ActiveDirectory林中五种唯一的FSMO角色类型.docx

下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型，以及这些角色执行的相关操作： 架构主机 (Schema master) － 架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。域命名主机 (Domain naming master) － 域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。结构主机 (Infrastructure master) － 结构主机角色是域范围的角色，每个域一个。 此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器。每个新子域或树域中的第一台域控制器将获得三个域范围的角色。 在使用以下某种方法重新分配 FSMO 角色之前，域控制器将一直担任 FSMO 角色：管理员使用 GUI 管理工具重新分配角色。 管理员使用 ntdsutil /roles 命令重新分配角色。 管理员使用 Active Directory 安装向导正常降级担任某个角色的域控制器。该向导将任何本地担任的角色重新分配给林中的现有域控制器。 使用 dcpromo /forceremoval 命令执行降级会使 FSMO 角色处于无效状态，直到管理员重新分配为止。我们建议您在以下情况下转移 FSMO 角色：当前角色担任者可以运行，并且新的 FSMO 所有者可以通过网络访问它。 您正在正常降级一台域控制器，它目前担任着您要分配给 Active Directory 林中某个特定域控制器的 FSMO 角色。由 于要进行定期维护，您需要使目前担任 FSMO 角色的域控制器脱机，并且您需要将特定的 FSMO 角色分配给一台“活动的”域控制器。这可能是执行连接到 FSMO 所有者执行操作所必需的。对于 PDC 模拟器角色来说，尤其如此，但对于 RID 主机角色、域命名主机角色和架构主机角色来说，则不尽然。 我们建议您在遇到以下情况时捕获 FSMO 角色：当前角色担任者遇到一个操作错误，导致 FSMO 相关操作无法成功完成，并且无法转移该角色。 使用 dcpromo /forceremoval 命令强制降级担任 FSMO 角色的域控制器。 原来担任某个特定角色的计算机上的操作系统不再存在或者已被重新安装。在进行复制时，域或林中的非 FSMO 域控制器可完全了解担任 FSMO 角色的域控制器所做的更改。 如果必须转移角色，则最佳的候选域控制器应该是以下域中的域控制器：该域最后一次或最近从现有角色担任者入站复制了“FSMO 分区”的可写副本。例如，架构主机角色担任者具有可分辨名称路径 CN=schema,CN=configuration,dc=林根域，这意味着角色位于 CN=schema 分区中并且作为该分区的一部分被复制。如果担任架构主机角色的域控制器遇到硬件或软件故障，则较合适的候选角色担任者应当是根域中的域控制器，并且与当前 所有者位于同一 Active Directory 站点中。 同一 Active Directory 站点中的域控制器每隔 5 分钟或 15 秒执行一次入站复制。 每个 FSMO 角色的分区如列表所示：FSMO 角色分区架构CN=Schema,CN=configuration,DC=林根域域命名主机CN=configuration,DC=林根域PDCDC=域RIDDC=域结构DC=域应禁止其 FSMO 角色已被捕获的域控制器与林中的现有域控制器通信。在这个情况下，您应格式化这类域控制器上的硬盘并重新安装操作系统，或者强制降级专用网络上的这类域控制器，然后使用 ntdsutil /metadata cleanup 命令删除它们在林中剩余域控制器上的元数据。 将其角色已被捕获的前任 FSMO 角色担任者引入林中的风险在于，原来的角色担任者可能会像以前那样继续运行，直到它通过入站复制了解到角色捕获信息。两个域控制器担任