检测AD中五种FSMO角色

多域控制器环境下 Active Directory 灾难恢复

摘要

本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使

额外域控制器接替它的工作，使 Active Directory 正常运行，并在硬件修理好之后，如何使损坏的主域

控制器恢复。

目录

Active Directory*作主机角色概述

环境分析

Active Directory 定义了五种*作主机角色（又称ＦＳＭＯ）：

架构主机 schema master、

域命名主机 domain naming master

相对标识号 (RID) 主机 RID master

主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种*作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的

所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。

此*作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、

组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个

Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。 RID 主机通过分配不同的池来

确保这

些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（ RID）主机是基于域的，

目录林中的每个域都有自己的相对标识号（RID）主机

PDCE

主域控制器模拟器提供以?饕δ 埽?

向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows

时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE 是基于域的，目录林中的每个域都有自己的 PDCE。

基础结构主机

基础结构主机确保所有域间*作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中

担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

域控制器（DC-02.test.com）替代主域控制器，使 Acitvie Directory 继续正常运行，并在损坏的主域

控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并

需要把额外域控制器设置为 GC。

三、从 AD 中清除主域控制器 DC-01.test.com 对象

3.1 在额外域控制器(DC-02.test.com)上通过 ntdsutil.exe 工具把主域控制器(DC-01.test.com)从Ａ

Ｄ中删除；

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain test.com

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Con7guration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Con7guration,DC=test,DC=com

No current domain

No current server

0 - DC=test,DC=com

Site - CN=Default-First-Site-Name,CN=Sites,CN=Con7guration,DC=test,DC=com

Domain - DC=test,DC=com