活动目录5种操作主机角色转移详解

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

在一个林中，有五种操作主机角色。

架构主机和域命名主机在林中是唯一的。

仿真主机（PDC）、相对ID主机（SID）和基础结构主机（IM）在域中是唯一的，在林中并不是唯一的。

操作主机角色转移只针对域控与域控之间。

有两种方式可更改，可用图形界面，也可用命令行模式。

但是要覆盖，只能用命令模式。

在WINDOWS光盘中安装/support/tools/suptools.msi工具后，可用此命令查看操作主机的角色。

在域中的三台主机可右击域，找到操作主机，便可更改。

要更改架构主机，需要打此命令，才会在控制台中找到AD架构。

域命名主机要在域和信任关系中右击，才能更改。

用命令行模式更改操作主机角色。

Transfer 上用于转移，而seize是用于覆盖。

覆盖只用于存在角色的那台主机宕掉之后，可在另一台机器上直接覆盖。

AD五大角色轉移及GC移轉說明在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對 ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。

例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種 MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

Windows Server 活动目录企业应用项目九 管理操作主机AD DS数据库内绝大部分数据地复制是采用多主机复制模式(multi -master replicationmodel),也就是您可以直接更新任何一台域控制器内绝大部分地AD DS对象,之后这个对象会被自动复制到其它域控制器。

然而只有少部分数据地复制是采用单主机复制模式（single-master replication model）。

在此模式下,当您提出更改对象地请求时,只会由其一台被称为操作主机地域控制器负责接收与处理此请求,也就是说该对象先被更新在这台操作主机内,再由它将其复制到其它域控制器。

Active Directory 域服务（AD DS ）内总有五个操作主机角色:架构操作主机（schema operations master ）域命名操作主机（domain naming operations master ）RID 操作主机（relative identifier operations master ）PDC 模拟器操作主机（PDC emulator operations master ）基础结构操作主杌（infrastructure operations master ）一个林只有一台架构操作主机与一台域命名操作主机,这两个林级别地角色默认都由林根域内地第一台域控制器所扮演。

而每一个域拥有自己地RID操作主机,PDC模拟器操作主机与基础结构操作主机,这三个域级别地角色默认由该域内地第一台域控制器所扮演。

九.一.一架构操作主机扮演架构操作主机角色地域控制器,负责更新与修改架构( schema)内地对象种类与属数据。

隶属于Schema Admins组内地用户才有权利修改架构。

一个林只能有一台架构操作主机。

九.一.二域命名操作主机扮演域命名操作主机角色地域控制器,负责林内域目录分区地新建与删除,即负责林内地域添加与删除工作。

域操作主机角色的转移和故障占用无无故障转移故障转移RID主机：向其他域控制器分配RID池。

域中只有一台此角色服务器课。

（AD用户和计算机）PDC主机：负责密码更改,组策略冲突等.查看。

负责Object SID 生成,Object SID=Domain SID+RID 查看。

操作主机为Windows 2000 以前版本的域的客户端模仿主域控制器的作用。

域中只有一台担任此角色基础结构主机：负责组嵌套,结构更改等,查看。

结构主机确保交互域操作对象的一致性。

域中只有一台服务器担任此角色。

（AD用户和计算机）域命名主机：负责新域的创建,删除等,查看方法。

确保域名是唯一的。

在林中只有一个此角色服务器。

（AD域和信任关系）架构主机：1. 开始-运行-regsvr32 schmmgmt.dll 2. 开始-运行--MMC 添加管理单元--添加“Active Directory架构”右击：“Active Direct ory 架构”，查看/ 转移基础架构主机角色（林中唯一）故障转移如果域中有多台域控制器，分担不同的角色，在其中某台出现不可恢复故障时，就要用正常的域控DC强制占用故障DC的操作主机角色，主DC彻底崩溃时,辅助DC强制夺取操作主机角色命令行操作: 1cmd2ntdsutil3roles4connection5connect to server %s (%s=辅助DC)6quit7seize pdc8seize rid master9seize infrastructure master10seize schema master11seize domain naming master12cmd13ntdsutil14roles15connection16connect to server %s (%s=服务器名,或IP地址)17quit18transfer pdc19transfer rid master20transfer schema master21transfer domain naming master22transfer infrastructure master至此,五种角色成功转称至%S,前提两DC在正常可用状态...迁移角色在命令下用ntdsutil下的transfer。

