有多少个 FSMO 角色？

Windows 管理员对这个问题给出的标准答案是五个：

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

但事实证明，还有另外两个角色通常无关紧要，但如果分配给他们的服务器脱机，可能会导致麻烦。

提醒 - 什么是 FSMO 角色？

Active Directory 主要使用多主机模型进行目录更新：任何域控制器都可以更新其目录的本地副本，然后这些更改将被复制到所有其他 DC。

但是，有些更新更为关键，并且以单主机方式完成：只有一个 DC 能够进行这些更新，并且它们会从该 DC 复制到其他 DC。进行这些关键更新之一的能力称为角色，这些角色一次分配给一个 DC（单主），但将角色移动到不同的 DC（灵活）相当容易，这会导致名称为“灵活的单主机操作角色”。

本文描述了上面列出的五个 FSMO 角色，包括对每个 FSMO 角色持有者负责的目录更新类型的简要说明（例如，Schema Master 是唯一可以更改 AD 架构的 DC。）

基础架构大师角色

事实证明，即使只有一个域，也有多个基础设施主机角色。在上面提到的 MS 文章中，它说：

为每个应用程序分区创建一个单独的基础结构主机，包括由 Windows Server 2003 和更高版本的域控制器创建的默认林范围和域范围的应用程序分区。

我不打算解释AD 中的目录分区和应用程序目录分区（链接指向一个 TechNet 文档，该文档比我能更好地解释它们），知道它们存在就足够了。

因此，如果您有一个 AD 域，则您有 3 个基础架构主机，总共有7 个 FSMO 角色。

额外的角色会导致问题吗？

有时...

我找不到明确的答案，但有强有力的间接证据表明“额外的”FSMO 角色只能手动移动，例如当您在 Windows Server 2008 中运行“Adprep /rodcprep”命令时出现错误消息：“Adprep 无法联系分区 DC=DomainDnsZones,DC=Contoso,DC=com 的副本

该错误的最常见原因是，在设置域时，第一个 DC 拥有所有 7 个角色，但两个额外的基础设施主机角色不会被任何常用工具（DCPROMO 等）移动。所以如果原来的DC 曾经退役，没有服务器担任这些角色，并且 RODC 准备失败，因为它需要与他们交谈。

我遇到额外角色的地方是 Samba 4：samba-tool 实用程序可以将 FSMO 角色转移到不同的 DC，在 4.3 版之前它会告诉您所有角色都已转移，但是当您尝试降级时DC 它会抱怨 DC 仍然担任 2 个 FSMO 角色。 现在已解决此问题。