AD中的5種操作主機

在之前我們已經了解了在AD(活動目錄)中建立林,域樹和子域的方法,在一個域中,為了提高容錯性和高可用性,我們建議大家在一個域中最好存在多台DC,每個DC維護域中相同的活動目錄資料庫.而這些DC是對等的,那麼就會産生一些問題:為了保證活動目錄資料庫的一緻性就需要執行複制操作,一般的複制是多主機複制(多個DC平等),但某些更改不适合使用多主機複制執行,是以需要有稱為"操作主機"的DC接受此類更改的請求.

首先我們先來了解什麼是"操作主機","操作主機"都包括什麼?

在每個林中有5種操作主機角色(這些操作主機角色可以指派給一個或多個DC)

在林範圍内包括以下兩種:

1)架構主機

2)域命名主機

在每個林中這些角色都必須是唯一的!

在域範圍内包括以下:

1)主域控制器仿真主機（PDC Emulator）

2)相對 ID (RID) 主機

3)基礎結構主機

以上三種在每個域中必須是唯一的!

1.架構主機（Schema Master）

架構主機控制對整個林的架構的全部更新

在整個林中，隻能有一個架構主機 

如何管理架構主機(預設沒有安裝管理架構的工具):

    1)注冊架構管理工具regsvr32 schmmgmt.dll

    2)使用mmc添加【Active Directory架構】

    3)檢視架構主機

2.域命名主機（Domain Naming Master）

控制林中域的添加或删除，可以防止林中的域名重複

在整個林中隻能有一個域命名主機

注意:任何運作WIN2003的DC都可以擔當域命名主機這一角色,如果運作WIN2003的DC擔當域命名主機角色,則必須啟用為全局編錄伺服器

使用【Active Directory域和信任關系】檢視域命名主機

3.PDC 仿真主機（PDC Emulator Master）

PDC 仿真主機作為混合模式域中的Windows NT PDC（主域控制器） 

林中的每個域中隻能有一個PDC 仿真主機 

PDC 仿真主機的主要作用:

    1)管理來自用戶端（Windows NT/95/98）的密碼更改 

    2)最小化密碼變化的複制等待時間 

    3)同步整個域内所有域控制器上的時間

    4)檢視PDC 仿真主機

4.RID 主機（RID Master）

RID 主機将相對 ID（RID）序列配置設定給域中每個域控制器

林中的每個域中隻能有一個RID 主機

每次當DC建立使用者、組或計算機對象時，它就給該對象指派一個唯一的安全ID（SID）。SID包含一個域SID（它與域中建立的所有SID相同）和一個RID（它對域中建立的每個SID是唯一的）。對象的SID=域SID+RID

使用【Active Directory使用者和計算機】檢視RID主機  

5.基礎結構主機（Infrastructure Master）

負責更新從它所在的域中的對象到其他域中對象的引用 

每個域中隻能有一個基礎結構主機

基礎結構主機将其資料與全局編錄的資料進行比較,全局編錄通過複制操作接受所有域中對象的定期更新,進而使全局編錄的資料始終保持更新.如果基礎結構主機發現資料已過時時,則它會從全局編錄請求更新的資料,然後,基礎結構主機再将這些更新的資料複制到域中的其他DC!

使用基礎結構主機的要點:

1)除非域中隻有一個域控制器，否則不應将基礎結構主機角色指派給全局編錄所在的域控制器

2)如果域中的所有域控制器都存有全局編錄 ,則無論哪個域控制器承擔基礎結構主機角色均不重要 

3)負責在重命名或更改組成員時更新“組到使用者”的引用

操作主機角色總結:

接下來我們來做轉移操作主機角色

案例:BENET公司組建了一個單域benet.com.cn,有兩台DC，第一台DC的硬體配置比較低,第二台DC的硬體配置較高,目前的5個操作主機角色都在第一台DC上，如何将之轉移到第二台DC上?

