?FSMO（Flexible Single Master Operation靈活的單主機操作），在說明FSMO的作用以前，先給大家介紹兩個概念:

??? 單主機復制：就是從一個地方向其他地方復制，主要應用在以前的NT4域內，在NT4域時代，于網絡上分PDC和BDC，所有復制都是從PDC到BDC上進行的，所以在網絡上對域修改必須要在PDC上進行，在BDC上修改是無效的。

??? 多主機復制：相對單主機而言，它是指所有的域控制器之間進行相互復制，從windows開始不再網路上區分PDC和PDC,所有的域控制器都是等價的，在任意一臺上修改，都會被復制到其他的域控制器上。

??? 從windows 2000開始，域控制器去取決域它是網絡中的地幾臺控制器，取決域FSMON的五種角色：

???? Active Directory 安裝向導 (Dcpromo.exe) 將這五種 FSMO 角色全部分配給林根域中的第一臺域控制器。每個新子域或樹域中的第一臺域控制器將獲得三個域范圍的角色。

??? 1. 森里級別（即一個森里只存在一臺DC有這個角色）
??????
?????? （1） Schema Master? 架構主機
????????用來修改活動目錄的源數據。我們知道在活動目錄里存在著各種各樣的對像，比如用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄本身就是一個數據庫，對像和屬性之間就好像表格一樣存在著對應關?系，那么這些對像和屬性之間的關系是由誰來定義的，就是Schema Master。Sechema是可以擴展的，但是必須在?Schema Master上擴展。

??????? 建議:在占有Schema Master的域控制器上不需要高性能，因為我們不是經常對Schema進行操作的，除非是經常會對Schema進行擴展，不過這種情況非常的少，但我們必須保證可用性，否則在安裝Exchnage或LCS之類的軟件時會出錯。

???? （2）Domain Naming Master 域命名主控
????? 它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的?話，那么就必須要和Domain Naming Master進行聯系，如果Domain Naming Master處于Down機狀態的話，你的添?加和刪除操作那上肯定會失敗的。
?　　?建議:對占有Domain Naming Master的域控制器同樣不需要高性能，我想沒有一個網絡管理員會經常在森林里添加或者刪除域吧?當然高可用性是有必要的，否則就沒有辦法添加刪除森里的域了。
????
??? 2. 域級別 （即一個域里只存在一臺有個角色）

??????? (1) PDC Emulator? PDC仿真器
????????在前面已經提過了，Windows 2000域開始，不再區分PDC還是BDC，但實際上有些操作則必須要由PDC來完成，那么這些操作在Windows 2003域里面怎么辦呢?那就由PDC Emulator來完成，主要是以下操作:
???
??????? A. 處理密碼驗證要求;
　　?????? 在默認情況下，Windows 2003域里的所有DC會每5分鐘復制一次，但有一些情況是例外的，比如密碼的修改，一般情況下，一旦密碼被修改，會先被復制到PDC Emulator，然后由PDC Emulator觸發一個即時更新，以保證密碼的實時性，當然，實際上由于網絡復制也是需要時間的，所以還是會存在一定的時間差，至于這個時間差是多少，則取決于你的網絡規模和線路情況。
???????
??????? B.統一域內的時間;
　　?????? 微軟活動目錄是用Kerberos協議來進行身份認證的，在默認情況下，驗證方與被驗證方之間的時間差不能超過5分鐘，否則會被拒絕通過，微軟這種設計主要是用來防止回放式攻擊。所以在域內的時間必須是統一的，這個統一時間的工作就是由PDC Emulator來完成的。

??????? C.向域內的NT4 BDC提供復制數據源;
　　????? 對于一些新建的網絡，不大會存在Windows 2000域里包含NT4的BDC的現象，但是對于一些從NT4升級而來的Windows 2000域卻很可能存有這種情況，這種情況下要向NT4 BDC復制，就需要PDC Emulator。

??????? D.統一修改組策略的模板;

??????? E.對Windows2000以前的操作系統，如Win98之類的計算機提供支持;
　　???? 對于Windows 2000之前的操作系統，它們會認為自己加入的是NT4域，所以當這些機器加入到Windows 2000域時，它們會嘗試聯系PDC，而實際上PDC已經不存在了，所以PDC Emulator就會成為它們的聯系對象!

