管理 AD DS 操作主机

15 分钟

AD DS 使用多主机进程复制域控制器之间的数据，并自动实现修正同时的冲突更新的冲突解决算法。这些预配容许使用分布式管理模型，其中多个用户和应用程序可以同时向不同域控制器上的 AD DS 对象应用更改。要为有两个或以上域控制器的任何 AD DS 环境提供支持，必须使用这样的模型。而对于 Contoso 等较大型的分布式环境来说，这一点尤其重要。不过，请务必记住，某些操作只能由特定角色在特定的域控制器上执行。

什么是 AD DS 操作主机？

AD DS 操作主机角色负责执行不适用于多主机模型的操作。拥有这些角色之一的域控制器是操作主机。操作主机角色也称为灵活的单主机操作 (FSMO) 角色。有以下五个操作主机角色：

架构主机
域命名主机
基础结构主机
RID 主机
PDC 仿真主机

林中安装的第一个域控制器默认托管全部五个角色。但是，你可以在部署其他域控制器后转移这些角色。执行特定于操作主机的更改时，必须连接到拥有操作主机角色的域控制器。五个操作主机角色分布如下：

每个林有一个架构主机和一个域命名主机。
每个 AD DS 域有一个相对 ID (RID) 主机、一个基础结构主机和一个主域控制器 (PDC) 仿真器。

你可以将五个角色全部放置在一个域控制器上，也可以将它们分布在多个域控制器中。

林操作主机

林拥有以下操作主机角色：

域命名主机。这是你在添加或删除域或更改域名时必须联系的域控制器。

重要

如果域命名主机不可用，你将无法向林添加域。

架构主机。这是用于执行所有架构更改的域控制器。

重要

如果架构主机不可用，你将无法更改架构。

注意

Windows PowerShell 的 Active Directory 模块中的 Windows PowerShell 命令 Get-ADForest 显示林属性，包括当前域命名主机和架构主机。

域操作主机

域拥有以下操作主机角色：

RID 主机。每当你在 AD DS 中创建用户、计算机或组等安全主体时，用于创建该对象的域控制器均为该对象分配一个被称作安全 ID (SID) 的唯一识别号。为确保不存在两个域控制器向两个不同的对象分配同一个 SID 的情况，RID 主机将 RID 块分配给域中的每个域控制器，供它们在生成 SID 时使用。

重要

如果 RID 主机不可用，可能会在向域添加安全主体时遇到困难。另外，当域控制器使用其现有 RID 时，它们最终会用尽这些 RID，无法创建新对象。

基础结构主机。此角色维护域间对象引用，例如当域中的某个组拥有另一个域中的成员时。在这种情况下，基础结构主机负责维护此引用的完整性。例如，查看对象的“安全性”选项卡时，系统引用列出的 SID，并将它们转换为名称。在多域林中，基础结构主机使用相应的安全主体名称更新对其他域中的 SID 的引用。

重要

如果基础结构主机不可用，不是全局编录的域控制器不能执行 SID 安全主体名称转换。

重要

基础结构主机角色不应驻留在托管全局编录角色的域控制器上，除非林中的每个域控制器均被配置为全局编录。在这种情况下，基础结构主机角色不是必需的，因为每个域控制器都知道林中的每个对象。

PDC 仿真主机。作为 PDC 仿真主机的域控制器充当域的时间源。林中每个域中的 PDC 仿真主机将时间与林根域中的 PDC 仿真主机同步。你将林根域中的 PDC 仿真主机设置为与可靠的外部时间源同步。此外，对组策略对象 (GPO) 的更改被默认写入 PDC 仿真主机。 PDC 仿真主机也是接受紧急密码更改的域控制器。如果用户的密码更改，拥有 PDC 仿真主机角色的域控制器立即收到此信息。也就是说，如果用户尝试登录，用户当前所在位置的域控制器将联系拥有 PDC 仿真主机角色的域控制器检查最近的更改。即使位于不同位置的尚未收到新密码信息的域控制器对用户进行身份验证，也会执行该检查。

重要

如果 PDC 仿真主机不可用，在密码更改复制到所有域控制器之前，用户可能会有登录问题。

注意

Windows PowerShell 的 Active Directory 模块中的 Windows PowerShell 命令 Get-ADDomain 显示域属性，包括当前 RID 主机、基础结构主机和 PDC 仿真主机。