如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的犯罪现场很简单，域里有2台08R2，是域内的第一台DC，fileserver是第二台DC，目前所有的角色都在dc上面，我们通过实验来重现角色的转移！其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。

拓扑犯罪过程：一，从DC转移到fileserver上1，打开cmd，输入：netdom query fsmo，列出当前角色所在的位置，从图中可以看出。

五个角色都在DC上！2，然后我们运行，dsa.msc，打开用户和计算机，选择“查看”--“高级功能”3，然后选择“操作”---操作主机，如图4，右键选择Fileserver域控制器，因为我们要把现在连接的DC上的角色转移到Fileserver。

所以在DC上首先连接到 Fileserver，如图，细心的同学就会看到。

后面的状态为“不可用”，这是因为他不能本身转给本身，所以这样显示！5，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，分别选择主机类型然后更改，如图6，接下来打开“域和信任关系”，首先连接Fileserver，来转移域命令主机，打开如图7，更改即可！8，还有一个GC，GC是需要注册一个组件的如图：9，打开mmc，添加AD架构到mmc里，然后如图，首先连接Fileserver10，最后我们来查看下角色的位置：11，至此，我们完成了五个操作主机角色的转移。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

AD中FSMO五大角色的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。

但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

五大角色：1、森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(一个域里面只存一台DC有这个角色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种角色主控有什么作用？1、Schema Master（架构主控）作用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

FSMO五种角色的作用、查找及规划FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。

如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。

多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC 和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:1、森林级别(即一个森林只存在一台DC有这个角色):(1)、Schema Master中文翻译成:架构主控(2)、Domain Naming Master中文翻译成:域命名主控2、域级别(即一个域里面只存一台DC有这个角色):(1)、PDC Emulator 中文翻译成:PDC仿真器(2)、RID Master 中文翻译成:RID主控(3)、Infrastructure Master 中文翻译成:基础架构主控一、接下来就来说明一下这五种角色空间有什么作用:1、Schema Maste用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

活动⽬录5种操作主机⾓⾊转移详解如何将server 2008 R2作为server 2003域中的额外域控 ?⼀、迁移前的准备如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中，⾸先需要更新Active Directory的架构，并且该更新需要在架构主机上进⾏操作，同时进⾏操作的域⽤户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。

1、更新林架构在server A中插⼊Windows server 2008 R2 的安装光盘，导航到\support\adprep⽬录下，运⾏adprep32.exe /forestprep，在警告窗⼝中键⼊C，确认所有windows 2000域控制器都是sp4或更⾼版本，即开始⾃动更新⽬录林架构。

2、更新域架构在相同⽬录下，运⾏adprep /domainprep，活动⽬录森令就为加⼊windows server 2008 R2域控制器做好了准备。

注意：如果当前域的功能级别⾮Windows 2000纯模式以上，将会出现如下提⽰：此时只要在Active Directory 域和信任关系中，将功能级别提升到Windows 2000纯模式即可。

3、更新AD对RODC只读域控制器的⽀持，adprep32.exe /rodcprep;⼆、在林中加⼊Windows server 2008 R2的域控制器1、安装AD DS⾓⾊Windows server 2008 R2使⽤⼀个基于⾓⾊的模型。

所以，要使⽤⼀个Windows 2008服务器成为⼀个域控制器，需要先添加Active Directory Domain services⾓⾊。

打开【服务器管理器】，选择【⾓⾊】节点，点击【添加⾓⾊】，选中【Active Directory域服务】，在弹出的向导中，点击【添加必需的功能】，添加.NET Framwork 3.5.1功能。

