域的五个主机角色介绍

**http://weili163.blog.51cto.com/228292/609876
使用命令行工具查看和更改操作主机角色
　　有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法
　　注意，下面对应的工具有些需要安装Win2003 Support Tools工具
　　1：使用Netdom工具查看操作主机角色
　　Netdom Query FSMO
　　2：使用Dsquery工具查看操作主机角色
　　Dsquery Server –Hasfsmo Schema //查看架构主机
　　Dsquery Server –Hasfsmo Name //查看域 主机
　　Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机
　　Dsquery Server –Hasfsmo RID //查看RID主机
　　Dsquery Server –Hasfsmo Infr //查看基础结构主机
　　3：使用Ntdsutil工具更改操作主机角色
　　Ntdsutil工具的功能非常强大，可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过 Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。 五：操作主机角色放置优化配置建议
　　默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在 单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!
　　常见的操作主机角色放置建议如下：
　　1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少。但要保证可用性，否则在安装Exchange等会扩展AD架构的软件时会出错。
　　2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的，以保证在添加删除当前林中域时可以使用。
　　一般建议由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。
　　3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。
　　4：RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。
　　5：基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。
　　建议将PDC模拟器，RID主机以及基础结构主机放置在一台性能较好的DC中，且尽量不要配置成GC。

主机角色：
1.架构主机：控制整个林的架构的全部更新
要手动添加：架构主机管理工具，使用MMC 运行：regsvr32 schmmgmt.dll"注册架构管理工具"
2.域命名主机：控制林中域的添加和删除，可以防止林中的域名重复
3.PDC仿真主机：<1.管理来自客户端的密码更改
<2.最小化密码变化的复制等待时间
<3.默认同步整个域内所有域控制器上的时间
"Active Directory用户和计算机"查看
4.RID主机：将相对（ID)(RID序列分配给域中每个域控制器每次当域控制器创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID(SID) SID=域SID和RID
"Active Directory用户和计算机"查看
5.基础架构主机：负责更新从它所在的域中的对象到其他域中对象的引用
注：1.不应将基础主机角色指派给全局编录所在的域控制器，如果基础架构主机和全局编录处于相同的域控制器中，则基础架构主机不会运行
2.如果域中的所有域控制器都存在全局编录，则所有域控制器都将用最新数据
3.防止重命名或删除用户账户是，与该用户账户关联的组成员的身份丢失

Microsoft Windows [版本 6.1.7600]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\beerduck>netdom query /?
此命令的语法是:

NETDOM QUERY [/Domain:domain] [/Server:server]
[/UserD:user] [/PasswordD:[password | *]]
[/Verify] [/RESEt] [/Direct] [/SecurePasswordPrompt]
WORKSTATION | SERVER | DC | OU | PDC | FSMO | TRUST

NETDOM QUERY 在域中查询信息

/Domain 指定要查询信息的域

/UserD 用于与 /Domain 参数指定的域建立连接的用户帐户

/PasswordD /UserD 指定的用户帐户的密码。* 表示提示输入密码

/Server 用于执行查询的特定域控制器的名称。

/Verify 对于计算机，验证计算机和域控制器之间的安全通道是否正常运行。
对于信任，验证域之间的信任是否正常运行。仅验证出站信任。
用户必须使用域管理员凭据来获取正确的验证结果。

/RESEt 重置计算机和域控制器之间的安全通道；只对计算机枚举有效

/Direct 仅应用于信任查询，仅列出直接信任链接并忽略通过可传递链接
间接信任的域。请勿与 /Verify 一起使用。

/SecurePasswordPrompt
使用安全凭据弹出菜单指定凭据。
应在需要指定智能卡凭据时使用此选项。
此选项仅在以 * 形式提供密码值时有效

WORKSTATION 在域中查询工作站列表
SERVER 在域中查询服务器列表
DC 在域中查询域控制器列表
OU 在域中查询特定用户可在其中创建计算机对象
的组织单位的列表
PDC 在域中查询当前的主域控制器
FSMO 在域中查询当前 FSMO 所有者的列表
TRUST 在域中查询其信任的列表

信任验证命令只检查直接、出站、 Windows 信任。
若要检查入站信任， 请使用允许指定信任域凭据的
NETDOM TRUST 命令。

NETDOM HELP 命令 | MORE 逐屏显示“帮助”。

命令成功完成。

C:\Users\beerduck>Netdom Query FSMO
架构主机 ad.yinhoo.com
域命名主机 ad.yinhoo.com
PDC ad.yinhoo.com
RID 池管理器 ad.yinhoo.com
结构主机 ad.yinhoo.com
命令成功完成。

C:\Users\beerduck>

**

转载于:https://blog.51cto.com/zzsonyzz12/2147456