從入門到精通AD中的5種操作主機

從入門到精通之AD中的5種操作主機

在之前我們已經瞭解了在AD(活動目錄)中創建林,域樹和子域的方法,在一個域中,爲了提高容錯性和高可用性,我們建議大家在一個域中最好存在多臺DC,每個DC維護域中相同的活動目錄數據庫.而這些DC是對等的,那麼就會產生一些問題:爲了保證活動目錄數據庫的一致性就需要執行復制操作,一般的複製是多主機複製(多個DC平等),但某些更改不適合使用多主機複製執行,因此需要有稱爲"操作主機"的DC接受此類更改的請求.
首先我們先來了解什麼是"操作主機","操作主機"都包括什麼?

在每個林中有5種操作主機角色(這些操作主機角色可以指派給一個或多個DC)

在林範圍內包括以下兩種:
1)架構主機
2)域命名主機

在每個林中這些角色都必須是唯一的!

在域範圍內包括以下:
1)主域控制器仿真主機（PDC Emulator）
2)相對 ID (RID) 主機
3)基礎結構主機

以上三種在每個域中必須是唯一的!

 

1.架構主機（Schema Master）

 

架構主機控制對整個林的架構的全部更新
在整個林中，只能有一個架構主機
如何管理架構主機(默認沒有安裝管理架構的工具):
    1)註冊架構管理工具regsvr32 schmmgmt.dll
    2)使用mmc添加【Active Directory架構】
    3)查看架構主機

 

 

 

 

2.域命名主機（Domain Naming Master）

控制林中域的添加或刪除，可以防止林中的域名重複
在整個林中只能有一個域命名主機

注意:任何運行WIN2003的DC都可以擔當域命名主機這一角色,如果運行WIN2003的DC擔當域命名主機角色,則必須啓用爲全局編錄服務器
使用【Active Directory域和信任關係】查看域命名主機

 

 

3.PDC 仿真主機（PDC Emulator Master）

PDC 仿真主機作爲混合模式域中的Windows NT PDC（主域控制器）
林中的每個域中只能有一個PDC 仿真主機
PDC 仿真主機的主要作用:
    1)管理來自客戶端（Windows NT/95/98）的密碼更改
    2)最小化密碼變化的複製等待時間
    3)同步整個域內所有域控制器上的時間
    4)查看PDC 仿真主機

 

4.RID 主機（RID Master）

 

RID 主機將相對 ID（RID）序列分配給域中每個域控制器
林中的每個域中只能有一個RID 主機
每次當DC創建用戶、組或計算機對象時，它就給該對象指派一個唯一的安全ID（SID）。SID包含一個域SID（它與域中創建的所有SID相同）和一個RID（它對域中創建的每個SID是唯一的）。對象的SID=域SID+RID
使用【Active Directory用戶和計算機】查看RID主機

 

 

5.基礎結構主機（Infrastructure Master）

負責更新從它所在的域中的對象到其他域中對象的引用
每個域中只能有一個基礎結構主機

基礎結構主機將其數據與全局編錄的數據進行比較,全局編錄通過複製操作接受所有域中對象的定期更新,從而使全局編錄的數據始終保持更新.如果基礎結構主機發現數據已過時時,則它會從全局編錄請求更新的數據,然後,基礎結構主機再將這些更新的數據複製到域中的其他DC!
使用基礎結構主機的要點:
1)除非域中只有一個域控制器，否則不應將基礎結構主機角色指派給全局編錄所在的域控制器
2)如果域中的所有域控制器都存有全局編錄 ,則無論哪個域控制器承擔基礎結構主機角色均不重要
3)負責在重命名或更改組成員時更新“組到用戶”的引用

 

 

操作主機角色總結:

 

 

接下來我們來做轉移操作主機角色

案例:BENET公司組建了一個單域benet.com.cn,有兩臺DC，第一臺DC的硬件配置比較低,第二臺DC的硬件配置較高,目前的5個操作主機角色都在第一臺DC上，如何將之轉移到第二臺DC上?

