活動目錄系列之九：操作主機

今天我們討論一下有關操作主機的問題。在域環境裏，我們不得不考慮活動目錄的複製問題，我們知道大多數DC之間的複製是一種多主複製的機制。而有一些特定的操作必須採用單主機複製，而複製的源就是操作主機。當然操作主機也是DC，無非有着特殊的功能而矣。
 
（一）操作主機的角色：
Forest-wide roles：存在於根域DC中
1.Schema master 架構主機
2.Domain naming master域命名主機
Domain-wide roles：每個域中DC會擁有這三種角色
3.PDC　emulator PDC仿真主機
4.RID master RID主機
5.Infrastructure master 基礎結構主機
（二）操作主機的查看：
架構主機的查看：先運行regsrv32 schmmgmt.dll 後，利用MMC添加“AD架構”後在根上右擊選“操作主機”即可看到。
域命名主機的查看：打開domain.msc後，在根上右擊選“操作主機”即可看到。
域唯一的三種操作主機的查看：右擊“AD用戶和計算機”，右擊域――操作主機，可以看到有三個操作主機。
或用命令查看:netdom query fsmo (事先安裝支持工具)
（三）操作主機的作用：
1.架構主機：負責森林架構的刪除和修改，如何定義AD數據庫。比如部屬Exchange時需要進行森林擴展，其實就是對森林的架構進行修改，這個操作必須要能聯繫上架構主機。
操作權限的用戶必須是schema admins組的成員。
2.域命名主機：如果要新建一個域，由它來檢測是否重名。
功能：控制森林內域的添加和刪除;添加和刪除對外部目錄的交叉引用對象。
建議和GC配置在一臺主機上。
操作權限：Enterprise Admins組
3.PDC　Emulator：
默認情況下森林中的GC和每個子域的第一臺DC都是PDC Emulator。
功能：
a.模擬Windows NT PDC
b.默認的域主瀏覽器，如網上鄰居的列表。
c.默認的域內權威的時間服務源
d.統一管理域帳號密碼更新、驗證及鎖定
e.組策略存放地（默認）
4.RID master：
功能：管理域中對象相對標識符（RID）池。
一般RID主機會一次分給域內不同的DC各500個RID號，當每個DC用到80%時會向RID主機提出申請。
5. Infrastructure master：
功能：負責對跨域對象引用進行更新。
比如本地域組中有一個其它域的用戶，當這個用戶被刪除後，由基礎結構主機負責更新這個組的內容，並將其複製到同一個域內的其他DC。這個更新操作由基礎結構主機通過查詢GC來完成。故在多域情況下不能把二者放在一臺機器上。否則Infrastructure master不起作用。
單域情況下不需要工作，而在多域情況下不能和GC在一起。
（四）操作主機的佈局原則：
考慮和GC的衝突、性能-----所以要更改主機。
a.基礎結構主機與GC不放在一起（多域下）
b.域命名主機與GC放在一起:如果林功能級別是win2000模式，二者必須在一起，如果是2003模式，可以分開。
c.架構主機與域命名主機可放在一起
e.PDC模擬主機建議單獨放置
注意：
**一般建議：架構主機、域命名主機、GC可以考慮放在一起。
**PDC單獨存放。
（五）操作主機角色的轉移和佔用（圖形方式和命令方式）
    根據上述的分析，我們有兩種情況需要對操作主機的角色進行更改，一種情況就是爲了性能或與GC的衝突考慮，在這種情況下我們要對操作主機進行轉移。第二種情況就是原來操作主機的角色的DC發生的故障，此時我們考慮進行強奪。下面是當操作主機出現問題時的行爲考慮：
a. 當網絡中的schema master/domain naming master/RID三種角色如果存在有故障，則由其它DC來強奪，但如果前者再恢復好，也不要再聯機，最好格式化硬盤。
b. 當網絡中的PDC、基礎結構主機這兩種角色出現故障，可以由其它DC強奪，不過當前者恢復好後，發現角色已被佔用，會自動失效，不過可以再轉移過來。

具體的操作：
1. 轉移：前提是相應的操作主機的角色在線。
比如轉移PDC主機
a. 利用圖形方式：
打開PDC這臺DC的dsa.msc，在域上右擊--連接到域控制器（選擇欲成爲PDC角色的DC）如圖所示：



再次右擊該域--選擇操作主機--找到PDC，如下圖所示：




單擊更改，即完成的操作主機的轉移工作。至於其它操作主機的轉移工作類似操作。不再贅述。

b. 利用命令方式：我們把操作主機再從n2轉到n1，如下操作：

單擊“是”，即完成的操作主機的轉移工作。如上圖中如果選擇seize...即是強奪操作。其它操作主機的角色的更改，就不用說了吧。

2. 佔用：聯繫不上相應的操作主機時。（儘可能用命令方式，具體要求操作如上圖所示，無非選擇seize行即可。此處略了吧~~~）

（六）建議：
    上面五種操作操作，如果PDC操作主機出問題，要馬上解決或進行強奪，架構主機和域命名主機出問題，可以暫不解決，先進行原有主機的修復，實在修復不了，再考慮強奪。RID主機出現問題，在域環境相對穩定的情況下也沒有大的影響，也可以先對原有主機進行修復，實現修復不了，再考慮強奪。在單域情況下，不用考慮基礎結構主機。多域下如果壞了，強奪吧。

終於寫完了，希望這篇文檔能對各位有所幫助。