操作主機角色(操作主機角色有時稱為靈活的單主機操作 (FSMO) 角色)

操作主機角色
Active Directory 支援域中所有域控制器之間的目錄資料儲存的多主機複製，因此域中的所有域控制器實質上都是對等的。但是，某些更改不適合使用多主機複製執行，因此對於每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。

在每個林中，至少有五個指派給一個或多個域控制器的操作主機角色。在每個林中，林範圍的操作主機角色必須只出現一次。在林中的每個域中，域範圍的操作主機角色必須在每個域中出現一次。

注意

• 操作主機角色有時稱為靈活的單主機操作 (FSMO) 角色。

林範圍內的操作主機角色
每個林必須具有以下角色：

• 架構主機

• 域命名主機

在林中這些角色必須是唯一的。這意味著在整個林中，只能有一個架構主機和一個域命名主機。

架構主機
架構主域控制器控制對架構的全部更新和修改。要更新林的架構，您必須具備訪問架構主機的許可權。在整個林中，只能有一個架構主機。

域命名主機
擔當域命名主機角色的域控制器控制樹林中域的新增或刪除。在整個林中只能有一個域命名主機。

注意

• 任何執行 Windows Server 2003 的域控制器都可以擔當域命名主機這一角色。擔當域命名主機角色而且執行 Windows 2000 Server 的域控制器還必須啟用為全域性編錄伺服器。

域範圍內的操作主機角色
林中的每個域都必須有下列角色：

• 相對 ID (RID) 主機

• 主域控制器 (PDC) 模擬主機

• 基礎結構主機

在每個域中這些角色都必須是唯一的。即林中的每個域都只能有一個 RID 主機、PDC 模擬主機以及基礎結構主機。

RID 主機
RID 主機將相對 ID (RID) 序列分配給域中每個不同的域控制器。在任何時候，林中的每個域中只能有一個域控制器作為 RID 主機。

每次當域控制器建立使用者、組或計算機物件時，它就給該物件指派一個唯一的安全 ID (SID)。SID 包含一個“域”SID（它與域中建立的所有 SID 相同）和一個 RID（它對域中建立的每個 SID 是唯一的）。

要在域之間移動物件（使用 Movetree.exe），必須由您啟動在域控制器上的移動操作，而此域控制器必須是目前包含該物件的域的 RID 主機。

PDC 模擬主機
如果此域包含在沒有 Windows 2000 或 Windows XP Professional 客戶端軟體情況下執行的計算機，或者包含 Windows NT 備份域控制器 (BDC)，則由 PDC 模擬主機擔當 Windows NT 的主域控制器。它處理來自客戶端的密碼更改並將更新複製到 BDC。在任何時候，林中的每個域中只能有一個域控制器作為 PDC 模擬主機。

在預設情況下，PDC 模擬主機還負責同步整個域內所有域控制器上的時間。域的 PDC 模擬器將其時鐘設定為父域中任意域控制器上的時鐘。父域中的 PDC 模擬器應配置為與外部時間源同步。您可以使用下列語法執行“net time”命令，同步 PDC 模擬器和外部伺服器上的時間：

net time

最終結果是整個林內所有執行 Windows Server 2003 或 Windows 2000 的計算機的時間相差都在幾秒鐘以內。

PDC 模擬器接受域中其他域控制器執行的密碼更改的首選複製。如果密碼最近被更改，則需要花費一定時間將此次更改複製到域中的每個域控制器。如果登入身份驗證由於密碼錯誤而在另一個域控制器中執行失敗，則該域控制器將在拒絕登入嘗試前將身份驗證請求轉發給 PDC 模擬器。

配置了 PDC 模擬器角色的域控制器支援兩種身份驗證協議：

• Kerberos V5 協議

• NTLM 協議

基礎結構主機
在任何時候，每個域中只能有一個域控制器作為基礎結構主機。基礎結構主機負責更新從它所在的域中的物件到其他域中物件的引用。基礎結構主機將其資料與全域性編錄的資料進行比較。全域性編錄透過複製操作接收所有域中物件的定期更新，從而使全域性編錄的資料始終保持最新。如果基礎結構主機發現資料已過時，則它會從全域性編錄請求更新的資料。然後，基礎結構主機再將這些更新的資料複製到域中的其他域控制器。

要點

• 除非域中只有一個域控制器，否則不應將基礎結構主機角色指派給全域性編錄所在的域控制器。如果基礎結構主機和全域性編錄處於相同的域控制器中，則基礎結構主機不會執行。基礎結構主機從不檢視過時的資料，也從不將任何更改複製到域中的其他域控制器。

如果域中的所有域控制器都存有全域性編錄，則所有域控制器都將擁有最新資料，因而無論哪個域控制器承擔基礎結構主機角色均不重要。

基礎結構主機還負責在重新命名或更改組成員時更新“組到使用者”的引用。當您重新命名或移動組成員（並且該成員駐留在組中不同的域中）時，組中可能暫時不顯示該成員。組所屬的域的基礎結構主機負責組的更新工作，所以它知道成員的新名稱或位置。這樣當重新命名或刪除使用者帳戶時，就可防止與該使用者帳戶關聯的組成員身份丟失。基礎結構主機透過多主機複製的方法分發更新的內容。

在成員重新命名和組更新期間，對安全性無危害。只有檢視那個特定組成員身份的管理員才會注意到暫時的不一致性現象。

有關轉移操作主機角色的資訊，請參閱轉移操作主機角色。有關操作主機失敗時應採取何種措施的資訊，請參閱響應操作主機失敗。