 

 

1)轉移PDC主機,RID主機和基礎結構主機角色

a)打開"AD用戶與計算機"工具,右擊"AD用戶與計算機"然後單擊"連接到域控制器",在"輸入另一個DC的名稱"窗口中,輸入要擔任PDC主機角色的DC的名稱(dc2.benet.com.cn)或單擊可用的DC列表中的該DC.在控制檯樹中,右擊"AD用戶與計算機",指向"所有任務",然後單擊"操作主機"---"PDC"命令,顯示當前的操作主機是"dc1.benet.com.cn":

 

 

b)選擇"更改":

 

 

c)查看操作主機已經被轉移成功,轉移操作是可逆的!

 

2)轉移架構主機角色

a)使用"AD架構"工具"來更改域控制器:

 

 

b)指定名稱:

 

 

c)更改架構主機:

 

 

 

轉移架構主機注意:

執行此過程的帳戶必須是AD中Schema admins組的成員,後者必須被委派了相應的權限

要想在控制檯中添加AD架構管理單元,需要執行"regsvr32 schmmgmt.dll"命令註冊該管理單元

 

3)轉移域命名主機角色

a)打開"AD域和信任關係"工具,選擇"連接到DC",在"輸入另一個DC的名稱"窗口中輸入要擔任域命名主機角色的DC的名稱.

b)在控制檯中,右擊"AD域和信任關係",然後單擊"操作主機",顯示域命名主機是"dc1.benet.com.cn"

c)選擇更改:

 

 

轉移域命名主機角色要注意:

執行此過程的帳戶必須是AD中的domain admins組或 enterprise admins組的成員,後被委派權限

若要將角色轉移到另一個DC,可能首先需要將"AD域和信任關係"的焦點改爲目標DC,要執行此操作,右擊"AD域和信任關係",在單擊"連接到域控制器",然後單擊目標DC即可!

 

當然還可以使用命令行方式轉移主機角色

以下顯示轉移RID主機的操作:

 

如果要轉移其他角色,可以在fsmo maintenance命令提示符下,輸入"help"命令:

命 令	意 義
Transfer PDC	轉移PDC仿真主機
Transfer PID master	轉移RID主機
Transfer infrastructure master	轉移基礎結構主機
Transfer domain naming master	轉移域命名主機
Transfer schema master	轉移架構主機

 

轉移操作主機角色的總結:

在轉移主機角色過程中，相關DC始終聯機，因此沒有數據損失
在轉移主機角色過程中要注意執行者是否有權限
可以使用Windows圖形界面和命令行方式實現
轉移操作主機的過程是可逆的

 

剛纔我們在做轉移主機的時候,原來的DC還存在,屬於聯機狀態下做的轉移,那麼如果操作主機角色所在的域控制器出了故障，並且無法恢復，如何解決?這時就不能通過轉移的方法產生出新的操作主機角色,那麼要通過佔用操作主機的方法(或叫強制傳送).

 

 

 

案例:BENET公司組建了一個單域,域名爲benet.com.cn,有兩臺DC,目前的5個操作主機角色都在第一臺DC上,某一天第一臺DC出了故障,並且無法恢復,如何使第二臺DC充當5個操作主機角色呢?

爲了模擬第一臺DC出故障,可以禁用第一臺DC的網卡,使該計算機不能聯網,這時第二臺DC就聯繫不到操作主機,顯示操作主機錯誤,如下圖,角色不能被傳送.

 

 

1）在“命令提示符”中鍵入“ntdsutil”命令
2）在ntdsutil命令提示符下鍵入“roles”命令

 

3）在fsmo maintenance命令提示符下,鍵入“connection” 命令

 

4）在server connections命令提示符下,鍵入 "connect to server dc2.benet.com.cn"(由於第一臺DC脫機,需要使用第二臺DC進行域名解析)命令

 

 

 

5）在server connections命令提示符下,鍵入“quit”（返回上一級命令提示符）

 

6）在fsmo maintenance命令提示符下,鍵入“seize RID master” ,按提示確認是否佔用RID Master角色,單擊"是"按鈕,完成操作後,操作主機恢復爲第二臺DC:

 

 

 

 

最後查看操作主機:

 

如果要佔用其他角色,可以在fsmo maintenance命令提示符下,鍵入"help"命令,使用以下命令來完成:

命 令	意 義
Seize PDC	佔用PDC仿真主機
Seize   PID master	佔用RID主機
Seize infrastructure master	佔用基礎結構主機
Seize domain naming master	佔用域命名主機
Seize schema master	佔用架構主機