AD FSMO 五种角色主机的作用与操作手册

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

Windows 2003 server 域控制器坏掉后(FSMO强占)--实践文章导读：FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO只有在DC上才有，但不是每个DC都有，下面先简单解释下这5种角色存在的位置和作用：Schema master (架构主机）Domain naming master (域命名主机）PDC Emulator (PDC 仿真器）RID Master （RID主机）Infrastructure Master (基础结构主机）第1和第2个角色在林中只出现一次，也既是说在整个森林只有一台DC是具有这个角色（森林级别的角色）后面3个角色在域中只出现一次，也既是说在整在域中只有一台DC是具有这种角色（域级别的角色）这5种角色可以在一台DC上全部出现，也可以分布其他的DC上，来减轻DC的负荷，使整个域运行的更高效。

当你在建立第一个域的时候是一个全新的森林全新的域，那么这5种角色会在你的第一台DC上，当你建立域辅助主控也就是说额外控制器时，这台额外在默认情况下是不会具有任何一种角色，除非你手动把部分角色转移或强占到这台额外DC上，因为在同一个域，这些角色只能出现一次，当你转移后或强占后，那么原来的那台DC就没有了那个角色，当然就不能担当这个角色所起所有功能和作用。

所以，当某一台拥有某些角色的DC宕机之后，这个域会出现很多问题，特别是PDC主控坏掉起不来的时候，那么整个域的身份验证将变的不可用，如果Schema master不可用，那么在安装exchange服务器的时候将不能进行森林和域的拓展，等等，总之这5个角色是非常重要，除了 infrastructure master 这个角色是这5个中最无关紧要的角色，当只有一个域或森林而且所有的DC都是GC的时候，这个角色根本就没用，当然我们最好是使它为可用，来保证我们的域的完整行。

AD林中五种唯一的 FSMO 角色类型AD林中五种唯一的 FSMO 角色类型以下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型，以及这些角色执行的相关操作：• 架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

• 域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

• RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。

此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

• PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

• 结构主机 (Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

Active Directory 安装向导 (Dcpromo.exe)将这五种 FSMO 角色全部分配给林根域中的第一台域控制器。

每个新子域或树域中的第一台域控制器将获得三个域范围的角色。

在使用以下某种方法重新分配 FSMO 角色之前，域控制器将一直担任 FSMO 角色：• 管理员使用 GUI 管理工具重新分配角色。

• 管理员使用 ntdsutil /roles 命令重新分配角色。

AD五大角色转移及GC移转说明AD五大角色轉移及GC移轉說明在樹系中，至少會有五個FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站(PDC)。

例如，如果網域中包含不是執行Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD 域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC 模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT 和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。

操作主机角色一、简介在Windows Server 2008系统总，有些特定的任务只能由单独实体完成。

AD DS一般允许在任何域控制器上做出更改，但有些功能只能由一个域控制器提供，否则，AD DS基础结构就会产生不稳定性，对这些功能的准确描述为灵活的单主机操作（Flexible Single Master Operations，FSMO）。

在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：l 架构主机（Schema Master）：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机，只有Schema Admins组成员才有这个更改权限。

在整个目录林中只能有一个架构主机。

l 域命名主机（Domain Naming Master）：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

l 基础结构主机（Infrastructure Master）：基础结构主机的职能是检测林内其他域的对象是否发生了更改。

如果发生了更改，基础结构主机角色可以更新此对象所有实例的属性，然后将这些更改复制到域内所有的其他域控制器上。

如果对象被访问控制列表使用，或者是作为组内成员被使用，则其他域内的对象更改不会在默认的情况下被复制至其他域。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

l 相对标识符主机（RID Master）：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

l 主域控制器仿真主机/PDC 模拟器（PDC Emulator）：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

windowsAD5个操作主机的作用windows 2003\2008 AD 操作主机(FSMO)完全攻略在windows 2003 和windows 2008的域环境下,Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的,并没有主域控与辅助域控之分。