本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。

这五个FSMO 角色是：∙架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

∙域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

∙结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

∙相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。

任何时刻，在域中只能有一个域控制器充当RID 主机。

∙PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。

您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。

根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.首先我们先来了解什么是"操作主机","操作主机"都包括什么?在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)在林范围内包括以下两种:1)架构主机2)域命名主机在每个林中这些角色都必须是唯一的!在域范围内包括以下:1)主域控制器仿真主机（PDC Emulator）2)相对ID (RID) 主机3)基础结构主机以上三种在每个域中必须是唯一的!1.架构主机（Schema Master）架构主机控制对整个林的架构的全部更新在整个林中，只能有一个架构主机如何管理架构主机(默认没有安装管理架构的工具):1)注册架构管理工具regsvr32 schmmgmt.dll2)使用mmc添加【Active Directory架构】3)查看架构主机2.域命名主机（Domain Naming Master）控制林中域的添加或删除，可以防止林中的域名重复在整个林中只能有一个域命名主机注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器使用【Active Directory域和信任关系】查看域命名主机3.PDC 仿真主机（PDC Emulator Master）PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）林中的每个域中只能有一个PDC 仿真主机PDC 仿真主机的主要作用:1)管理来自客户端（Windows NT/95/98）的密码更改2)最小化密码变化的复制等待时间3)同步整个域内所有域控制器上的时间4)查看PDC 仿真主机4.RID 主机（RID Master）RID 主机将相对ID（RID）序列分配给域中每个域控制器林中的每个域中只能有一个RID 主机每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

如何占用操作主机操作主机是Active Directory中的特殊对象，具备操作主机角色的域控制器担任着活动目录核心功能，如果操作主机不可用，整个活动目录都会出现异常，甚至崩溃。

操作主机角色的唯一性决定了不是任意一台域控制器都能管理整个域，当一台承担着操作主机角色的域控制器需要停机维护，就需要将主机角色转移到另一台正常运行的域控制器上；但是当承担操作主机角色的域控制器突然崩溃，无法正常运行，就需要使用强制手段占用操作主机，它被称为强制转移案例：某公司网络采用Windows server 2008 R2域环境进行管理，有两台域控制器DC01和DC02，其中DC01担任着五种操作主机角色。

DC01突然宕机，无法启动，现在需要将五种操作主机强制转移到DC02。

1.在DC02打开命令提示符，输入“ntdsutil”命令。

2.在“ntdsutil”命令提示符下输入“roles”命令。

3.在“fsmo maintenance”命令提示符下，输入“connection”命令。

4.在“server connections”命令提示符下，输入“connect toserver ”命令（由于DC01宕机，需要使用DC02进行域名解析）5.在“server connections”命令提示符下，输入“quit”命令，返回上一级命令提示符。

6.可以使用命令“help”来获取帮助。

7.在“fsmo maintenance”命令提示符下，输入“seize ridmaster”命令。

单击“是”，DC02成为RID操作主机。

8.在“fsmo maintenance”命令提示符下，继续输入“seizeschema master”, “seize PDC”, “seize infrastructure master”, “seize naming master”命令，强制转移架构主机、PDC仿真主机、基础结构主机和域命名主机*注意：将“seize”命令换成“transfer”，即可对操作主机角色进行转移。

AD FSMO五种角色主机的作用AD FSMO五种角色主机的作用 (1)森林级别 (1)１、架构主机（Schema Master） (1)２、域命名主机（Domain Naming Master） (2)域级别 (2)３、RID主机（RID Master） (2)４、PDC模拟主机（PDC Emulator） (3)５、基础结构主机（Infrastructure Master） (3)性能优化考虑 (4)Active Directory定义了五种操作主机角色（又称ＦＳＭＯ）：1.架构主机schema master2.域命名主机domain naming master3.相对标识号(RID)主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master森林级别１、架构主机（Schema Master）功能：控制活动目录内所有对象属性的定义提示：Regsvr32schmmgmt.dllSchema Admins组故障影响：更新Schema受影响短期内一般看不到影响典型问题如：无法安装Exchange故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC２、域命名主机（Domain Naming Master）功能：控制森林内域的添加和删除添加和删除对外部目录的交叉引用对象提示：建议与GC配置在一起Enterprise Admins组故障影响：更改域结构受影响短期内一般看不到影响典型问题如：添加/删除域故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC域级别３、RID主机（RID Master）功能：管理域中对象相对标识符（RID）池提示：对象安全标识符（SID）=域安全标识符+相对标识符（RID）*形如：S-1-5-21-1343024091-879983540-3…故障影响：无法获得新的RID池分配典型问题如：无法新建（大量）用户帐号故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC４、PDC模拟主机（PDC Emulator）功能：模拟Windows NT PDC默认的域主浏览器默认的域内权威的时间服务源统一管理域帐号密码更新、验证及锁定提示：PDC模拟主机不仅仅是模拟NT PDC故障影响：底端客户不能访问AD不能更改域帐号密码浏览服务问题时间同步问题故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去５、基础结构主机（Infrastructure Master）功能：负责对跨域对象引用进行更新提示：单域情况下基础结构主机不需要工作不能同时和GC配置在一起（单域控除外）故障影响：外域帐号不能识别，标记为SID故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去查看操作主机角色命令行工具：Ntdsutil Netdom Dcdiag操作主机的放置默认情况：架构主机在根域的第一台DC上域命名主机在根域的第一台DC上其他三个主机角色在各自域的第一台DC上考虑问题：和GC的冲突性能优化考虑手工优化：基础结构主机与GC不放在一起域命名主机与GC放在一起架构主机与域命名主机可放在一起PDC模拟主机建议单独放置操作主机的转移１、转移（Transfer）把OM角色平滑地传递给另一台DC操作可逆２、抓取（Seize）把OM角色强制地赋予另一台DC操作不可逆抓取命令会自动先尝试转移一．目的：在安装DC的过程中，系统会默认将域中第一台DC做为五种角色的操作主机，但是有时候我们需要手工指定更可靠更安全的DC来做操作主机，因为操作主机一旦损坏，那么整个域就会产生非常严重的后果，比如：无法新建（大量）用户帐户，用户无法访问AD和更改密码等。

