什么是AD活动目录？

活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。这个数据存储之上已建立索引的，可以方便快速地搜索和定位。活动目录的分区是"域（Domain）"，一个域可以存储上百万的对象。域之间还有层次关系，可以建立域树和域森林，无限地扩展。

　　在数据存储之上，微软建立了一个对象模型，以构成活动目录。这一对象模型对LDAP有纯粹的支持，还可以管理和修改Schema。Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是唯一的。通过修改Schema的工具，用户或开发人员可以自己定义特殊的类和属性，来创建所需要的对象和对象属性。

　　活动目录包括两个方面：一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

这段时间发现，整个公司的计算机时间都快了2分钟，后来发现主域控制器上同Internet时间服务器总是无法联系上，我们都知道启用了Windows的Windows Time服务，计算机就会定期同Internet时间同步。同步的都是国外的时间服务器，通常很难连接成功。我们国家也有主时间服务器，国家授时中心服务器的IP地址：2107214544，同这个服务器连接成功率很高。我们就修改域控制器和这个服务器进行时间同步。一、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。1、 添加时间服务器IP（下面这个键存放着时间服务器列表）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入IP：2107214544，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：1 timewindowscom2 timenistgov3 time-nwnistgov4 time-anistgov5 time-bnistgov2、 指定时间源HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters修改键NtpServer的值为2107214544,0x63、 设置校时周期HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）二、设置权威服务器1、 设置权威服务器在域控服务器上打开注册表，找到键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config修改键AnnounceFlags的值为十进制的10。2、 启用 NTPServerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer修改键Enabled的值为十进制的1三、配置组策略，设置时间同步1、 打开“Active Directory 用户和计算机”，在域上点右键，属性。组策略，打开。2、 在“Default Domain Policy”上右键，编辑。3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已启用”。修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）修改AnnounceFlags的值为5点“应用”，“确定”。4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。“配置Windows NTP客户端”，选择“已启用”。修改NtpSever的值为ad-serverrybbcom,0x6修改Type的值为NTP修改SpecialPollInterval的值为1800（30分钟）四、W32tm命令 这个命令很有用啊，举几个例子：1、 列出本地计算机指定的远程计算机的时间差，我这里和国家授时中心服务器的IP地址：2107214544作比较。命令：w32tm /stripchart /computer: 2107214544Tracking 2107214544 [2107214544]The current time is 2009-12-7 11:28:48 (local time)11:28:48 d:+000468744s o:-000075503s [ ]11:28:51 d:+000468744s o:-000073991s [ ]11:28:53 d:+000468744s o:-000072479s [ ] 怎么样，我的计算机和国家授时中心的服务器只相差0007秒。2、 域内的客户端想要同主域时间同步，执行下面的命令即可。命令：w32tm /resync /rediscover下面列出使用方法：（使用命令W32tm /列出的帮助） w32tm [/ | /register | /unregister ]

域内时间服务器的时间同步，是遵循这样一个规则： client->child domain PDCe->parent domain PDCe->root PDCe->Internal Time Source->Internet Time Source

