操作主机基本概念及优化设置 - Active Directory - 技术中国 中国最专业...

操作主机基本概念
Active Directory 定义了五种操作主机角色（又称FSMO）：
1.架构主机 schema master
2.域命名主机 domain naming master
3.相对标识号 (RID) 主机 RID master
4.主域控制器模拟器 (PDCE)
5.基础结构主机 infrastructure master
而每种操作主机角色负担不同的工作，具有不同的功能：
1.
架构主机
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。
2.
域命名主机
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
3.
相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机
4.
PDCE
主域控制器模拟器提供以下主要功能：
向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的目录服务环境。本机 Windows server 2000（2003，2008）环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的，目录林中的每个域都有自己的PDCE。
5.
基础结构主机
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

有一个域的目录林有五个角色。目录林中的每个其他域都会添加三个域范围角色。可以使用公式（（域数 * 3）+2），确定目录林中的 FSMO 角色数和潜在的 FSMO 角色所有者数。
具有三个域的目录林（域 A.com、子域 B.A.com 和孙域 C.B.A.com）有 11 个 FSMO 角色：
1 个架构主机 - 目录林范围的A.COM
1 个域命名主机 - 目录林范围的 A.COM
3个 PDC 模拟器（A.com、B.A.com 和 C.B.A.com）
3 个 RID 主机（A.com、B.A.com 和 C.B.A.com）
对应于各个域的 3 个结构主机。（A.com、B.A.com 和 C.B.A.com）
当创建目录林的第一个域控制器 (DC) 时，系统将所有五种角色都分配给它。当您在现有目录林中创建新域的第一个DC 时，系统将所有三种域角色都分配给它。在包含 Windows 2000 （2003.2008）和 NT 4.0 域控制器的混合模式域中，只有 Windows 2000(2003.2008）
域控制器才能包含任一域范围或目录林范围的 FSMO 角色。

操作主机的可用性和放置

Windows 2000 执行域控制器上角色的初始放置。对于具有很少DC的目录，此放置通常是正确的。在具有许多域控制器的目录中，默认放置与您的网络不大可能是最佳匹配。

根据每个域，选择本地的主要和备用 FSMO 域控制器，以防在主要 FSMO 所有者上发生失败。此外，您可能希望选择站点之外的备用所有者，以防发生站点特定的灾难。请在您的选择条件中考虑以下内容：

·
如果域只有一个域控制器，则该 DC 包含所有的每域角色。

·
如果域有多个域控制器，则使用 Active Directory 站点和服务管理器，通过"连接良好的"持续性链接选择直接复制伙伴。

·
备用服务器可能与主要 FSMO 服务器位于同一站点中，以便在大的计算机组中获得更快的复制汇聚一致性；备用服务器也可能位于远程站点中以防在主要位置发生站点特定的灾难。

·
当备用 DC 位于远程站点中时，请确保将连接配置为用于通过持续性链接的连续复制。

FSMO 放置的一般建议

·
将 RID 角色和 PDC 模拟器角色放置在同一 DC 上。最好保证从 PDC 到 RID 主机的良好通信，因为下级客户端和应用程序以 PDC 为目标，从而使 PDC 成为 RID 的主要使用者。将 FSMO 角色群集在较少的计算机上，也会更易于跟踪这些角色。

如果主要 FSMO 负载上的负载证明应该移动，请将 RID 角色和 PDC 模拟器角色放置在相同的域和 Active Directory 站点中互为直接复制伙伴的不同域控制器上。

·
一般说来，结构主机应该位于非全局目录服务器上，该服务器具有直接连接到目录林中某个全局目录的对象，最好是在同一 Active Directory 站点中。由于全局目录服务器保存目录林中每个对象的部分副本，因此结构主机（如果放在全局目录服务器上）一定不会再更新任何内容，因为它不包含对它不保存的对象的任何引用。"不要将结构主机放在全局目录服务器上"这一规则有两个例外为：

o
单域目录林：

在包含单个 Active Directory 域的目录林中没有 phantom，因此没有需要结构主机完成的任务。在这种情况下，可以将结构主机放在域中的任一域控制器上。

o
多域目录林，其中的每个
域控制器都包含全局目录：

如果目录林中的每个域控制器也承载全局目录，则没有 phantom 或需要结构主机完成的任务。在这种情况下，可以将结构主机放在目录林中的任一域控制器上。

·
在目录林级别上，架构主机角色和域命名主机角色应该放置在同一域控制器上，因为它们很少使用且应该进行严格控制。另外，域命名主机 FSMO 也应该是全局目录服务器。

最重要的是，使用其中的一个管理控制台（如 Dsa.msc 或 Ntdsutil.exe）确认所有 FSMO 角色都是可用的。