FSMO角色介绍、迁移、查看1.活动目录中域控制器的五种操作主机角色。

Winserver Active Directory和NT域的区别在于不再有主域控制器和辅助域控制器每个林中有五种操作主机角色，一台域控制器可以承担一种或者多种角色，或者不承担任何角色。

比如一个域中有两台域控制器，一台可以是架构主机，域命名主机，主域控制器仿真主机（PDC），相对ID主机（RID），基础结构主机，五种角色，另一台域控制器什么角色也不是，只是一台额外域控制器。

在林范围内有两种角色：架构主机和域命名主机，域范围内有主域控制器仿真主机（PDC)，相对ID主机（RID）和基础结构主机。

这五种角色在林中和域中都是唯一的。

五种角色的作用：架构主机：一个林中只有一台架构主机，控制对林架构的全部更新。

域命名主机：一个林中只有一台域命名主机，控制林中域的新增和删除，防止域名重复。

主域控制器仿真主机（PDC）：一个域只有一台PDC，管理来自客户端的密码更改，最小化密码复制等待时间，同步整个域中所有域控制器的时间。

相对ID（RID)：一个域中只有一台RID，把RID分给域中各个域控制器，每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

SID包含一个域SID（它与域中创建的所有SID相同）和一个RID（它对域中创建的每个SID是唯一的）。

对象的SID=域SID+RID。

基础结构主机：一个域只有一台基础结构主机，负责更新从它所在的域中的对象到其他域中对象的引用，基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!2.主域控制器FSMO角色的迁移角色迁移目的：若当前主域控制器在线，且因性能不佳或需更换硬件，为了不影响域用户对与服务器及Exchange Server正常使用，需要将主域控制器FSMO迁移至额外域控制器.1、Active Directory 定义了 5 种FSMO 角色：架构主机、域主机、RID 主机、PDC 模拟器、结构主机。

Windows Server 2008域和活动目录——操作主机的转移与夺取第一部分需求分析一、项目概况Tom刚刚应聘为adtest的公司的网管，公司从事外贸服务销售业务，公司有几十位员工。

公司的企业网是Windows Server 2008单域结构的网络，有两台DC。

让Tom尴尬的是，刚刚上任不久，其中第一台DC就出现了严重故障不能工作了。

显然，他需要迅速解决此问题以获得公司上下的认可。

二、公司逻辑结构图域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上。

三、项目目标与要求1.实现找出各操作主机所在DC；2.实现操作主机角色的转移；3.实现操作主机角色的夺取；4.实现查看全局编录服务器；5.实现设置全局编录服务器。

第三部分项目实施一、实施任务描述本项目案例中所涉及OU名、用户组名、计算名、用户名均须符合下列要求：遵守统一命名规则；加入自己姓名个性化设置。

1.创建第一台DC;2.创建额外DC；3.分别查看五种操作主机角色；4.查看和设置全局编录服务器；5.实现五种操作主机的转移；6.实现五种操作主机的夺取。

二、项目案例实施环境硬件：可运行多台虚拟机系统软件：windows server 2008 R2系统物理机、虚拟机软件（vmware workstation 7.0或以上版本）、windows server 2008 R2虚拟磁盘、windows server 2008 R2 ISO文件、输入法、截图工具。

三、实施步骤本项目文档完成须符合以下要求：关键步骤截图，并辅以简要文字描述；实施步骤条理清楚，排版合理；坚决杜绝抄袭。