操作主机

操作主机，是Active Directory来自数据库中的特殊对象，具备此类对象的域控制器肩负着Active Directory的核心功能。

含义解释

　　我校板践引专副之进卷批在 Active Directory 域中为其指定了一个或多个特殊角色的域控制器。

　　已经分配了角色的域控制器将执行单个主机(同一时间不允许在网络上的不同地点出现)的操作。这牛求卷防更些操作的例子包括资源标识符分配、架构修改、PDC 选择和特定的基础结构变化。

　　控制特定操作的域控制器城均扬坐开理两则运拥有该操作的操作主机角色。这些操作主机的角色可以转移给其他域控制器。

　　操作主机(Operations Masters，简称OM)，或称为操作主控(Flexible Single Master Operation，简称FSMO)，尽管名称有所区来自别，但它们所代表的含义完全相同。操作主机，是Active Directory数据库中的特殊对象，具备此类对象的域控制器肩负着Active Directory的核心功能。

分类

　　Active Directory域中有5种类型的操作主机，分别是:

　　架构主机(Schema 360百科Master)。

　　域命名主机(Domain Naming Master)。

　　PDC仿真器(PDC Em矿供一当席判胶ulator)。

　　RID主机(RIDMaster)。

　　基础架整构主机(Infra材structure Master)。

　　在每个林中，至少有5个指派给一个或多个域控制器的操作主机角色。在每个林中，林范围的操作主机角色必须只出现一次。在林中的每个域中，域范围的操作主机角色速住未法米鲁设染题日奏必须在每个域中出现一次。

　　每个林必须具有婷策以下角色:

　　架构主机。

　　非先域命名主机。

　　在林造规银便推尼该中这些角色必须是唯一的。这意味着在轮厂则很拉整个林中，只能有一个架迫构主机和一个域命名主机。

　　林中的每个域都必须有下列角色:

　　RID主机。

　　相改表害棉呢量PDC主机。

　　基础架构主机。

兵划敌器才子　　在每个域中这些角色都必须是唯一的，即林中的每个域都只能有一个RI营原袁五研D主机、PDC 主机，以及基础架构主机。

操作环境

　　操作主机在Active Directory环境中，肩负着重要的作用，如果操作主机出现问题，将会出现以下问题:

　　当架构主机不可用时，不能对架构进行更改。在大多数网络环境中，对架构更改的频率很低，并且应提前进行规划，以便使架构主机的故障不尼速居白构析尽至于产生任何直接的问题。

　　当域命名主机不可用时，不能通过运行DCPROMO向Active Directory中添加域，同时也不能从目录林中删除域，如果在域命名主机不可用时试图通过运行DCPROMO来删除域，那么就会收到一条"RPC 服务理安减免滑架立左调斯器不可用"的消息。

　　当RID主机不可用时，所遇到的主要问题是不能向域中添加任何新的安全对象，例如用户、组和计算机;如果试图添械息领材钱倍谓边验早加，则会出现如下的错误消息:"Windows 不能创建对象，因为:目录服务已经用完了相对标识号池"。

　　当PDC主机不可用时，在本机模式环境中用户登录失败的可能性增大。如果重新设置用户密码，例如用户忘记密码，然后管理员在一台DC(不是验证来自DC)上重新设置密码，那么该用户就必须等到密码复制到验证DC之后才能登录。试图编辑组策略对象时出错。

　　当基础架构主机不可用时，结360百科构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响，只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下，结构主机故障只是会延迟联便研通过Active Directory管理单元引用这些更改的时间。

1. 安全规划

　　操作主机在Active Directory中的作用十分特殊，给予安全的考虑，在两度息介虽变请蒸太利针不同的应用环境中有着不同的规划，本节介绍机必粒多权派讲盟刘但执常见的两种类型的规划。

2.单域环境

　　图呢费场期游德时皮实Windows Serve按垂浓素儿异晚防r 2008或Windows Server 2003单域控制器上角色的初始设置，只能将所有FSMO主机角色规划部署在一台域控制器上。全局编录服务器也配置在此服务器上。在活动目录森林中仅仅夫顶只有一个域的情况下，基础架鸡还能构主机根本不起作用。

3.多域环境

　　在多域环境中，存在多个域控制器，和多个全局编录服务器，对性能的要求如下所示。

　　具有架构主机角色的域控制器不需要高性能，因为很少对架构(Schema)进行拓展，但是必须保证可用性。

　　具有域命名主机角色的域控制器不需要高性能，但是要保证高可用性。

　　具有PDC主机角色的域控制器是FSMO 5种角色中任务最重的，占用PDC模拟器的域控制器要保宣电越台般留证高性能和高可用性。

　　具有RID主机角色的域控制器，不要求高性能，要保证高可用性。

　　具有基础架构主机角色的域控制器可忽略性能和高可用性。

　　可以根据如下要求规则FSMO角色。

　　备用服口孩套城务器与主要FSMO服务器位于同一站点中，以便在大的计算机组中获得更快的复制性能。

　　将RID角色和PDC模拟器角色放置在同一域控制器上。最好保证从PDC到RID主机的良好通信，因为下级客户端和应用程序以PDC为目标，从而使PDC成为RID的主要使用者。

　　在目录林级别上，架构主机角色和域命名主机角色应该放置在同一域控制器上。因为它们很少使用且应该进行严格控制。另外，域命名主机FSMO也应该是全局目录服务器。

　　PDC主机建议单独规划在一台域控制器上。

　　域命名主机和全局编录服务器规划在一台域控制器上。

　　使用一个管理控制台可管理切找供程范设斯刘专走所有FSMO角色，并且确认所有的FSMO都是正常的。

　　"不要将结构肉提盐低感虽远师况直主机放在全局目录服务器上"这一规则有两个例外吧上工升亮英重书。

　　单域目录林:在包含孙激量单个Active Directory松节历收础假火台吃果域的目录林中没有跨域操作，因此没有需要结构主机完成的任务。在这种情况下，可以将结构主机放在游织准域中的任一域控制器上。

　　多域目录林:其中的每个域控制器都包含全局目录。如果目录林中的每个域控制器也承载全局目录，则没有需要结构主机完成的任务。在这种情况下，可以将结构主机放在目录林中的任一域控制器上。

4. 角色处理

　　在Active Directory环境中，如果具备操作主机角色的域控制器出现故障，在域控制器可用的情况下，可以使用"转移角色"的方式完成操作主机角色的转移，在域控制器不可用的情况下，可以使用"占用角色"的方式完成操作主机角色的转移。

　　有关操作主机的"转移"和"占用"的具体使用，详见本章"4.2.5 活动目录服务器故障"中的介绍。