1)轉移PDC主機,RID主機和基礎結構主機角色

a)打開"AD使用者與計算機"工具,右擊"AD使用者與計算機"然後單擊"連接配接到域控制器",在"輸入另一個DC的名稱"視窗中,輸入要擔任PDC主機角色的DC的名稱(dc2.benet.com.cn)或單擊可用的DC清單中的該DC.在控制台樹中,右擊"AD使用者與計算機",指向"所有任務",然後單擊"操作主機"---"PDC"指令,顯示目前的操作主機是"dc1.benet.com.cn":

b)選擇"更改":

c)檢視操作主機已經被轉移成功,轉移操作是可逆的!

2)轉移架構主機角色

a)使用"AD架構"工具"來更改域控制器:

b)指定名稱:

c)更改架構主機:

轉移架構主機注意:

執行此過程的帳戶必須是AD中Schema admins組的成員,後者必須被委派了相應的權限

要想在控制台中添加AD架構管理單元,需要執行"regsvr32 schmmmgmt.dll"指令注冊該管理單元

3)轉移域命名主機角色

a)打開"AD域和信任關系"工具,選擇"連接配接到DC",在"輸入另一個DC的名稱"視窗中輸入要擔任域命名主機角色的DC的名稱.

b)在控制台中,右擊"AD域和信任關系",然後單擊"操作主機",顯示域命名主機是"dc1.benet.com.cn"

c)選擇更改:

轉移域命名主機角色要注意:

執行此過程的帳戶必須是AD中的domain admins組或 enterprise admins組的成員,後被委派權限

若要将角色轉移到另一個DC,可能首先需要将"AD域和信任關系"的焦點改為目标DC,要執行此操作,右擊"AD域和信任關系",在單擊"連接配接到域控制器",然後單擊目标DC即可!

當然還可以使用指令行方式轉移主機角色

以下顯示轉移RID主機的操作:

如果要轉移其他角色,可以在fsmo maintenance指令提示符下,輸入"help"指令:

 命 令

 意 義

 Transfer PDC

 轉移PDC仿真主機

 Transfer PID master

 轉移RID主機

 Transfer infrastructure master

 轉移基礎結構主機

 Transfer domain naming master

 轉移域命名主機

 Transfer schema master

 轉移架構主機

轉移操作主機角色的總結:

在轉移主機角色過程中，相關DC始終聯機，是以沒有資料損失

在轉移主機角色過程中要注意執行者是否有權限

可以使用Windows圖形界面和指令行方式實作

轉移操作主機的過程是可逆的

剛才我們在做轉移主機的時候,原來的DC還存在,屬于聯機狀态下做的轉移,那麼如果操作主機角色所在的域控制器出了故障，并且無法恢複，如何解決?這時就不能通過轉移的方法産生出新的操作主機角色,那麼要通過占用操作主機的方法(或叫強制傳送).

案例:BENET公司組建了一個單域,域名為benet.com.cn,有兩台DC,目前的5個操作主機角色都在第一台DC上,某一天第一台DC出了故障,并且無法恢複,如何使第二台DC充當5個操作主機角色呢?

為了模拟第一台DC出故障,可以禁用第一台DC的網卡,使該計算機不能聯網,這時第二台DC就聯系不到操作主機,顯示操作主機錯誤,如下圖,角色不能被傳送.

1）在“指令提示符”中鍵入“ntdsutil”指令

2）在ntdsutil指令提示符下鍵入“roles”指令

3）在fsmo maintenance指令提示符下,鍵入“connection” 指令

4）在server connections指令提示符下,鍵入 "connect to server dc2.benet.com.cn"(由于第一台DC脫機,需要使用第二台DC進行域名解析)指令

5）在server connections指令提示符下,鍵入“quit”（傳回上一級指令提示符）

6）在fsmo maintenance指令提示符下,鍵入“seize RID master” ,按提示确認是否占用RID Master角色,單擊"是"按鈕,完成操作後,操作主機恢複為第二台DC:

最後檢視操作主機:

如果要占用其他角色,可以在fsmo maintenance指令提示符下,鍵入"help"指令,使用以下指令來完成:

  Seize PDC

 占用PDC仿真主機

  Seize  PID master

 占用RID主機

  Seize infrastructure master

 占用基礎結構主機

  Seize domain naming master

 占用域命名主機

  Seize schema master

 占用架構主機

本文轉自 nick_zp 51CTO部落格，原文連結：http://blog.51cto.com/nickzp/41252，如需轉載請自行聯系原作者