FSMO是Flexible single master operation的縮寫,意思就是靈活單主機操作。營運主機(Operation Masters,又稱爲Flexible Single Master Operation,即FSMO)是被設置爲擔任提供特定角色信息的網域控制站,在每一個活動目錄網域中,至少會存在三種營運主機的角色。但對於大型的網絡,整個域森林中,存在5種重要的FSMO角色.而且這些角色都是唯一的。
五大角色:
1、森林級別(一個森林只存在一臺DC有這個角色):
(1)、Schema Master(也叫Schema Owner):架構主控
(2)、Domain Naming Master:域命名主控
2、域級別(一個域裏面只存一臺DC有這個角色):
(1)、PDC Emulator :PDC仿真器
(2)、RID Master :RID主控
(3)、Infrastructure Master :結構主控
對於查詢FSMO主機的方式有很多,本人一般在命令行下,用netdom query fsmo命令查詢.要注意的是本命令需要安裝windows 的Support Tools.
五種角色主控有什麼作用?
1、 Schema Master(架構主控)
作用是修改活動目錄的源數據。我們知道在活動目錄裏存在着各種各樣的對像,比如用戶、計算機、打印機等,這些對像有一系列的屬性,活動目錄本身就是一個數據庫,對象和屬性之間就好像表格一樣存在着對應關係,那麼這些對像和屬性之間的關係是由誰來定義的,就是Schema Master,如果大家部署過Exchange的話,就會知道Schema是可以被擴展的,但需要大家注意的是,擴展Schema一定是在Schema Master進行擴展的,在其它域控制器上或成員服務器上執行擴展程序,實際上是通過網絡把數據傳送到Schema上然後再在Schema Master上進行擴展的,要擴展Schema就必須具有Schema Admins組的權限纔可以。
建議:在佔有Schema Master的域控制器上不需要高性能,因爲我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchange或LCS之類的軟件時會出錯。
2、 Domain Naming Master (域命名主控)
這也是一個森林級別的角色,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話,那麼就必須要和Domain Naming Master進行聯繫,如果Domain Naming Master處於Down機狀態的話,你的添加和刪除操作那上肯定會失敗的。
建議:對佔有Domain Naming Master的域控制器同樣不需要高性能,我想沒有一個網絡管理員會經常在森林裏添加或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法添加刪除森裏的域了。
3、 PDC Emulator (PDC仿真器)
在前面已經提過了,Windows 2000域開始,不再區分PDC還是BDC,但實際上有些操作則必須要由PDC來完成,那麼這些操作在Windows 2000域裏面怎麼辦呢?那就由PDC Emulator來完成,主要是以下操作:
⑴、處理密碼驗證要求;
在默認情況下,Windows 2000域裏的所有DC會每5分鐘複製一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會先被複制到PDC Emulator,然後由PDC Emulator觸發一個即時更新,以保證密碼的實時性,當然,實際上由於網絡複製也是需要時間的,所以還是會存在一定的時間差,至於這個時間差是多少,則取決於你的網絡規模和線路情況。
⑵、統一域內的時間;
微軟活動目錄是用Kerberos協議來進行身份認證的,在默認情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式***。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的。
⑶、向域內的NT4 BDC提供複製數據源;
對於一些新建的網絡,不大會存在Windows 2000域裏包含NT4的BDC的現象,但是對於一些從NT4升級而來的Windows 2000域卻很可能存有這種情況,這種情況下要向NT4 BDC複製,就需要PDC Emulator。
⑷、統一修改組策略的模板;
⑸、對Windows 2000以前的操作系統,如WIN98之類的計算機提供支持;
對於Windows 2000之前的操作系統,它們會認爲自己加入的是NT4域,所以當這些機器加入到Windows 2000域時,它們會嘗試聯繫PDC,而實際上PDC已經不存在了,所以PDC Emulator就會成爲它們的聯繫對象!
