WindowsServer2008R2之五操作主控的管理..doc

Windows?Server?2008?R2之五操作主控的管理 一、概述 操作主控（FSMO）也称作操作主机（OM），它是指在AD中一个或多个特殊的DC，用来执行某些特殊的功能（资源标识符SID分配、架构修改、PDC选择等）。 ? 1、操作主控的分类 基于森林的操作主控：（在每个林中，每个林的操作主控只出现一次） ??? 架构主控（Schema Master) ??? 域命名主控（Domain Naming Master） 基于域范围的主控：（在林中的每个域只出现一次） ??? PDC仿真器（PDC Emunlator） ??? RID主控（RID Master) ??? 基础结构主控（Infrastructure Master) ? 2、操作主控的作用 ??? 架构主控（Schema Master):它主要负责修改活动目录的数据源。具备架构主控的DC，由于很少架构进行拓展（但安装Exchange,lcs需要对其进行修改），所以只需保证可性用性。同时，要拓展架构，用户必须具有Schema Admins组的权限。 ??? 域命名主控（Domain Naming Master）:主要负责森林中域的增加或者删除。对于具备域命名主控的主机不需要高性能，但是要保证高可用性。 ??? PDC仿真器（PDC Emunlator）：主要负责处理密码验证要求、统一域内时间、向域内的NT4 BDC提供复制数据源、修改组策略模板、提供对老版本（Windows 2000)的支持。由于PDC仿真器是五种主控中任务最繁重的，所以具有PDC仿真器的DC必须要有高性能和高可用性。 ??? RID主控（RID Master)：主要作用是分配RID池给域内的DC和防止安全主体的SID的重复。每次当DC创建用户、组或计算机对对象时，就会给该对象产生一个唯一的安全ID（SID）。SID包括一个域的SID和一个RID。对于运行RID主控的DC，性能没有太高的要求同，但必须保证其高可用性。 ??? 基础结构主控（Infrastructure Master)：负责更新从它所在的域中的对象到其他域中对象的引用。在活动目录中，有可能一些用户从一个OU转移到另外一个OU，那么用户的DNS名就会发生变化，这时其他域中对这个用户的引用也会发生变化。这种变化就是基础结构主控来完成。在活目录森林中只一个域或者森林中的所有DC都是GC的情况下，基础结构主控将会不起作用。对于基础结构主控的DC，可以忽略性能和高可用性的要求。 ? 3、FSMO规划 ??? 如果域中只有一台DC，那么该DC将包含所有操作主控 ??? 将RID操作主控和PDC仿真器放在一台DC上。 ??? 一般来说，基础结构主控应该位于非GC的DC上。 ??? 在目录森级别上，架构主控和域命名主控应该放在同一台DC上。 ??? PDC仿真器建议建议单独放在一台DC上。 ? 二、实验环境： 参见前面Windows?Server?2008?R2之四管理Sysvol文件夹等系统教程。 森林中有两台DC，它们同时也时GC，分别是Win2008R2CNDC,WIN2008R2CNDC01. ? 三、实验任务： 查看操作主控 操作主控转移 操作主控强占 ? 四、操作步骤： 1、查看操作主控 可以通过命令netdom query fsmo查看角色情况，还可以在通过活动目录用户和计算机、活动目录域和信任管理控制台查看。 在图形状态查看架构主机，必须先运行regsvr32 schmmgmt进行注册。然后运行mmc,在文件菜单中选择添加删除管理单元，添加AD架构。 使用AD域和信任关系，查看域命名操作主控。 使用AD用户和计算机，查看另外三种主控。 ? ? 2、操作主控转移 操作主控的转移包括两种状况：自动转移和手动转移 自动转移：将DC降为成员服务器或独立服务器时，会将FSMO转移到一台并行的DC上 手动转移：可以手动将某一FSMO转移到某一台并行的DC。转移是可逆的。 手动转移的操作步骤： 在进行转移时，首先保证用于转移的两台DC在线 方法一：在GUI模式转移操作主控（以下以架构主控的转移为例，其它主控的转移略） 按上面所述的方法，启动AD 架构管理控台。要转移操作主控，首先要更改AD域控制器到目标DC上，然后选择操作主机进行转移。如下图 ? 对于域命名主机的转移，需要在AD域和信任关系中操作；另外三个域范围的操作主机，需要在活动目录用户和计算机中进行操作。操作方法如上类似,步骤略。 ? 方法二：使用Ntdsutil命令行进行转移 在命令行状态运行Ntdsutil，输入？显示帮助 输入roles命令回车。（在下图的帮助中，Seize开始的命令表示强占操作主控，Transfer开始的命令表示转移操作主控 输入Con