控制器上或成员服务器上执⾏扩展程序，实际上是通过⽹络把数据传送到Schema上然后再在Schema Master上进⾏扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机(Schema Master)2：域命令主机(Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机(RID Master)5：基础架构主机(Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。

9.命令提示符中输入：netdom query fsmo查询操作主机所在域控制器，再次确认转移是否成功。

至此，已经完成在图形界面转移5个操作主机的方法。

使用Ntdsutil命令转移前面介绍了使用图形界面对操作主机进行转移，下面介绍使用ntdsutil命令进行转移，将操作主机从DC02转移回DC01。

使用命令方式进行转移相对方便一些。

1.打开命令提示符，输入：ntdsutil，进入ntdsutil提示符后，输入：roles。

如果需要查到命令作用及用法可以输入：？，获取帮助信息。

2.这时需要连接到转移操作主机的目标域控制器，这里我们需要连接到DC01。

输入：connections ，然后输入：connect to server dc01。

连接成功后输入：quit 退回到fsmo maintenance:3.这时就可以进行操作主机的转移了。

分别使用下面5个命令转移相应的操作主机：Transfer domain naming master 转移域命名主机Transfer infrastructure master 转移基础结构主机Transfer PDC 转移PDC主机Transfer RID master 转移RID主机Transfer schema master 转移架构主机还有5个命令是强制将操作主机转移到指定域控制器。

一般只有在操作主机离线或者故障无法启动时才使用，操作方法相同。

Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master4.最后再次确认是否成功转移。

总结：本文介绍了操作主机的作用及转移方法。

操作主机在AD DS中分别承担不同作用，了解操作主机的作用，在日常的故障排错能起到一定的作用。

以及当宿主操作主机的DC故障时，怎么将操作主机转移到新的域控制器。

转移域控角色的两种方式.txt每个女孩都曾是无泪的天使，当遇到自己喜欢的男孩时，便会流泪一一，于是坠落凡间变为女孩，所以，男孩一定不要辜负女孩，因为女孩为你放弃整个天堂。

朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式当网域崩溃后或者我们买了新服务器，需要将新机器作为主域控制器那么我们需要转移角色，在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。

在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。

下面我分别介绍两种转移 AD 中 5 大角色的方式，5 大角色相信地球人都知道，HOHO.PS:转移角色需要注意的是：额外域设置为 GC，这样才能将额外域升级为主域，设置 GC 方法如下：打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称，找到额外域服务器，双击打开服务器，下面有个 NTDS Settings 右键单击属性，在弹出的属性页面勾选“全局编录”然后确定就 OKl 了，等待 5-10 分钟整个网域复写完成刚才的动作。

PS:部分步骤来源于网络,此文为综合以及描述注意点一.使用图形化界面 MMC 来转移域控角色一.转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll文件，然后才能使用此管理单元。

注册 Schmmgmt.dll单击开始，然后单击运行。

在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

收到操作成功的消息时，单击确定。

1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击“添加/删除管理单元”。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。