层层向上，自动同步，这就是为什么您即便修改了域内工作站的时间，重新启动又会恢复域内时间。

所以，一个标准的、稳定的时间源对于整个AD架构是非常重要的。需要提到的一点是，时间服务使用 udp 123--- gnaw0725

据我所知，net time命令只能使计算机的时钟与其他计算机或域的时钟同步。

我们建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这可以为您的域提供更准确的时间和更高的安全性。

Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。

配置 Windows 时间服务以使用外部时间源的具体步骤，请参考以下文章：

如何在 Windows Server 2003 中配置权威时间服务器

http://supportmicrosoftcom/kb/816042/zh-cn

我所知道的公共时间服务器有：

ntp2usnonavymil at 192541209

tockusnonavymil at 19254141

timewindowscom

一、选择服务器基准时钟，可选择内部硬件时钟和外部NTP授时服务器。 (首先要保证自己的时间准确)\x0d\A配置 Windows 时间服务以使用服务器内部硬件时钟\x0d\(1) 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。\x0d\(2) 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags\x0d\(3) 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。\x0d\(4) 在“编辑 DWORD 值”的“数值数据”框中键入 A，然后单击“确定”。\x0d\B配置 Windows 时间服务以使用外部时间源\x0d\(1) 指定时间源。为此，请按照下列步骤操作：\x0d\a 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer\x0d\b 在右窗格中，右键单击“NtpServer”，然后单击“修改”。\x0d\c 在“编辑值”的“数值数据”框中键入 Peers，然后单击“确定”。\x0d\注意：Peers 是一个占位符，应替换为您的计算机从中获取时间戳的对等端列表(以空格分隔)。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加 ,0x1。如果不在每个 DNS 名称后面附加 ,0x1，则在下面步骤中所做的更改将不会生效。\x0d\(2) 选择轮询间隔。为此，请按照下列步骤操作：\x0d\a 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\x0d\\SpecialPollInterval\x0d\b 在右窗格中，右键单击“SpecialPollInterval”，然后单击“修改”。\x0d\c 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds，然后单击“确定”。\x0d\注意：TimeInSeconds 是一个占位符，应替换为您希望各次轮询之间的间隔秒数。建议值为 900(十进制)。该值将时间服务器配置为每隔 15 分钟轮询一次。\x0d\(3) 配置时间校准设置。为此，请按照下列步骤操作：\x0d\a 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\x0d\\MaxPosPhaseCorrection\x0d\b 在右窗格中，右键单击“MaxPosPhaseCorrection”，然后单击“修改”。\x0d\c 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。\x0d\d 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds，然后单击“确定”。\x0d\注意：TimeInSeconds 是一个占位符，应替换为适当的值，如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。\x0d\e 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\\x0d\MaxNegPhaseCorrection\x0d\f 在右窗格中，右键单击“MaxNegPhaseCorrection”，然后单击“修改”。\x0d\g 在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。\x0d\h 在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds，然后单击“确定”。\x0d\注意：TimeInSeconds 是一个占位符，应替换为适当的值，如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。\x0d\二、配置NTP授时服务器\x0d\(1) 将服务器类型更改为 NTP。为此，请按照下列步骤操作：\x0d\a 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。\x0d\b 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type\x0d\c 在右窗格中，右键单击“Type”，然后单击“修改”。\x0d\d 在“编辑值”的“数值数据”框中键入 NTP，然后单击“确定”。\x0d\(2) 将 AnnounceFlags 设置为 5。为此，请按照下列步骤操作：\x0d\a 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags\x0d\b 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。\x0d\c 在“编辑 DWORD 值”的“数值数据”框中键入 5，然后单击“确定”。\x0d\(3) 启用 NTPServer。为此，请按照下列步骤操作：\x0d\a 找到并单击下面的注册表子项：\x0d\程序代码\x0d\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\x0d\b 在右窗格中，右键单击“Enabled”，然后单击“修改”。\x0d\c 在“编辑 DWORD 值”的“数值数据”框中键入 1，然后单击“确定”。\x0d\三、使配置即时生效\x0d\1 退出注册表编辑器。\x0d\2 在命令提示符处，键入以下命令以重新启动 Windows 时间服务，然后按 Enter：\x0d\程序代码\x0d\net stop w32time && net start w32time\x0d\四、配置防火墙允许NTP访问\x0d\如果你需要在服务器所在区域外访问该服务器的NTP服务，需要在防火墙上添加允许：\x0d\程序代码\x0d\名称 端口 协议 方向\x0d\SNTP时间基准 123 UDP 入\x0d\五、相关注册表说明\x0d\注册表项 MaxPosPhaseCorrection\x0d\路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\x0d\注意： 该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度，它将记录一个事件。(0xFFFFFFFF 是一种特殊情况，它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000，即 15 小时。\x0d\注册表项 MaxNegPhaseCorrection\x0d\路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\x0d\注意： 该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度，它将转而记录一个事件。(-1 是一种特殊情况，它表示总是校准时间。)域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000，即 15 小时。\x0d\注册表项 MaxPollInterval\x0d\路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\x0d\注意： 该项指定系统轮询间隔所允许的最大间隔(单位是对数表示的秒)。尽管系统必须根据预定的间隔进行轮询，但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。\x0d\注册表项 SpecialPollInterval\x0d\路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\x0d\注意： 该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时，W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。\x0d\注册表项 MaxAllowedPhaseOffset\x0d\路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\x0d\注意： 该项指定 W32Time 尝试使用时钟速率调整计算机时钟的最大偏移量(以秒为单位)。当偏移量大于该速率时，W32Time 将直接设置计算机时钟。域成员的默认值是 300。独立客户端和服务器的默认值是 1。\x0d\备注说明：\x0d\1、一般操作：\x0d\1)将时间服务器改成，授时中心地址（210。72。145。44）\x0d\net time /setsntp:2107214544\x0d\2)启动时间同步服务\x0d\sc start w32time\x0d\3)同步时间\x0d\w32tm /resync (实际上，大多数情况下，光作第三步即可。) 2、启动前提：\x0d\ DOS启动Window Time服务： net stop w32time 、 net start w32time\x0d\ 要启动 Window Time 服务，必须先启动 Remote Access Connection Manager 服务。

