FSMO角色与ntdsutil命令Word格式文档下载.docx

FSMO角色与ntdsutil命令Word格式文档下载.docx

《FSMO角色与ntdsutil命令Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《FSMO角色与ntdsutil命令Word格式文档下载.docx（18页珍藏版）》请在冰点文库上搜索。

1、SchemaMaste

用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是SchemaMaste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在SchemaMaste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在SchemaMaste上进行扩展的，要扩展Schema就必须具有SchemaAdmins组的权限才可以。

建议:

在占有SchemaMaste的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchnage或LCS之类的软件时会出错。

2、DomainNamingMaster

这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。

如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和DomainNamingMaster进行联系，如果DomainNamingMaster处于Down机状态的话，你的添加和删除操作那上肯定会失败的。

建议:

对占有DomainNamingMaster的域控制器同样不需要高性能，我想没有一个网络管理员会经常在森林里添加或者删除域吧?

当然高可用性是有必要的，否则就没有办法添加删除森里的域了。

3、PDCEmulator

在前面已经提过了，Windows2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows2000域里面怎么办呢?

那就由PDCEmulator来完成，主要是以下操作:

注：

备份域控制器，当主域控制器坏了或其它原因不能使用了，管理器会临时的升级一个BDC（备份域控制器），来替代PDC管理账号和密码。

从而引导PDC的恢复。

⑴、处理密码验证要求;

在默认情况下，Windows2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDCEmulator，然后由PDCEmulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。

⑵、统一域内的时间;

微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。

所以在域内的时间必须是统一的，这个统一时间的工作就是由PDCEmulator来完成的。

⑶、向域内的NT4BDC提供复制数据源;

对于一些新建的网络，不大会存在Windows2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows2000域却很可能存有这种情况，这种情况下要向NT4BDC复制，就需要PDCEmulator。

⑷、统一修改组策略的模板;

⑸、对Winodws2000以前的操作系统，如WIN98之类的计算机提供支持;

对于Windows2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDCEmulator就会成为它们的联系对象!

PDCEmulator是FSMO五种角色里任务最重的，所以对于占用PDCEmulator的域控制器要保证高性能和高可用性。

4、RIDMaster

在Windows2000的安全子系统中，用户的标识不取决于用户名，虽然在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。

而在域内的用户安全SID=DomainSID+RID，那么如何避免这种情况?

这就需要用到RIDMaster，RIDMaster的作用是:

分配可用RID池给域内的DC和防止安全主体的SID重复。

对于占有RIDMaster的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。

5、InfrastructureMaster

FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。

这种变化就是由InfrastructureMaster来完成的。

其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC（全局编录）的情况下，InfrastructureMaster根本不起作用，所以一般情况下对于占有InfrastructureMaster的域控制器往忽略性能和可能性。

查看五种角色：

1、GUI界面

查看SchemaMaste：

在运行里输入：

regsvr32schmmgmt

确定后，打开MMC控制台，添加ActiveDirectory架构

在控制台上选择“AcriveDirectory架构”右键选择“操作主机”

可以看到当前的架构主机服务器名称。

查看RIDMaster、InfrastructureMaster、PDCEmulator：

打开“ActiveDirectory用户和计算机”，在域名上右键，选择操作主机。

可以看到RIDMaster、InfrastructureMaster、PDCEmulator的分布情况。

查看DomainNamingMaster：

打开“ActiveDirectory域和信任关系”，在“ActiveDirectory域和信任关系”上右键选择“操作主机”。

这就是DomainNamingMaster所在的域控制器

2、netdom命令查看五种角色

在运行里输入:

netdomqueryfsmo

FSMO规划原则:

1、占有DomainNamingMaster角色的域控制器必须同时也是GC;

2、不能把InfrastructureMaster和GC放在同一台DC上;

3、建议将SchemaMaster和DomainNamingMaster放在森林根域的GC服务器上;

4、建议将SchemaMaster和DomainNamingMaster放在同一台域控制器上;

5、建议将PDCEmulator、RIDMaster及InfrastructureMaster放在同一台性能较好的域控制器上;

6、尽量不要把PDCEmulator、RIDMaster及InfrastructureMaster放置在GC服务器上

ntdsutil.exe使用详解

1． 

用ntdsutil来清除无效的DC信息。

实验环境：

假如我们的备份域为主域为DC,现在备份域坏了。

（原有的域控制器）

为本次实验安装备份域

请在装有supertools（实验环境中的域控制器均有安装）的主控域上执行如下命令：

C:

\>

ntdsutil

ntdsutil:

metadatacleanup

-清理不使用的服务器的对象

metadatacleanup:

selectoperationtarget

-选择的站点，服务器，域，角色和命名上下文

selectoperationtarget:

connections

-连接到一个特定域控制器

serverconnections:

connecttoserverDC 

--绑定到域控.

用本登录的用户的凭证连接DC。

quit

-返回上一层目录

-

listsite

-在企业中列出站点（找到1个站点，标识为0）

selectsite0

-将标识为0的站点定为所选站点站点

listdomains

-列出所有包含交叉引用的域

selectdomain0

-将标识为0的域定为所选域

listserversfordomaininsite

-列出所选域和站点中的服务器（找到两个：

0-DC；

1-ABC）

selectserver1

-将标识为1的服务器（abc）定为所选服务器

selectoperationtarget:

removeselectserver

-从所选服务器上删除DS对象

在弹出的对话提示框上选择“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lgrg,DC=com”删除了，现在，这个Dc在域里消失了。

2．用ntdsutil来转移fsmo五种角色。

想要把这几种角色移动到另一台计算机上有2种方法，一种是转移，但必须两台计算机处于正常运行状态。

如果有其中某台处于离线状态只能用第二种方法，使用ntdsutil工具来强制获取这些角色。

首先在CMD下运行：

netdomquery/d:

域名fsmo

查看一下当前哪些角色在哪台服务器上，

然后在CMD下运行　

"

ntdsutil"

如果不知道命令怎么写，可以输入？

得到帮助提示，

roles"

connections"

connecttoserver服务器名"

绑定一台当前在线的DC

当连接成功后输入quit　退出

回到上一层（roles）准备做角色迁移

Seizeschemamaster"

Seizedomainnamingmaster"

SeizeRIDmaster"

SeizePDC"

Seizeinfrastructuremaster"

以上五个命令，分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。

完成后再次回到CMD下执行"

域名fsmo"

，检查角色是否已被迁移

在“常规”选项卡上，找到全局编录复选框以查看其是否选中。

如果正常就说明角色转换已成功。