本文來源IT哇咔作者:至冬、寒江雪 http://windows.itwaka.com/domain/69730.html
AD定義了五種操作主控角色(FSMO)分別爲:
| 架構主控 schema master | 作用於林級別(一個林中只能有一個架構主控) |
| 域命名主控 domain naming master | 作用於林級別 |
| 相對標識號 (RID) 主控 RID master | 作用於域級別(一個域中只能有一個架構主控) |
| 主域控制器模擬器 (PDC) | 作用於域級別 |
| 基礎結構主控 infrastructure master | 作用於域級別 |
架構主控(Schema Master)作用於林級別
功能:控制活動目錄內所有對象/屬性的定義
提示:Regsvr32 schmmgmt.dll(註冊架構主控) 屬於Schema Admins組
故障影響:更新Schema受影響、短期內一般看不到影響
典型問題如:無法安裝Exchange
故障處理:只能使用奪取操作,且不可逆向轉移,確保原PDC宕機情況下才可使用
若修改AD的架構,只能從架構主機上進行操作。很多高級服務器產品在部署時都需修改AD的架構,如Exchange。若在域中部署Exchange時無法在線聯繫架構主機,則Exchange的部
署就無法繼續。MCSE考題曾考過此知識點
域命名主控(Domain Naming Master)作用於林級別
功能:控制森林內域的添加和刪除、添加和刪除對外部目錄的交叉引用對象
提示:建議與GC配置在一起 屬於Enterprise Admins組
故障影響:更改域結構受影響、短期內一般看不到影響
典型問題如:添加/刪除域
故障處理:只能使用奪取操作,且不可逆向轉移,確保原PDC宕機情況下才可使用
主要負責控制域林內域的添加或刪除,即若在林域內添加一個新域,必須由域命名主控判斷域名合法,操作纔可以繼續。如果域命名主控不在線,就無法完成林域內的新域創建。
除了對域名做詮釋。
還負責添加或刪除描述外部目錄的交叉引用對象。
RID主控(RID Master)作用於域級別
功能:管理域中對象相對標識符(RID)池
對象安全標識符(SID)=域安全標識符+相對標識符(RID)*
如:S-1-5-21-1343024091-879983540-3…
S-1-5-21-D1-D2-D3-RID,S是SID的縮寫,1是SID的版本號,5代表授權機構,21代表子授權,D1-D2-D3是三個數字,代表對象所在的域或計算機,RID是對象在域中或計算機中的相
對號碼。管理員的SID爲S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。
故障影響:無法獲得新的RID池分配
典型問題如:無法新建(大量)用戶帳號故障處理:只能使用奪取操作,且不可逆向轉移,確保原PDC宕機情況下才可使用
RID是SID的一部分, 作用即爲AD提供一個可用的RID池(默認500個)而且當池中的RID被消耗到一定程度後再自動補充滿。如果RID主機出現故障,顯然會對我們創建大量的用戶賬號造成麻煩。
PDC模擬主控(PDC Emulator)作用於域級別功能:模擬Windows NT PDC、默認的域主瀏覽器、默認的域內權威的時間服務源、統一管理域帳號密碼更新、驗證及鎖定
提示:PDC模擬主控不僅是模擬NT PDC、一般負荷較大
故障影響:底端客戶不能訪問AD、不能更改域帳號密碼、瀏覽服務問題、時間同步問題。
故障處理:需要及時地恢復,可以使用轉移操作,PDC在線情況下轉移到其他主機上。
兼容NT4服務器;優先成爲主瀏覽器(即網絡中的一種計算機角色:維護網上鄰居中計算機列表);AD的優先複製權(AD內容發生變化時優先複製到PDC中);充當域內的權威時間源;組策略的首選存儲地點。
基礎結構主控(Infrastructure Master)作用於域級別
功能:負責對跨域對象引用進行更新
提示:單域情況下基礎結構主機不需要工作、不能同時和GC配置在一起(單DC除外)故障影響:外域帳號不能識別,標記爲SID
故障處理:需要比較及時地恢復,可以使用轉移操作,PDC在線情況下轉移到其他主機上。
結構主機的作用是負責對跨域對象的引用進行更新,假如A域的一個用戶加入了B域的一個組,B域的結構主控就會負責關注A域的這個用戶是否發生了什麼變化,如是否被刪除了,結構主控的工作可以確保域間對象引用的可操作性。
如爲一個單域,基本上用不着結構主控做什麼工作。
如果在一個多域的林環境,結構主控不要和GC(全局編錄)放在同一臺DC上,否則結構主控無法正常工作。
操作主控的放置建議
默認情況:架構主控在根域的第一臺DC上、域命名主控在根域的第一臺DC上、其他三個主控(RID主控、PDC模擬主控、基礎結構主控)角色在各自域的第一臺DC上
考慮問題:和GC的衝突、性能考慮
手工優化:基礎結構主控與GC不放在一起;域命名主控與GC放在一起;架構主控與域命名主控可放在一起;PDC模擬主控建議單獨放置。
實驗環境:
Ad域:corp.cn DC兩臺 一臺主dc dc1.corp.cn 一臺從dc win2k3.corp.cn
實驗要求:
將5種操作主機在奪取到win2k3上
關掉dc1 在win2k3上
Fsmo maintenance:Seize domain naming master
Fsmo maintenance:Seize infrastructure master
Fsmo maintenance:Seize PDC
Fsmo maintenance:Seize RID master
Fsmo maintenance:Seize schema master
被搶奪的dc最好直接格盤,在格盤前不要連接到網絡
查看搶奪後的操作主機
安裝光盤裏的supporttools
搶奪成功! 也可在管理工具裏看操作主機~
實驗要求:
Dc1 出了問題 從dc win2k3的強制降級
Win2k3上
若降級出現這種問題 則需要將域的5個操作主機奪取過來 並將gc設置爲自己
即可
若出現
應用程序目錄無法刪除的情況 則需手動刪除了
Delete nc DC=ForestDnsZone,DC=corp,DC=cn
Delete nc DC=DomainDnsZone,DC=corp,DC=cn
即可!