五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003

AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)

1：架构主机

(Schema

Master)2：域命令主机

(Domain

Naming

Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC

Emulator)4：RID主机

(RID

Master)5：基础架构主机

(Infrastructure

Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一

DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。2：域命令主机向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。name域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能4：主机角色：RID主机Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative

ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配500个)，所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突!

当非RID主机中分配的RID池使用到80%时，会继续RID主机，申请分配下一个RID地址池!5：基础架构主机基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。二：标准图形界面查看和更改操作主机角色的方法1：查看和更改架构主机角色：步骤：注册：regsvr32

schmmgmt

在MMC中添加AD架构管理单元打开MMC控制台，选中“Active

Directory架构”击“右键”，选择“操作主机”打开更改架构页面后,点击"更改"就可以进行架构主机角色的更改2查看和更改PDC模拟器,RID主机以及基础结构主机步骤：开始-设置-控制面板-管理工具-Active

Directory用户和计算机

选定当前域名，右键单击，选择“操作主机”在打开的页面中，通过点击“更改”按钮就可以对RID主机，PDC模拟器以及基础结构主机角色进行更改3查看和更改域命名主机角色步骤：点击“开始-设置-控制面板-管理工具-Active

Directory域和信任关系”:

选中“Active

Directory域和信任关系”，右键单击，选择“操作主机”在打开的窗口中，点击“更改”按钮就可以实现对域命名主机角色进行更改四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003

Support

Tools工具1：使用Netdom工具查看操作主机角色Netdom

Query

FSMO3利用自制监视器Replmon查看和检查操作主机角色复制监视器Replication

Monitor(ReplMon)是针对Windows

Server的故障查找工具,不但是定位活动目录复制故障强有利的工具，同时也可以使用该工具查看和检查操作主机角色状态。步骤：选中当前DC，右键单击，选择“Properties”在弹出窗口中，选择“FSMO

Roles”分窗口，出现如下界面：在该窗口，列出所有的FSMO操作主机，同时通过“Query”按钮，可以检测出当前DC

与FSMO操作主机之间通讯是否正常。四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003

Support

Tools工具1：使用Netdom工具查看操作主机角色

Netdom

Query

FSMO2：使用Dsquery工具查看操作主机角色Dsquery

Server

–Hasfsmo

Schema

//查看架构主机Dsquery

Server

–Hasfsmo

Name

//查看域

主机Dsquery

Server

–Hasfsmo

PDC

//查看PDC模拟器主机Dsquery

Server

–Hasfsmo

RID

//查看RID主机Dsquery

Server

–Hasfsmo

Infr

//查看基础结构主机3：使用Ntdsutil工具更改操作主机角色Ntdsutil工具的功能非常强大，可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。五：操作主机角色放置优化配置建议默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!常见的操作主机角色放置建议如下：1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少。但要保证可用性，否则在安装Exchange等会扩展AD架构的软件时会出错。2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的，以保证在添加删除当前林中域时可以使用。一般建议由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。4：RID主机：对于占有RID

Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。5：基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。

