08R2---操作主控的管理

一、概述

操作主控（FSMO）也稱作操作主機（OM），它是指在AD中一個或多個特殊的DC，用來執行某些特殊的功能（資源標識符SID分配、架構修改、PDC選擇等）。

 

1、操作主控的分類

基於森林的操作主控：（在每個林中，每個林的操作主控只出現一次）

    架構主控（Schema Master)

    域命名主控（Domain Naming Master）

基於域範圍的主控：（在林中的每個域只出現一次）

    PDC仿真器（PDC Emunlator）

    RID主控（RID Master)

    基礎結構主控（Infrastructure Master)

 

2、操作主控的作用

    架構主控（Schema Master):它主要負責修改活動目錄的數據源。具備架構主控的DC，由於很少架構進行拓展（但安裝Exchange,lcs需要對其進行修改），所以只需保證可性用性。同時，要拓展架構，用戶必須具有Schema Admins組的權限。

    域命名主控（Domain Naming Master）:主要負責森林中域的增加或者刪除。對於具備域命名主控的主機不需要高性能，但是要保證高可用性。

    PDC仿真器（PDC Emunlator）：主要負責處理密碼驗證要求、統一域內時間、向域內的NT4 BDC提供複製數據源、修改組策略模板、提供對老版本（Windows 2000)的支持。由於PDC仿真器是五種主控中任務最繁重的，所以具有PDC仿真器的DC必須要有高性能和高可用性。

    RID主控（RID Master)：主要作用是分配RID池給域內的DC和防止安全主體的SID的重複。每次當DC創建用戶、組或計算機對對象時，就會給該對象產生一個唯一的安全ID（SID）。SID包括一個域的SID和一個RID。對於運行RID主控的DC，性能沒有太高的要求同，但必須保證其高可用性。

    基礎結構主控（Infrastructure Master)：負責更新從它所在的域中的對象到其他域中對象的引用。在活動目錄中，有可能一些用戶從一個OU轉移到另外一個OU，那麼用戶的DNS名就會發生變化，這時其他域中對這個用戶的引用也會發生變化。這種變化就是基礎結構主控來完成。在活目錄森林中只一個域或者森林中的所有DC都是GC的情況下，基礎結構主控將會不起作用。對於基礎結構主控的DC，可以忽略性能和高可用性的要求。

 

3、FSMO規劃

    如果域中只有一臺DC，那麼該DC將包含所有操作主控

    將RID操作主控和PDC仿真器放在一臺DC上。

    一般來說，基礎結構主控應該位於非GC的DC上。

    在目錄森級別上，架構主控和域命名主控應該放在同一臺DC上。

    PDC仿真器建議建議單獨放在一臺DC上。

 

二、實驗環境：

森林中有兩臺DC，它們同時也時GC，分別是Win2008R2CNDC,WIN2008R2CNDC01.

 

三、實驗任務：

查看操作主控

操作主控轉移

操作主控強佔

 

四、操作步驟：

1、查看操作主控

可以通過命令netdom query fsmo查看角色情況，還可以在通過活動目錄用戶和計算機、活動目錄域和信任管理控制檯查看。

在圖形狀態查看架構主機，必須先運行regsvr32 schmmgmt進行註冊。然後運行mmc,在文件菜單中選擇添加刪除管理單元，添加AD架構。

使用AD域和信任關係，查看域命名操作主控。

使用AD用戶和計算機，查看另外三種主控。

 

 

2、操作主控轉移

操作主控的轉移包括兩種狀況：自動轉移和手動轉移

自動轉移：將DC降爲成員服務器或獨立服務器時，會將FSMO轉移到一臺並行的DC上

手動轉移：可以手動將某一FSMO轉移到某一臺並行的DC。轉移是可逆的。

手動轉移的操作步驟：

在進行轉移時，首先保證用於轉移的兩臺DC在線

方法一：在GUI模式轉移操作主控（以下以架構主控的轉移爲例，其它主控的轉移略）

按上面所述的方法，啓動AD 架構管理控臺。要轉移操作主控，首先要更改AD域控制器到目標DC上，然後選擇操作主機進行轉移。如下圖

 

對於域命名主機的轉移，需要在AD域和信任關係中操作；另外三個域範圍的操作主機，需要在活動目錄用戶和計算機中進行操作。操作方法如上類似,步驟略。

 

方法二：使用Ntdsutil命令行進行轉移

在命令行狀態運行Ntdsutil，輸入？顯示幫助

輸入roles命令回車。（在下圖的幫助中，Seize開始的命令表示強佔操作主控，Transfer開始的命令表示轉移操作主控

輸入Connections,回車

輸入Connect to server win2008r2cndc01.hbycrsj.com連接到目標DC。

輸入QUIT回到上一級操作。

輸入Transfer Schema Master,回車。出現確認對話框，選擇是完成操作。

對於其它四種操作主控的轉移略。

3、操作主控強佔

強佔操作主控一般用在當擁有操作主控的DC由於硬件故障無法運行時才使用。

它的操作只能使用Ntdsutil命令行完成。操作如上面介紹“方法二：使用Ntdsutil命令行進行轉移”，只是在操作命令上選擇Seize的命令。

操作過程（略）