文档目的

   管理过域环境的同学都很了解，在域中主机角色非常重要，如果FSMO角色出现故障，可能会对造成很大的损失，我自己在刚接触的时间也不太了解，下面内容主要是在官方文档中摘要出单一些介绍，也有我自己在工作中得到的一些经验，在这里介绍给大家；

森林级别

1：架构主机 (Schema Master)
2：域命令主机 (Domain Naming Master)

域级别

3：PDC模拟器(PDC Emulator)
4：RID主机 (RID Master)
5：基础架构主机 (Infrastructure Master)

1：架构主机
控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象.

3：PDC模拟器
兼容低级客户端和服务器，担任NT系统中PDC角色
时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!
密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。
首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。name域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能

4：主机角色：RID主机
Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配500个)，所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突! 当非RID主机中分配的RID池使用到80%时，会继续RID主机，申请分配下一个RID地址池!

5：基础架构主机
基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。
基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。
标准图形界面查看和更改操作主机角色的方法
1：查看和更改架构主机角色：
步骤：注册：regsvr32 schmmgmt 在MMC中添加AD架构管理单元打开MMC控制台，
选中“Active Directory架构”击“右键”，选择“操作主机”

打开更改架构页面后,点击"更改"就可以进行架构主机角色的更改
2.查看和更改PDC模拟器,RID主机以及基础结构主机
步骤：开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”

在打开的页面中，通过点击“更改”按钮就可以对RID主机，PDC模拟器以及基础结构主机角色进行更改
3.查看和更改域命名主机角色
步骤：点击“开始--管理工具-Active Directory域和信任关系”: 选中“Active Directory域和信任关系”，右键单击，选择“操作主机”

在打开的窗口中，点击“更改”按钮就可以实现对域命名主机角色进行更改
使用命令行工具查看和更改操作主机角色
以Windows2003 Support Tools工具中的netdom为例，来查看五大操作主机
从windows2003的系统盘中提取netdom（X：\support\tools\support.cab），放在C：/下
使用Netdom工具查看操作主机角色 Netdom Query FSMO

2：使用Ntdsutil工具更改操作主机角色
Ntdsutil工具的功能非常强大

可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。
ransfer子命令转移操作主机角色
C:\&gt; ntdsutil
Ntdsutil:roles
Fsmo  maintenance:connections
Server connections:connect to server dc2.resting.org
Server connections:quit

Server connections:help

Server connections:transfer PDC 
在弹出的对话框中，单击“是”，即可完成PDC主机的转移。 

使用Seize子命令夺取操作主机角色
DC挂掉后，在dc2上做占用操作主机，模拟dc2无法ping通DC（禁用DC网卡）。以RID主机为例：
查看和更改PDC模拟器,RID主机以及基础结构主机
步骤：开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”

在打开的页面中，可以看到操作主机不可用，也就是说不能通过点击“更改”按钮就来对RID模拟器主机角色进行更改
C:\&gt; ntdsutil
Ntdsutil:roles
Fsmo  maintenance:connections
Server connections:connect to server dc2.resting.org
Server connections:quit
Server connections:help

Server connections:Seize RID master 
在弹出的对话框中，单击“是”，即可完成RID主机的占用。

可以通过开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”来进行查看

操作主机角色放置优化配置建议
默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!
常见的操作主机角色放置建议如下：
1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的。
2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。
建议：由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。
3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。
4：RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。
5：基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。
建议：将PDC模拟器，RID主机以及基础结构主机放置在一台性能较好的DC中，且尽量不要配置成GC。