架构主机 schema master
架构主机的作用级别是林级别的
负责处理网域中所有针对物件结构的变更。控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的DC是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。
故障影响:更新Schema受影响 短期内一般看不到影响
典型问题如:无法安装Exchange
故障处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC

域命名主机 domain naming master
域命名主机的作用级别是林级别的
只有域命名主机可以向目录林中添加域或者删除域,保证域的名字在林中唯一。若域命名主机不可用,则无法在目录林中添加或删除域。为保证域的名字在林中唯一,域命名主机需要查询GC。若林功能级别为Windows 2000林模式,GC必须和域命名主机在同一台计算机上才行。若林功能级别为Windows Server 2003林模式,不要求GC必须和域命名主机非得在同一台计算机上。
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
1、向目录林中添加新域。
2、从目录林中删除现有的域。
3、添加或删除描述外部目录的交叉引用对象。
提示:建议与GC配置在一起 Enterprise Admins组
故障影响:更改域结构受影响 短期内一般看不到影响
典型问题如:添加/删除域
故障处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC

主域控制器模拟器 Primary Domain Controller Emulator Master
作用级别是域级别
1、可以被目前仍存在网域中的Windows NT Backup Domain Controller (备份网域控制站) 当做 Primary Domain Controller (主要网域控制站) 来呼叫使用,兼容NT4服务器。
2、管理运行NT、95/98计算机的密码变化,写入活动目录AD
3、优先成为主浏览器
4、Active Directory的优先复制权,正常情况下,Active Directory的复制周期是5分钟,但如果Active Directory中发生了一些紧急事件,例如修改了用户口令,这种情况下源域控制器就会在最短时间内通知PDC主机,由PDC主机来统一管理这些Active Directory的紧急事件。
5、同时它也是树系中提供Windows Time Service时间同步的主机。同步全域中的域控制器、成员计算机的时间。加入域的计算机,没有自己的时间。这是因为时间参数,在AD复制中是一个极为重要的因素,决定多主控复制时,谁的修改最终生效。所以整个域的时间,都由PDC仿真主机来控制。你可以手动修改域成员计算机上的时间,但当AD复制过后,又会被改回成PDC仿真主机上的时间。如果目录林是多层域结构,最终以林根域上的PDC仿真主机的时间为准。
6、防止重写GPO的可能,修改组策略设置,默认也是要连接到PDC仿真主控上才行。当然这个默认值是可以修改的,或者找不到PDC仿真主控时,系统会提示你连到其它DC。
提示:PDC模拟主机不仅仅是模拟NT PDC 一般负荷较大
故障影响:底端客户不能访问AD
不能更改域帐号密码
浏览服务问题
时间同步问题
故障处理:需要比较及时地恢复 可以临时抓取到其他DC 在原OM恢复后可以抓取回去

相对标识号主机 Relative ID Master
作用级别是域级别
管理域中对象相对标识符(RID)池,RID操作主机就是负责向域内的DC分配 RID 池,每一个 Windows 2000/03 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID操作主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。若DC分到的RID池被用尽,可以向RID操作主机自动再次申请。通过 RID主机,还可以在同一目录林中的不同域之间移动所有对象。当对象从一个域移动到另一个域上时,RID主控将该对象从域中删除。
故障影响:无法获得新的RID池分配
典型问题如:无法新建(大量)用户帐号
故障处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC

基础结构主控 Infrastructure Master
作用级别是域级别
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
基础结构主机不应该和GC在同一个DC上,应手动移走,否则将不起作用。
提示:单域情况下基础结构主机不需要工作 不能同时和GC配置在一起(单域控除外)
故障影响:外域帐号不能识别,标记为SID
故障处理:需要比较及时地恢复 可以临时抓取到其他DC 在原OM恢复后可以抓取回去

FSMO 放置的一般建议
将 RID 角色和 PDC 模拟器角色放置在同一 DC 上。最好保证从 PDC 到 RID 主机的良好通信,因为下级客户端和应用程序以 PDC 为目标,从而使 PDC 成为 RID 的主要使用者。将 FSMO 角色群集在较少的计算机上,也会更易于跟踪这些角色。

如果主要 FSMO 负载上的负载证明应该移动,请将 RID 角色和 PDC 模拟器角色放置在相同的域和 Active Directory 站点中互为直接复制伙伴的不同域控制器上。
一般说来,结构主机应该位于非全局目录服务器上,该服务器具有直接连接到目录林中某个全局目录的对象,最好是在同一 Active Directory 站点中。由于全局目录服务器保存目录林中每个对象的部分副本,因此结构主机(如果放在全局目录服务器上)一定不会再更新任何内容,因为它不包含对它不保存的对象的任何引用。”不要将结构主机放在全局目录服务器上”这一规则有两个例外为:
单域目录林:
在包含单个 Active Directory 域的目录林中没有 phantom,因此没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在域中的任一域控制器上。
多域目录林,其中的每个 域控制器都包含全局目录:
如果目录林中的每个域控制器也承载全局目录,则没有 phantom 或需要结构主机完成的任务。在这种情况下,可以将结构主机放在目录林中的任一域控制器上。
在目录林级别上,架构主机角色和域命名主机角色应该放置在同一域控制器上,因为它们很少使用且应该进行严格控制。另外,域命名主机 FSMO 也应该是全局目录服务器。
最重要的是,使用其中的一个管理控制台(如 Dsa.msc 或 Ntdsutil.exe)确认所有 FSMO 角色都是可用的。

文档更新时间: 2020-02-14 09:38   作者:月影鹏鹏