?????? ??建議:從上面的介紹里大家應該看出來了，PDC Emulator是FSMO五種角色里任務最重的，所以對于占用?PDC mulator的域控制器要保證高性能和高可用性。

?????? (2) RID Master? RID主控
??????? 在Windows 2000以上的安全子系統中，用戶的標識不取決于用戶名，雖然我們在一些權限設置時用的是用戶名，但實際上取決于安全主體的SID，所以當兩個用戶的SID一樣的時候，盡管他們的用戶名可能不一樣，但?Windows的安全子系統中會把他們認為是同一個用戶，這樣就會產生安全問題。而在域內的用戶、組和計算機的安?全ID=Domain SID+RID，那么如何避免這種情況?這就需要用到RID Master，RID Master的作用是:分配可用RID池?給域內的DC和防止安全主體的SID重復。

　　??? 建議:對于占有RID Master的域控制器，其實也沒有必要一定要求高性能，因為我們很少會經常性的利用批處理或?腳本向活動目錄添加大量的用戶。這個請大家視實際情況而定了，當然高可用性是必不可少的，否則就沒有辦法?添加用戶

??????? (3) Infrastructure Master?
?????????FSMO的五種角色中最無關緊要的可能就是這個角色了，它的主要作用就是用來更新組的成員列表，因為在活動目錄中很有可能有一些用戶從一個OU轉移到另外一個OU，那么用戶的DN名就發生變化，這時其它域對于這個?用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。
???????? 建議:其實在活動目錄森林里僅僅只有一個域或者森林里所有的域控制器都是GC(全局編錄)的情況下，?Infrastructure Master根本不起作用，所以一般情況下對于占有Infrastructure Master的域控制器往往忽略性能和可能性。

轉移FSMO角色：

1. 登錄到基于 Windows 2000 Server 或基于 Windows Server 2003 的成員服務器，或登錄到轉移 FSMO 角色時所在林中的域控制器。我們建議您登錄到要為其分配 FSMO 角色的域控制器。登錄用戶應該是企業管理員組的成員，才能轉移架構主機角色或域命名主機角色，或者是轉移 PDC 模擬器、RID 主機和結構主機角色時所在域中的域管理員組的成員。
2. 單擊“開始”，單擊“運行”，在“打開”框中鍵入 ntdsutil，然后單擊“確定”。
3. 鍵入 roles，然后按 Enter。

注意：要在 Ntdsutil 實用工具中的任一提示符處查看可用命令的列表，請鍵入 ?，然后按 Enter。
4. 鍵入 connections，然后按 Enter。
5. 鍵入 connect to server servername，然后按 Enter，其中 servername 是要賦予其 FSMO 角色的域控制器的名稱。
6. 在“server connections”提示符處，鍵入 q，然后按 Enter。
7. 鍵入 transfer role，其中 role 是要轉移的角色。要查看可轉移角色的列表，請在“fsmo maintenance”提示符處鍵入 ?，然后按 Enter，或者查看本文開頭的角色列表。例如，要轉移 RID 主機角色，鍵入 transfer rid master。PDC 模擬器角色的轉移是一個例外，其語法是 transfer pdc 而非 transfer pdc emulator。
8. 在“fsmo maintenance”提示符處，鍵入 q，然后按 Enter，以進入“ntdsutil”提示符。鍵入 q，然后按 Enter，退出 Ntdsutil 實用工具。

捕獲 FSMO角色

要使用 Ntdsutil 實用工具捕獲 FSMO 角色，請按照下列步驟操作：
1. 登錄到基于 Windows 2000 Server 或 Windows Server 2003 的成員計算機，或者登錄到捕獲 FSMO 角色時所在林中的域控制器。我們建議您登錄要賦予其 FSMO 角色的域控制器。登錄的用戶應當是企業管理員組的成員（以便轉移架構主機角色或域命名主機角色），或登錄到轉移 PDC 模擬器角色、RID 主機角色和結構主機角色時所在域中的域管理員組成員。?
2. 單擊“開始”，單擊“運行”，在“打開”框中鍵入 ntdsutil，然后單擊“確定”。
3. 鍵入 roles，然后按 Enter。?
4. 鍵入 connections，然后按 Enter。
5. 鍵入 connect to server servername，然后按 Enter，其中 servername 是要為其分配 FSMO 角色的域控制器的名稱。
6. 在“server connections”提示符處，鍵入 q，然后按 Enter。
7. 鍵入 seize role，其中 role 是您要捕獲的角色。要查看可捕獲角色的列表，請在“fsmo maintenance”提示符處鍵入 ?，然后按 Enter，或者查看本文開頭的角色列表。例如，要捕獲 RID 主機角色，可鍵入 seize rid master。PDC 模擬器角色的捕獲是一個例外，它的語法是 seize pdc 而非 seize pdc emulator。?
8. 在“fsmo maintenance”提示符處，鍵入 q，然后按 Enter，以進入“ntdsutil”提示符。鍵入 q，然后按 Enter，退出 Ntdsutil 實用工具。

轉載于:https://www.cnblogs.com/penpen/archive/2010/03/08/1680757.html

總結

以上是生活随笔為你收集整理的FSMO角色介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。