ActiveDirectory支持域中所有域控制器之間的目錄數據存儲的多主機複製,因此域中的所有域控制器實質上都是對等的。ActiveDirectory支持域中所有域控制器之間的目錄數據存儲的多主機複製,因此域中的所有域控制器實質上都是對等的。但是,某些更改不適合使用多主機複製執行,因此對於每一個此類更改,都有一個稱爲“操作主機”的域控制器接收此類更改的請求。操作主機可以保證一致性並消除ADDS數據庫中出現衝突的項目的可能性。
在每個林中,至少有五個指派給一個或多個域控制器的操作主機角色。在每個林中,林範圍的操作主機角色必須只出現一次。在林中的每個域中,域範圍的操作主機角色必須在每個域中出現一次。
一、操作主機介紹
ADDS中的五個操作主機角色分別是:架構主機、域命名主機、RID主機、PDC仿真器、基礎結構主機。
架構主機和域命名主機是每林角色,即每個林只有一臺架構主機和一臺域命名主機。其餘3個角色是每域角色,林中的每個域只有3種中的一種操作主機角色。當在林中安裝ADDS並創建第一臺域控制器時,它會擁有所有5個角色,類似地,在向林中添加域時,每個新域中的第一臺域控制器也會獲得每域的操作主機角色。
下面介紹分別介紹5個操作主機的作用:
架構主機
宿主架構主機角色的域控制器負責對林的架構進行更新和修改,其他域控制器則只包含架構的只讀副本。要更新或修改林的架構,您必須具備訪問架構主機的權限。如果做出架構改變後,架構更新就會複製到林中的所有其他域控制器。在整個林中,架構主機是唯一的,只能有一個架構主機。
域命名主機
域命名主機主要用於爲林中添加或刪除域時使用,負責確保域名的唯一性。如果域命名主機不可用,則無法向林中添加域或從林中刪除域。在整個林中,域命名主機是唯一的,只能有一個域命名主機。
RID主機
RID主機將相對標識符(RID)分配給域中每個不同的域控制器,每個域只有一個RID操作主機角色,用於管理RID池,從而在整個域範圍內創建的新的安全主體,如:用戶、組和計算機。每個安全主體都有一個唯一SID。RID主機用於保證域控制器生產的SID是唯一的。RID主機把一些相對標識符(RID)(稱爲RID池)頒發給域中的每臺域控制器。當任何域控制器上的RID池中的可用RID的數量較少時(小於100),就會從RID主機請求一些RID。每次收到這樣的請求,RID主機都會向域控制器再頒發大約500個RID的RID池。
PDC仿真器
PDC仿真器負責執行很多與域有關的關鍵功能,主要有:爲Windows2000提供支持、維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內時間同步、維護網絡中主機列表。
基礎結構主機
基礎結構主機負責更新域之間的組-用戶引用。這個操作主機角色確保對象名稱的改變(常用名稱屬性的更改cn)反映在位於不同域中的組成員身份信息中。基礎結構主機維護這些引用的最新列表,然後將這個信息複製給域中所有域控制器。如果基礎結構主機不可用,域之間的組-用戶引用就會過時。
二、操作主機轉移
在實驗環境中介紹5個操作主機的轉移方法。
實驗環境:
使用圖形界面轉移
1.在命令提示符中輸入:netdomqueryfsmo查詢操作主機宿主的域控制器,可以看到5個操作主機全部在DC01上。
2.在DC01上打開“ActiveDirectory用戶和計算機”,右擊選擇“更改域控制器”然後選擇。也可以在DC02中打開“ActiveDirectory用戶和計算機”,則可以跳過此步。
3.在DC01上打開“ActiveDirectory用戶和計算機”,右擊域名“Lab.com”,選擇“操作主機”。
4.在RID主機頁面點擊“更改”在彈出的傳送操作主機角色警告中選擇“是”後提示成功傳送操作主機。用同樣的方法可以將PDC和基礎結構主機從DC01到DC02。
5.上面的步驟完成了域範圍的操作主機轉移。下面介紹林範圍的操作主機轉移。在DC01中打開“ActiveDirectory域和信任關係”,同步驟2的方法更改域控制器到DC02.Lab.com。
6.右擊選擇“操作主機”,在操作主機對話框中點擊“更改”,然後選擇“是”確認轉移操作主機。提示成功,已完成域命名操作主機轉移。
7.現在就剩下架構主機。架構主機可以在”ActiveDirectory架構”中進行轉移。默認情況下是找不到這個管理工具,需要先註冊動態鏈接庫。在命令提示符中輸入:regsvr32schmmgmt.dll
8.運行中輸入:mmc,打開控制檯。在添加或刪除管理單元中添加“ActiveDirectory架構”,添加完成後同步驟2的方法更改域控制器,連接到DC2.Lab.com,在“ActiveDirectory架構”右擊選擇“操作主機”。
9.命令提示符中輸入:netdomqueryfsmo查詢操作主機所在域控制器,再次確認轉移是否成功。
至此,已經完成在圖形界面轉移5個操作主機的方法。
使用Ntdsutil命令轉移
前面介紹了使用圖形界面對操作主機進行轉移,下面介紹使用ntdsutil命令進行轉移,將操作主機從DC02轉移回DC01。使用命令方式進行轉移相對方便一些。
1.打開命令提示符,輸入:ntdsutil,進入ntdsutil提示符後,輸入:roles。如果需要查到命令作用及用法可以輸入:?,獲取幫助信息。
2.這時需要連接到轉移操作主機的目標域控制器,這裏我們需要連接到DC01。輸入:connections,然後輸入:connecttoserverdc01。連接成功後輸入:quit退回到fsmomaintenance:
3.這時就可以進行操作主機的轉移了。分別使用下面5個命令轉移相應的操作主機:
Transferdomainnamingmaster轉移域命名主機
Transferinfrastructuremaster轉移基礎結構主機
TransferPDC轉移PDC主機
TransferRIDmaster轉移RID主機
Transferschemamaster轉移架構主機
還有5個命令是強制將操作主機轉移到指定域控制器。一般只有在操作主機離線或者故障無法啓動時才使用,操作方法相同。
Seizedomainnamingmaster
Seizeinfrastructuremaster
SeizePDC
SeizeRIDmaster
Seizeschemamaster
4.最後再次確認是否成功轉移。
總結:本文介紹了操作主機的作用及轉移方法。操作主機在ADDS中分別承擔不同作用,瞭解操作主機的作用,在日常的故障排錯能起到一定的作用。以及當宿主操作主機的DC故障時,怎麼將操作主機轉移到新的域控制器。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1298137