PDC,BDC同步问题

admin管理员组

文章数量:1650778

2024年6月15日发(作者：)

FSMO

FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。营运主机（Operation

Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的

网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网 络,整个域森

林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

1、 森林级别(一个森林只存在一台DC有这个角色):

(1)、Schema Master(也叫Schema Owner):架构主控

(2)、Domain Naming Master:域命名主控

2、 域级别(一个域里面只存一台DC有这个角色):

(1)、PDC Emulator :PDC仿真器

(2)、RID Master :RID主控

(3)、Infrastructure Master :基础架构主控

对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的

是本命令需要安装windows 的Support Tools.

五种角色空间有什么作用

1、 Schema Master

作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、 打

印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在

着对应关系，那么这些对像和属性之间的关系是由谁来定 义的，就是Schema Master，如果大家部署过

Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema

Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到

Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的

权限才可以。

建议:在占有Schema Master的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，

除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装

Exchange或LCS之类的软件时会出错。

2、 Domain Naming Master

这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林

中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain

Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。

建议:对占有Domain Naming Master的域控制器同样不需要高性能，我想没有一个网络管理员会经

常在森林里添加或者删除域吧?当然高可用性是有必要的，否则就没有办法添加删除森里的域了。

3、 PDC Emulator

在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要

由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要

是以下操作:

⑴、处理密码验证要求;

在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如

密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发

一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定

的时间差，至于这个时间差是多少， 则取决于你的网络规模和线路情况。

⑵、统一域内的时间;

微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间 的时间

差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必

须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

⑶、向域内的NT4 BDC提供复制数据源;

对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从

NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC

Emulator。

⑷、统一修改组策略的模板;

⑸、对Windows 2000以前的操作系统，如WIN98之类的计算机提供支持;

对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到

Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成

为它们的联系对象!

建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于

占用PDC Emulator的域控制器要保证高性能和高可用性。

4、RID Master

在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是

用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样 的时候，尽管他们的用户名可能不一

样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户

安全 SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:

分配可用RID池给域内的DC和防止安全主体的SID重复。

建议:对于占有RID Master的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的

利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了，当然高可用性是必不可少

的，否则就没有办法添加用户了。

5、 Infrastructure Master

FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列 表，

因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，

这时其它域对于这个用户引用也要发生变化。这种变化 就是由Infrastructure Master来完成的。

建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下，

Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控制器往忽

略性能和可能性。

在FSMO的规划时，请大家按以下原则进行:

1、占有Domain Naming Master角色的域控制器必须同时也是GC;

2、不能把Infrastructure Master和GC放在同一台DC上;

3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

不同步原因一： 需要调节FSMO及GC的角色分配

转移 RID 主机角色、PDC 模拟器角色和结构主机角色

1. 单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

2. 右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。如果您已经连接到要

转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一：

o

在“输入其他域控制器名称”框中，键入将成为新的角色持有者的域控制器的名称，然

后单击确定。

- 或 -

o

在“或者，选择一个可用的域控制器”列表中，单击将成为新角色持有者的域控制器，

然后单击确定。

4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向所有任务，然后单击操作主

机。

5. 单击要转移角色（RID、PDC 或 结构）的相应选项卡，然后单击更改。

6. 单击确定以确认您要转移该角色，然后单击关闭。

如下图：

全局编录服务器GC

概述：

在Win2003AD域环境中，除了FSMO操作主机角色外，全局编录服务器(GC)也是有着特殊含义的域

控制器。通过GC，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等。

简单的说，GC是森林中所有对象的只读调整缓冲存储器( Read Only Cache),目录只用于搜索。GC服

务器存储本域中所有对象的所有属性，同时会存储林中其它域中所有对象的部分属性。一般来说，属性是

否存储在GC中，取决于该属性在搜索中使用的频率,由系统自动进行决定。但AD架构管理员也可以定义

对象的哪些属性保存的GC中，同时决定该属性是否可以进行索引。

通过“Active Directory 站点和服务”查看

步骤：

点击“开始-设置-控制面板-管理工具-Active Directory站点和服务”:

选中具体的“NTDS Setting"。

在弹出的“NTDS Setting 属性”对话框中，有“全局编录”复选框,如果选中，表示是一台全局编录服务

器， 如果没有选中，则表示当前的服务器不是全局编录服务器。

不同步原因二：

墓碑生存时间

降级再提升为DC的方法是在不得已的情况下才用的， tombstone超时的问题应该会比较多人遇到。

如何修改默认的墓碑生存时间

1. Windows 2000和Windows 2003不带SP1的默认墓碑生存时间是60天，Windows 2003+SP1的

默认墓碑生存时间是180天。

2. 修改墓碑生存时间的方法如下：

(1) 安装Windows 2003的管理工具。

(2) 运行，展开“Configuration”->“CN=configuration,”-&

gt;“CN=Services”->“CN=Windows NT”，右击“CN=Directory Service”->“属性”。

(3) 找到一个叫“TombstoneLifetime”的属性，设上您希望的值即可。

3. 由于配置分区是在整个森林中同步的，所以这个设置会自动复制到子域上，我们无需手动操作，但是会

有一些延迟。

如果DC长时间没有复制，已经超过墓碑时间，如何恢复呢？

关于修复的详细信息，请参考以下文章：

Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)

/zh-cn/library/

/zh-cn/library/34c15446-b47f-4d51-8e4a-c14527060f90

操作步骤：

1. 首先确认这个DC是否能够联系上GC，使用NSlookup命令来尝试解析GC的SRV记录，具体方法请

参考：

How to verify that SRV DNS records have been created for a domain controller

/?id=816587

2. 在长时间没有复制的DC上运行net time PDC_IP，使DC的时间与PDC同步。

3. 在长时间没有开机的DC上运行以下命令：

repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory mode

注：ServerName为长时间没有开机的DC的DNS名称，ServerGUID为DC的GUID名称，

DirectoryPartition为分区名称，类似DC=example,DC=com。

确定DC的GUID请运行以下命令

repadmin /showrepl ServerName

4. 运行 编辑注册表，定位到以下位置：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters

编辑Strict Replication Consistency，改为1。

注意：在对注册表进行操作前，应先备份注册表，“注册表编辑器”使用不当可造成严重问题，这些问题

可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。

使用“注册表编辑器”需要您自担风险。

5. 然后在两台DC上都进行如下操作：

运行regedit，找到 HKLMSystemCurrentControlSetServicesNTDSParametersAllow

Replication With Divergent and Corrupt Partner，将这个键值设置为1。

如果没有，请您手动新建Allow Replication With Divergent and Corrupt Partner，类型为DW（双字

节值）。

在做完以上操作后，重启DC，查看DC的复制情况。

本文标签： 角色域控制器目录属性