但是，有些更改不适合使用多主机复制执行，因此对于这种类型的更改，都有一个称为“操作主机(FSMO)”的域控制器接收此类更改的请求。

对应于处理请求内容的不同,AD内操作主机有以下五种角色:1.架构主机schema master2.域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器仿真主机(PDCE)5.基础结构主机infrastructure master下面我们就这五种操作主机的作用范围、功能、查看、传送及占用操作主机的方法来进行了解：一、作用范围：林范围内操作主机有：架构主机和域命名主机，这两种操作主机森林范围内唯一，也就是说如果一个森林内有10个域，那么这总共10个域只会有一个架构主机和域命名主机，通常这两种操作主机角色默认存在于森林根域的第一台域控内。

域范围内操作主机有：RID主机、PDC仿真主机、基础结构主机，这三种主机域范围唯一，如果森林范围内有10个域，那每个域中都会存在这三种主机。

每个域中的这三种操作主机角色默认存在于该域的第一台域控内。

二、功能：1.架构主机：负责森林范围内对架构的更新和修改。

简单来说，就是负责AD中对象的增加、删除以及属性的修改。

比如林中常见对象有用户、组、打印机等，通过对AD架构的修改，可以去删除一个已经存在的对象，如将打印机从AD架构中删除，那么用户在AD中将无法看到打印机对象。

2.域命名主机：负责林中域的添加和删除。

在森林内创建新域时，会向域命名主机提交请求，查看是否在林中已有同名对象，如没有同名对象才能创建该域，并在域命名主机内做相应记录。

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

AD中FSMO五大角色的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。

但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

五大角色：1、森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(一个域里面只存一台DC有这个角色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种角色主控有什么作用？1、Schema Master（架构主控）作用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

FSMO五种角色的作用、查找及规划FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。

如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。

多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC 和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:1、森林级别(即一个森林只存在一台DC有这个角色):(1)、Schema Master中文翻译成:架构主控(2)、Domain Naming Master中文翻译成:域命名主控2、域级别(即一个域里面只存一台DC有这个角色):(1)、PDC Emulator 中文翻译成:PDC仿真器(2)、RID Master 中文翻译成:RID主控(3)、Infrastructure Master 中文翻译成:基础架构主控一、接下来就来说明一下这五种角色空间有什么作用:1、Schema Maste用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

活动⽬录5种操作主机⾓⾊转移详解如何将server 2008 R2作为server 2003域中的额外域控 ?⼀、迁移前的准备如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中，⾸先需要更新Active Directory的架构，并且该更新需要在架构主机上进⾏操作，同时进⾏操作的域⽤户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。

1、更新林架构在server A中插⼊Windows server 2008 R2 的安装光盘，导航到\support\adprep⽬录下，运⾏adprep32.exe /forestprep，在警告窗⼝中键⼊C，确认所有windows 2000域控制器都是sp4或更⾼版本，即开始⾃动更新⽬录林架构。

2、更新域架构在相同⽬录下，运⾏adprep /domainprep，活动⽬录森令就为加⼊windows server 2008 R2域控制器做好了准备。

注意：如果当前域的功能级别⾮Windows 2000纯模式以上，将会出现如下提⽰：此时只要在Active Directory 域和信任关系中，将功能级别提升到Windows 2000纯模式即可。

3、更新AD对RODC只读域控制器的⽀持，adprep32.exe /rodcprep;⼆、在林中加⼊Windows server 2008 R2的域控制器1、安装AD DS⾓⾊Windows server 2008 R2使⽤⼀个基于⾓⾊的模型。

所以，要使⽤⼀个Windows 2008服务器成为⼀个域控制器，需要先添加Active Directory Domain services⾓⾊。

打开【服务器管理器】，选择【⾓⾊】节点，点击【添加⾓⾊】，选中【Active Directory域服务】，在弹出的向导中，点击【添加必需的功能】，添加.NET Framwork 3.5.1功能。

WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.首先我们先来了解什么是"操作主机","操作主机"都包括什么?在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)在林范围内包括以下两种:1)架构主机2)域命名主机在每个林中这些角色都必须是唯一的!在域范围内包括以下:1)主域控制器仿真主机（PDC Emulator）2)相对ID (RID) 主机3)基础结构主机以上三种在每个域中必须是唯一的!1.架构主机（Schema Master）架构主机控制对整个林的架构的全部更新在整个林中，只能有一个架构主机如何管理架构主机(默认没有安装管理架构的工具):1)注册架构管理工具regsvr32 schmmgmt.dll2)使用mmc添加【Active Directory架构】3)查看架构主机2.域命名主机（Domain Naming Master）控制林中域的添加或删除，可以防止林中的域名重复在整个林中只能有一个域命名主机注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器使用【Active Directory域和信任关系】查看域命名主机3.PDC 仿真主机（PDC Emulator Master）PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）林中的每个域中只能有一个PDC 仿真主机PDC 仿真主机的主要作用:1)管理来自客户端（Windows NT/95/98）的密码更改2)最小化密码变化的复制等待时间3)同步整个域内所有域控制器上的时间4)查看PDC 仿真主机4.RID 主机（RID Master）RID 主机将相对ID（RID）序列分配给域中每个域控制器林中的每个域中只能有一个RID 主机每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

AD FSMO五种角色主机的作用AD FSMO五种角色主机的作用 (1)森林级别 (1)１、架构主机（Schema Master） (1)２、域命名主机（Domain Naming Master） (2)域级别 (2)３、RID主机（RID Master） (2)４、PDC模拟主机（PDC Emulator） (3)５、基础结构主机（Infrastructure Master） (3)性能优化考虑 (4)Active Directory定义了五种操作主机角色（又称ＦＳＭＯ）：1.架构主机schema master2.域命名主机domain naming master3.相对标识号(RID)主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master森林级别１、架构主机（Schema Master）功能：控制活动目录内所有对象属性的定义提示：Regsvr32schmmgmt.dllSchema Admins组故障影响：更新Schema受影响短期内一般看不到影响典型问题如：无法安装Exchange故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC２、域命名主机（Domain Naming Master）功能：控制森林内域的添加和删除添加和删除对外部目录的交叉引用对象提示：建议与GC配置在一起Enterprise Admins组故障影响：更改域结构受影响短期内一般看不到影响典型问题如：添加/删除域故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC域级别３、RID主机（RID Master）功能：管理域中对象相对标识符（RID）池提示：对象安全标识符（SID）=域安全标识符+相对标识符（RID）*形如：S-1-5-21-1343024091-879983540-3…故障影响：无法获得新的RID池分配典型问题如：无法新建（大量）用户帐号故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC４、PDC模拟主机（PDC Emulator）功能：模拟Windows NT PDC默认的域主浏览器默认的域内权威的时间服务源统一管理域帐号密码更新、验证及锁定提示：PDC模拟主机不仅仅是模拟NT PDC故障影响：底端客户不能访问AD不能更改域帐号密码浏览服务问题时间同步问题故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去５、基础结构主机（Infrastructure Master）功能：负责对跨域对象引用进行更新提示：单域情况下基础结构主机不需要工作不能同时和GC配置在一起（单域控除外）故障影响：外域帐号不能识别，标记为SID故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去查看操作主机角色命令行工具：Ntdsutil Netdom Dcdiag操作主机的放置默认情况：架构主机在根域的第一台DC上域命名主机在根域的第一台DC上其他三个主机角色在各自域的第一台DC上考虑问题：和GC的冲突性能优化考虑手工优化：基础结构主机与GC不放在一起域命名主机与GC放在一起架构主机与域命名主机可放在一起PDC模拟主机建议单独放置操作主机的转移１、转移（Transfer）把OM角色平滑地传递给另一台DC操作可逆２、抓取（Seize）把OM角色强制地赋予另一台DC操作不可逆抓取命令会自动先尝试转移一．目的：在安装DC的过程中，系统会默认将域中第一台DC做为五种角色的操作主机，但是有时候我们需要手工指定更可靠更安全的DC来做操作主机，因为操作主机一旦损坏，那么整个域就会产生非常严重的后果，比如：无法新建（大量）用户帐户，用户无法访问AD和更改密码等。