五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003 AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色) 1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。2：域命令主机向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。name域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能4：主机角色：RID主机Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配500个)，所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突! 当非RID主机中分配的RID池使用到80%时，会继续RID主机，申请分配下一个RID地址池!5：基础架构主机基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。二：标准图形界面查看和更改操作主机角色的方法1：查看和更改架构主机角色：步骤：注册：regsvr32 schmmgmt 在MMC中添加AD架构管理单元打开MMC控制台，选中“Active Directory架构”击“右键”，选择“操作主机”打开更改架构页面后,点击"更改"就可以进行架构主机角色的更改2查看和更改PDC模拟器,RID主机以及基础结构主机步骤：开始-设置-控制面板-管理工具-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”在打开的页面中，通过点击“更改”按钮就可以对RID主机，PDC模拟器以及基础结构主机角色进行更改3查看和更改域命名主机角色步骤：点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”: 选中“Active Directory域和信任关系”，右键单击，选择“操作主机”在打开的窗口中，点击“更改”按钮就可以实现对域命名主机角色进行更改四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003 Support Tools工具1：使用Netdom工具查看操作主机角色Netdom Query FSMO3利用自制监视器Replmon查看和检查操作主机角色复制监视器Replication Monitor(ReplMon)是针对Windows Server的故障查找工具,不但是定位活动目录复制故障强有利的工具，同时也可以使用该工具查看和检查操作主机角色状态。步骤：选中当前DC，右键单击，选择“Properties”在弹出窗口中，选择“FSMO Roles”分窗口，出现如下界面：在该窗口，列出所有的FSMO操作主机，同时通过“Query”按钮，可以检测出当前DC 与FSMO操作主机之间通讯是否正常。四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003 Support Tools工具1：使用Netdom工具查看操作主机角色 Netdom Query FSMO2：使用Dsquery工具查看操作主机角色Dsquery Server –Hasfsmo Schema //查看架构主机Dsquery Server –Hasfsmo Name //查看域 主机Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机Dsquery Server –Hasfsmo RID //查看RID主机Dsquery Server –Hasfsmo Infr //查看基础结构主机3：使用Ntdsutil工具更改操作主机角色Ntdsutil工具的功能非常强大，可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。五：操作主机角色放置优化配置建议默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!常见的操作主机角色放置建议如下：1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少。但要保证可用性，否则在安装Exchange等会扩展AD架构的软件时会出错。2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的，以保证在添加删除当前林中域时可以使用。一般建议由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。4：RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。5：基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。

ad故障范围一般涵盖在单一用户账户、单一客户端、网络和服务端这四个方面。

1)确认单一域用户账户的故障

如果在使用某个域用户账户登录域或访问域内共享资源的时候出现故障，可以在该客户端使用其他域用户账户登录域或者访问共享资源。如果操作成功，则说明是该域用户账户问题。故障原因可能是用户账户禁用、密码过期、权限设置等问题。可以通过在域控制器中查找用户账户的所有信息去判断故障点及其原因。

2）确认单一客户端的故障

如果上述操作失败，可以用故障用户账户在其他客户机上登录域或访问域内共享资源，如果操作成功，则说明是故障用户所用的计算机有问题。故障原因可能是该计算机和目标服务器之间时间不同步，网络连接有问题，如IP或DNS地址设置错误、网卡故障等，可以使用ping、ipconfig、nslookup等命令行工具去判断故障所在。

3）确认网络方面的故障

如果域用户账户在同一网段的客户端都无法登陆域服务器或访问域内共享资源，换做其网段计算机则操作成功，可以说明整个网段有问题，故障原因可能是路由器、交换机、配线架等方面的问题。可以在路由器或交换机上使用自带的命令去检查网络故障。

4）确认服务器端的故障

如果域用户账户在任何客户端都无法登陆域或访问域内共享资源，不外乎就是网络方面故障或域控制器故障了。先使用域管理员账户登陆到域控制器，打开"Active Directory用户和计算机"等活动目录管理控制台，查看其是否运行正常，然后还可以通过查看系统事件日志、系统服务运行状态、检查服务器性能等方面确定故障所在。如果域内有多台域控制器，则都要逐一进行检查，确定是否有问题。如果确认域控制器没有任何问题，则可以去检查网络方面的问题了。