建議:從上面的介紹裏大家應該看出來了,PDC Emulator是FSMO五種角色裏任務最重的,所以對於佔用PDC Emulator的域控制器要保證高性能和高可用性。
4、RID Master (RID主控)
在Windows 2000的安全子系統中,用戶的標識不取決於用戶名,雖然我們在一些權限設置時用的是用戶名,但實際上取決於安全主體SID,所以當兩個用戶的SID一樣的時候,儘管他們的用戶名可能不一樣,但Windows的安全子系統中會把他們認爲是同一個用戶,這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID,那麼如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重複。
建議:對於佔有RID Master的域控制器,其實也沒有必要一定要求高性能,因爲我們很少會經常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了,當然高可用性是必不可少的,否則就沒有辦法添加用戶了。
5、 Infrastructure Master (結構主控)
FSMO的五種角色中最無關緊要的可能就是這個角色了,它的主要作用就是用來更新組的成員列表,因爲在活動目錄中很有可能有一些用戶從一個OU轉移到另外一個OU,那麼用戶的DN名就發生變化,這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。
建議:其實在活動目錄森林裏僅僅只有一個域或者森林裏所有的域控制器都是GC(全局編錄)的情況下,Infrastructure Master根本不起作用,所以一般情況下對於佔有Infrastructure Master的域控制器往忽略性能和可能性。
在FSMO的規劃時,請大家按以下原則進行:
1、佔有Domain Naming Master角色的域控制器必須同時也是GC;
2、不能把Infrastructure Master和GC放在同一臺DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;
4、建議將Schema Master和Domain Naming Master放在同一臺域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;
6、儘量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上;
--以上內容參考自百度百科:
http://baike.baidu.com/view/1623435.htm
——————————————————————————————————————————————————
對FSMO角色的操作,即更改角色的操作主機(傳送或抓取,抓取也叫佔用)
我們在安裝完第一臺主DC後,一定會再安裝第二臺DC做爲額外DC,以保持其域的安全可靠。從額外DC角色轉換爲主DC角色可以有二種方法——通用FSMO的傳送或抓取來實現。
1、傳送:當主DC工作正常,但出於某些原因要將其上的FSMO角色主機傳到其它額外DC上時可以使用“傳送”方式。
2、抓取:當主DC工作出現嚴重故障,AD工作不正常時,如:操作系統故障且AD無法修復,亦或是硬件問題不能開機等原因,這時我們可以用“抓取”方式。
一、傳送(使用圖形化界面操作)
1、除Schema Master(也叫Schema Owner):架構主控外,其它四個角色主控都可以通過下面這個方式進行操作:
1)打開服務器管理器,找到 [角色] --> [Active Directory 域服務] ,然後右建點擊 [Active Directory 用戶和計算機]
在 [所有任務] 中,先選擇 [更改域控制器] (此步驟是讓此DC計算機直接連接到另一臺額外DC計算機上的主控)
2)選擇要傳送的DC(聯機的即爲當前是主控角色)
3)之後再回到第一步,重新找到 [角色] --> [Active Directory 域服務] ,然後右建點擊 [Active Directory 用戶和計算機]
在 [所有任務] 中,先選擇 [操作主機] 。然後單擊 [更改] 就可以將此角色主控傳送到剛纔選擇的額外DC上去。
注:在這裏,域級別的三個角色主控RID、PDC、Infrastructure Master都在這裏操作。另一個域林級別的Domain Naming Master:域命名主控則需要在[角色] --> [Active Directory 站點和服務]中右鍵單擊進行操作,操作方式與這裏一樣。
2、架構主控的傳送操作有一點點麻煩,因爲微軟爲了安全考慮並沒有默認安裝架構主控的管理單元。所以我們要自己手動安裝並在MMC中添加一下。方法如下:
1)用管理員身份運行CMD(一定要管理員身份哦!不然下面註冊時會報錯)
2)在命令行中輸入:regsvr32 schmmgmt.dll
然後回車!
