Windows Server R2 之05 操作主控的管理.docx

Windows Server R2 之05 操作主控的管理.docx

《Windows Server R2 之05 操作主控的管理.docx》由会员分享，可在线阅读，更多相关《Windows Server R2 之05 操作主控的管理.docx（8页珍藏版）》请在冰豆网上搜索。

WindowsServerR2之05操作主控的管理

一、概述

操作主控（FSMO）也称作操作主机（OM），它是指在AD中一个或多个特殊的DC，用来执行某些特殊的功能（资源标识符SID分配、架构修改、PDC选择等）。

1、操作主控的分类

基于森林的操作主控：

（在每个林中，每个林的操作主控只出现一次）

   架构主控（SchemaMaster）

   域命名主控（DomainNamingMaster）

基于域范围的主控：

（在林中的每个域只出现一次）

   PDC仿真器（PDCEmunlator）

   RID主控（RIDMaster）

   基础结构主控（InfrastructureMaster）

2、操作主控的作用

   架构主控（SchemaMaster）:

它主要负责修改活动目录的数据源。

具备架构主控的DC，由于很少架构进行拓展（但安装Exchange,lcs需要对其进行修改），所以只需保证可性用性。

同时，要拓展架构，用户必须具有SchemaAdmins组的权限。

   域命名主控（DomainNamingMaster）:

主要负责森林中域的增加或者删除。

对于具备域命名主控的主机不需要高性能，但是要保证高可用性。

   PDC仿真器（PDCEmunlator）：

主要负责处理密码验证要求、统一域内时间、向域内的NT4BDC提供复制数据源、修改组策略模板、提供对老版本（Windows2000）的支持。

由于PDC仿真器是五种主控中任务最繁重的，所以具有PDC仿真器的DC必须要有高性能和高可用性。

   RID主控（RIDMaster）：

主要作用是分配RID池给域内的DC和防止安全主体的SID的重复。

每次当DC创建用户、组或计算机对对象时，就会给该对象产生一个唯一的安全ID（SID）。

SID包括一个域的SID和一个RID。

对于运行RID主控的DC，性能没有太高的要求同，但必须保证其高可用性。

   基础结构主控（InfrastructureMaster）：

负责更新从它所在的域中的对象到其他域中对象的引用。

在活动目录中，有可能一些用户从一个OU转移到另外一个OU，那么用户的DNS名就会发生变化，这时其他域中对这个用户的引用也会发生变化。

这种变化就是基础结构主控来完成。

在活目录森林中只一个域或者森林中的所有DC都是GC的情况下，基础结构主控将会不起作用。

对于基础结构主控的DC，可以忽略性能和高可用性的要求。

3、FSMO规划

   如果域中只有一台DC，那么该DC将包含所有操作主控

   将RID操作主控和PDC仿真器放在一台DC上。

   一般来说，基础结构主控应该位于非GC的DC上。

   在目录森级别上，架构主控和域命名主控应该放在同一台DC上。

   PDC仿真器建议建议单独放在一台DC上。

二、实验环境：

参见前面Windows Server 2008 R2之四管理Sysvol文件夹等系统教程。

森林中有两台DC，它们同时也时GC，分别是Win2008R2CNDC,WIN2008R2CNDC01.

三、实验任务：

查看操作主控

操作主控转移

操作主控强占

四、操作步骤：

1、查看操作主控

可以通过命令netdomqueryfsmo查看角色情况，还可以在通过活动目录用户和计算机、活动目录域和信任管理控制台查看。

在图形状态查看架构主机，必须先运行regsvr32schmmgmt进行注册。

然后运行mmc,在文件菜单中选择添加删除管理单元，添加AD架构。

使用AD域和信任关系，查看域命名操作主控。

使用AD用户和计算机，查看另外三种主控

2、操作主控转移

操作主控的转移包括两种状况：

自动转移和手动转移

自动转移：

将DC降为成员服务器或独立服务器时，会将FSMO转移到一台并行的DC上

手动转移：

可以手动将某一FSMO转移到某一台并行的DC。

转移是可逆的。

手动转移的操作步骤：

在进行转移时，首先保证用于转移的两台DC在线

方法一：

在GUI模式转移操作主控（以下以架构主控的转移为例，其它主控的转移略）

按上面所述的方法，启动AD架构管理控台。

要转移操作主控，首先要更改AD域控制器到目标DC上，然后选择操作主机进行转移。

如下图

对于域命名主机的转移，需要在AD域和信任关系中操作；另外三个域范围的操作主机，需要在活动目录用户和计算机中进行操作。

操作方法如上类似,步骤略。

方法二：

使用Ntdsutil命令行进行转移

在命令行状态运行Ntdsutil，输入？

显示帮助

输入roles命令回车。

（在下图的帮助中，Seize开始的命令表示强占操作主控，Transfer开始的命令表示转移操作主控

输入Connections,回车

输入Connecttoserver连接到目标DC。

输入QUIT回到上一级操作。

输入TransferSchemaMaster,回车。

出现确认对话框，选择是完成操作。

对于其它四种操作主控的转移略。

3、操作主控强占

强占操作主控一般用在当拥有操作主控的DC由于硬件故障无法运行时才使用。

它的操作只能使用Ntdsutil命令行完成。

操作如上面介绍“方法二：

使用Ntdsutil命令行进行转移”，只是在操作命令上选择Seize的命令。

操作过程（略）