什么是FSMO呢?
以下引用一下网上的解释,作者不详。
Active Directory 定义了五种操作主机角色(又称FSMO):
1.架构主机 schema master
2..域命名主机 domain naming master
3.相对标识号 (RID) 主机 RID master
4.主域控制器模拟器 (PDCE)
5.基础结构主机 infrastructure master
森林级别
1、架构主机(Schema Master)
功能:控制活动目录内所有对象/属性的定义
提示:Regsvr32 schmmgmt.dll
Schema Admins组
故障影响:更新Schema受影响
短期内一般看不到影响
典型问题如:无法安装Exchange
故障处理:需确定原OM为永久性脱机才可抓取
确保目标DC为具有最新更新的DC
2、域命名主机(Domain Naming Master)
功能:控制森林内域的添加和删除
添加和删除对外部目录的交叉引用对象
提示:建议与GC配置在一起
Enterprise Admins组
故障影响:更改域结构受影响
短期内一般看不到影响
典型问题如:添加/删除域
故障处理:需确定原OM为永久性脱机才可抓取
确保目标DC为具有最新更新的DC
域级别
1、RID主机(RID Master)
功能:管理域中对象相对标识符(RID)池
提示:对象安全标识符(SID)= 域安全标识符 + 相对标识符(RID)
* 形如:S-1-5-21-1343024091-879983540-3…
故障影响:无法获得新的RID池分配
典型问题如:无法新建(大量)用户帐号
故障处理:需确定原OM为永久性脱机才可抓取
确保目标DC为具有最新更新的DC
2、PDC模拟主机(PDC Emulator)
功能:模拟Windows NT PDC
默认的域主浏览器
默认的域内权威的时间服务源
统一管理域帐号密码更新、验证及锁定
提示:PDC模拟主机不仅仅是模拟NT PDC
一般负荷较大
故障影响:底端客户不能访问AD
不能更改域帐号密码
浏览服务问题
时间同步问题
故障处理:需要比较及时地恢复
可以临时抓取到其他DC
在原OM恢复后可以抓取回去
3、基础结构主机(Infrastructure Master)
功能:负责对跨域对象引用进行更新
提示:单域情况下基础结构主机不需要工作
不能同时和GC配置在一起(单域控除外)
故障影响:外域帐号不能识别,标记为SID
故障处理:需要比较及时地恢复
可以临时抓取到其他DC
在原OM恢复后可以抓取回去
查看操作主机角色
命令行工具:Ntdsutil Netdom Dcdiag
操作主机的放置
默认情况:架构主机在根域的第一台DC上
域命名主机在根域的第一台DC上
其他三个主机角色在各自域的第一台DC上
考虑问题:和GC的冲突
性能考虑
手工优化:基础结构主机与GC不放在一起
域命名主机与GC放在一起
架构主机与域命名主机可放在一起
PDC模拟主机建议单独放置
操作主机的转移
1、转移(Transfer)
把OM角色平滑地传递给另一台DC
操作可逆
2、抓取(Seize)
把OM角色强制地赋予另一台DC
操作不可逆
抓取命令会自动先尝试转移
那FSMO在DC间如何做转移呢?
FSMO 角色
在目录林中,有至少五个分配给一个或多个域控制器的 FSMO 角色。这五个 FSMO 角色是:
· 架构主机:架构主机域控制器控制对架构的所有更新和修改。若要更新目录林的架构,您必须有权访问架构主机。在整个目录林中只能有一个架构主机。
· 域命名主机:域命名主机域控制器控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。
· 结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。
· 相对 ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。任何时刻,在域中只能有一个域控制器充当 RID 主机。
· PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机,或者如果包含 Microsoft Windows NT 备份域控制器,则 PDC 模拟器主机充当 Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
您可以通过使用 Ntdsutil.exe 命令行实用工具或使用 MMC 管理单元工具来转移 FSMO 角色。根据您要转移的 FSMO 角色,可以使用以下三个 MMC 管理单元工具之一:
“Active Directory 架构”管理单元
“Active Directory 域和信任关系”管理单元
“Active Directory 用户和计算机”管理单元
如果某一计算机已不存在,则必须取回其角色。若要取回角色,请使用 Ntdsutil.exe 实用工具。
转移架构主机角色
使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll 文件,然后才能使用此管理单元。
注册 Schmmgmt.dll
1. 单击开始,然后单击运行。
2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
3. 收到操作成功的消息时,单击确定。
转移架构主机角色
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击“添加/删除管理单元”。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
转移域命名主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 域和信任关系”。
2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一:
o 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
o 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一:
o 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
o 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或 结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
参考文章
http://support.microsoft.com/kb/324801/zh-cn