3)在命令窗口輸入:mmc
回車後會彈出 [控制檯] 窗口
4)在管理臺中,點擊 [文件] --> [添加/刪除管理單元]
5)在添加或刪除管理單元中找到剛纔註冊的 [Active Directory 架構] 單元,然後點 [添加],之後確定
6)還是和前面一樣,在架構單元上點右鍵,先要選擇 [更改Active Directory 域控制器] ,將管理的單元直接切換到另一個將要傳送角色的額外DC上,之後再點擊 [操作主機]
7)在彈出的窗口中點擊更改,就可以將架構主控從DC傳送到DC2上。
到此,主控上的五大主控都傳送到另一臺額外DC上去了。這時額外DC就成了真正意義上的主控DC,而原主控DC剛成了額外了。(注意,windows2003開始,已經沒有主和副的概念了,只有主DC和額外DC,所有DC都是平等的,誰擔任了這五大FSMO主控角色誰就是主DC)。之後,可以把用戶的DNS指向新的這臺DC(已有DNS服務)。或將原主控DC下線,把新的DC改IP爲原主DC(不推薦改新DC主機的IP方式,這樣做存在一些可可見的風險)
二、抓取,也叫佔用(抓取只能使用命令行工具,傳送也可以用命令行方式)
打開“命令提示符”。
鍵入:
ntdsutil
在 ntdsutil 命令提示符下,鍵入:
roles
在 fsmo maintenance 命令提示符下,鍵入:
connection
在 server connection 命令提示符下,鍵入:
connect to serverDomainController
在 server connection 命令提示符下,鍵入:
quit
在 fsmo maintenance 命令提示符下,鍵入:
第6步的命令可以改爲以下:
-抓取角色命令-
佔用 RID 主機角色
seize RID master
佔用 PDC 模擬器角色
seize PDC
佔用結構主機角色
seize infrastructure master
佔用域命名主機角色
seize domain naming master
佔用架構主機角色
seize schema master
-傳送角色命令-
轉移 RID 主機角色
transfer RID master
轉移 PDC 模擬器角色
transfer PDC
轉移結構主機角色
FSMO是Flexible single master operation的縮寫,意思就是靈活單主機操作。營運主機(Operation Masters,又稱爲Flexible Single Master Operation,即FSMO)是被設置爲擔任提供特定角色信息的網域控制站,在每一個活動目錄網域中,至少會存在三種營運主機的角色。但對於大型的網絡,整個域森林中,存在5種重要的FSMO角色.而且這些角色都是唯一的。
五大角色:
1、森林級別(一個森林只存在一臺DC有這個角色):
(1)、Schema Master(也叫Schema Owner):架構主控
(2)、Domain Naming Master:域命名主控
2、域級別(一個域裏面只存一臺DC有這個角色):
(1)、PDC Emulator :PDC仿真器
(2)、RID Master :RID主控
(3)、Infrastructure Master :結構主控
對於查詢FSMO主機的方式有很多,本人一般在命令行下,用netdom query fsmo命令查詢.要注意的是本命令需要安裝windows 的Support Tools.
五種角色主控有什麼作用?
1、 Schema Master(架構主控)
作用是修改活動目錄的源數據。我們知道在活動目錄裏存在着各種各樣的對像,比如用戶、計算機、打印機等,這些對像有一系列的屬性,活動目錄本身就是一個數據庫,對象和屬性之間就好像表格一樣存在着對應關係,那麼這些對像和屬性之間的關係是由誰來定義的,就是Schema Master,如果大家部署過Exchange的話,就會知道Schema是可以被擴展的,但需要大家注意的是,擴展Schema一定是在Schema Master進行擴展的,在其它域控制器上或成員服務器上執行擴展程序,實際上是通過網絡把數據傳送到Schema上然後再在Schema Master上進行擴展的,要擴展Schema就必須具有Schema Admins組的權限纔可以。
建議:在佔有Schema Master的域控制器上不需要高性能,因爲我們不是經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少,但我們必須保證可用性,否則在安裝Exchange或LCS之類的軟件時會出錯。
2、 Domain Naming Master (域命名主控)
這也是一個森林級別的角色,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話,那麼就必須要和Domain Naming Master進行聯繫,如果Domain Naming Master處於Down機狀態的話,你的添加和刪除操作那上肯定會失敗的。
建議:對佔有Domain Naming Master的域控制器同樣不需要高性能,我想沒有一個網絡管理員會經常在森林裏添加或者刪除域吧?當然高可用性是有必要的,否則就沒有辦法添加刪除森裏的域了。
3、 PDC Emulator (PDC仿真器)
在前面已經提過了,Windows 2000域開始,不再區分PDC還是BDC,但實際上有些操作則必須要由PDC來完成,那麼這些操作在Windows 2000域裏面怎麼辦呢?那就由PDC Emulator來完成,主要是以下操作:
⑴、處理密碼驗證要求;
在默認情況下,Windows 2000域裏的所有DC會每5分鐘複製一次,但有一些情況是例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會先被複制到PDC Emulator,然後由PDC Emulator觸發一個即時更新,以保證密碼的實時性,當然,實際上由於網絡複製也是需要時間的,所以還是會存在一定的時間差,至於這個時間差是多少,則取決於你的網絡規模和線路情況。
⑵、統一域內的時間;
微軟活動目錄是用Kerberos協議來進行身份認證的,在默認情況下,驗證方與被驗證方之間的時間差不能超過5分鐘,否則會被拒絕通過,微軟這種設計主要是用來防止回放式***。所以在域內的時間必須是統一的,這個統一時間的工作就是由PDC Emulator來完成的。
⑶、向域內的NT4 BDC提供複製數據源;
對於一些新建的網絡,不大會存在Windows 2000域裏包含NT4的BDC的現象,但是對於一些從NT4升級而來的Windows 2000域卻很可能存有這種情況,這種情況下要向NT4 BDC複製,就需要PDC Emulator。
⑷、統一修改組策略的模板;
⑸、對Windows 2000以前的操作系統,如WIN98之類的計算機提供支持;
對於Windows 2000之前的操作系統,它們會認爲自己加入的是NT4域,所以當這些機器加入到Windows 2000域時,它們會嘗試聯繫PDC,而實際上PDC已經不存在了,所以PDC Emulator就會成爲它們的聯繫對象!
建議:從上面的介紹裏大家應該看出來了,PDC Emulator是FSMO五種角色裏任務最重的,所以對於佔用PDC Emulator的域控制器要保證高性能和高可用性。
4、RID Master (RID主控)
在Windows 2000的安全子系統中,用戶的標識不取決於用戶名,雖然我們在一些權限設置時用的是用戶名,但實際上取決於安全主體SID,所以當兩個用戶的SID一樣的時候,儘管他們的用戶名可能不一樣,但Windows的安全子系統中會把他們認爲是同一個用戶,這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID,那麼如何避免這種情況?這就需要用到RID Master,RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重複。
建議:對於佔有RID Master的域控制器,其實也沒有必要一定要求高性能,因爲我們很少會經常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了,當然高可用性是必不可少的,否則就沒有辦法添加用戶了。
5、 Infrastructure Master (結構主控)
FSMO的五種角色中最無關緊要的可能就是這個角色了,它的主要作用就是用來更新組的成員列表,因爲在活動目錄中很有可能有一些用戶從一個OU轉移到另外一個OU,那麼用戶的DN名就發生變化,這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。
建議:其實在活動目錄森林裏僅僅只有一個域或者森林裏所有的域控制器都是GC(全局編錄)的情況下,Infrastructure Master根本不起作用,所以一般情況下對於佔有Infrastructure Master的域控制器往忽略性能和可能性。
在FSMO的規劃時,請大家按以下原則進行:
1、佔有Domain Naming Master角色的域控制器必須同時也是GC;
2、不能把Infrastructure Master和GC放在同一臺DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;
4、建議將Schema Master和Domain Naming Master放在同一臺域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;
6、儘量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上;
--以上內容參考自百度百科:
http://baike.baidu.com/view/1623435.htm
——————————————————————————————————————————————————
對FSMO角色的操作,即更改角色的操作主機(傳送或抓取,抓取也叫佔用)
我們在安裝完第一臺主DC後,一定會再安裝第二臺DC做爲額外DC,以保持其域的安全可靠。從額外DC角色轉換爲主DC角色可以有二種方法——通用FSMO的傳送或抓取來實現。
1、傳送:當主DC工作正常,但出於某些原因要將其上的FSMO角色主機傳到其它額外DC上時可以使用“傳送”方式。
2、抓取:當主DC工作出現嚴重故障,AD工作不正常時,如:操作系統故障且AD無法修復,亦或是硬件問題不能開機等原因,這時我們可以用“抓取”方式。
一、傳送(使用圖形化界面操作)
1、除Schema Master(也叫Schema Owner):架構主控外,其它四個角色主控都可以通過下面這個方式進行操作:
1)打開服務器管理器,找到 [角色] --> [Active Directory 域服務] ,然後右建點擊 [Active Directory 用戶和計算機]
在 [所有任務] 中,先選擇 [更改域控制器] (此步驟是讓此DC計算機直接連接到另一臺額外DC計算機上的主控)
2)選擇要傳送的DC(聯機的即爲當前是主控角色)
3)之後再回到第一步,重新找到 [角色] --> [Active Directory 域服務] ,然後右建點擊 [Active Directory 用戶和計算機]
在 [所有任務] 中,先選擇 [操作主機] 。然後單擊 [更改] 就可以將此角色主控傳送到剛纔選擇的額外DC上去。
注:在這裏,域級別的三個角色主控RID、PDC、Infrastructure Master都在這裏操作。另一個域林級別的Domain Naming Master:域命名主控則需要在[角色] --> [Active Directory 站點和服務]中右鍵單擊進行操作,操作方式與這裏一樣。
2、架構主控的傳送操作有一點點麻煩,因爲微軟爲了安全考慮並沒有默認安裝架構主控的管理單元。所以我們要自己手動安裝並在MMC中添加一下。方法如下:
1)用管理員身份運行CMD(一定要管理員身份哦!不然下面註冊時會報錯)
2)在命令行中輸入:regsvr32 schmmgmt.dll
然後回車!
3)在命令窗口輸入:mmc
回車後會彈出 [控制檯] 窗口
4)在管理臺中,點擊 [文件] --> [添加/刪除管理單元]
5)在添加或刪除管理單元中找到剛纔註冊的 [Active Directory 架構] 單元,然後點 [添加],之後確定
6)還是和前面一樣,在架構單元上點右鍵,先要選擇 [更改Active Directory 域控制器] ,將管理的單元直接切換到另一個將要傳送角色的額外DC上,之後再點擊 [操作主機]
7)在彈出的窗口中點擊更改,就可以將架構主控從DC傳送到DC2上。
到此,主控上的五大主控都傳送到另一臺額外DC上去了。這時額外DC就成了真正意義上的主控DC,而原主控DC剛成了額外了。(注意,windows2003開始,已經沒有主和副的概念了,只有主DC和額外DC,所有DC都是平等的,誰擔任了這五大FSMO主控角色誰就是主DC)。之後,可以把用戶的DNS指向新的這臺DC(已有DNS服務)。或將原主控DC下線,把新的DC改IP爲原主DC(不推薦改新DC主機的IP方式,這樣做存在一些可可見的風險)
二、抓取,也叫佔用(抓取只能使用命令行工具,傳送也可以用命令行方式)
打開“命令提示符”。
鍵入:
ntdsutil
在 ntdsutil 命令提示符下,鍵入:
roles
在 fsmo maintenance 命令提示符下,鍵入:
connection
在 server connection 命令提示符下,鍵入:
connect to serverDomainController
在 server connection 命令提示符下,鍵入:
quit
在 fsmo maintenance 命令提示符下,鍵入:
第6步的命令可以改爲以下:
-抓取角色命令-
佔用 RID 主機角色
seize RID master
佔用 PDC 模擬器角色
seize PDC
佔用結構主機角色
seize infrastructure master
佔用域命名主機角色
seize domain naming master
佔用架構主機角色
seize schema master
-傳送角色命令-
轉移 RID 主機角色
transfer RID master
轉移 PDC 模擬器角色
transfer PDC
轉移結構主機角色
transfer infrastructure master
轉移域命名主機角色
transfer domain naming master
轉移架構主機角色
transfer schema master
以上內容參考微軟官方網站:
http://technet.microsoft.com/zh-cn/library/cc776474(WS.10).aspx
transfer infrastructure master
轉移域命名主機角色
transfer domain naming master
轉移架構主機角色
transfer schema master
以上內容參考微軟官方網站:
http://technet.microsoft.com/zh-cn/library/cc776474(WS.10).aspx