[原創(chuàng)]windows server 2012 AD架構(gòu)試驗(yàn)系列 – 12 配置操作主機(jī)

ActiveDirectory支持域中所有域控制器之間的目錄數(shù)據(jù)存儲(chǔ)的多主機(jī)復(fù)制，因此域中的所有域控制器實(shí)質(zhì)上都是對(duì)等的。ActiveDirectory支持域中所有域控制器之間的目錄數(shù)據(jù)存儲(chǔ)的多主機(jī)復(fù)制，因此域中的所有域控制器實(shí)質(zhì)上都是對(duì)等的。但是，某些更改不適合使用多主機(jī)復(fù)制執(zhí)行，因此對(duì)于每一個(gè)此類更改，都有一個(gè)稱為“操作主機(jī)”的域控制器接收此類更改的請(qǐng)求。操作主機(jī)可以保證一致性并消除ADDS數(shù)據(jù)庫(kù)中出現(xiàn)沖突的項(xiàng)目的可能性。RODC無法扮演任何焦色,以后我會(huì)來講這個(gè)RODC.

在每個(gè)林中，至少有五個(gè)指派給一個(gè)或多個(gè)域控制器的操作主機(jī)角色。在每個(gè)林中，林范圍的操作主機(jī)角色必須只出現(xiàn)一次。在林中的每個(gè)域中，域范圍的操作主機(jī)角色必須在每個(gè)域中出現(xiàn)一次。

1操作主機(jī)介紹

ADDS中的五個(gè)操作主機(jī)角色分別是：架構(gòu)主機(jī)、域命名主機(jī)、RID主機(jī)、PDC仿真器、基礎(chǔ)結(jié)構(gòu)主機(jī)。

架構(gòu)主機(jī)和域命名主機(jī)是每林角色，即每個(gè)林只有一臺(tái)架構(gòu)主機(jī)和一臺(tái)域命名主機(jī)。其余3個(gè)角色是每域角色，林中的每個(gè)域只有3種中的一種操作主機(jī)角色。當(dāng)在林中安裝ADDS并創(chuàng)建第一臺(tái)域控制器時(shí)，它會(huì)擁有所有5個(gè)角色，類似地，在向林中添加域時(shí)，每個(gè)新域中的第一臺(tái)域控制器也會(huì)獲得每域的操作主機(jī)角色。

下面介紹分別介紹5個(gè)操作主機(jī)的作用：

架構(gòu)主機(jī)(林級(jí)別 Schema Admins)

宿主架構(gòu)主機(jī)角色的域控制器負(fù)責(zé)對(duì)林的架構(gòu)進(jìn)行更新和修改，其他域控制器則只包含架構(gòu)的只讀副本。要更新或修改林的架構(gòu)，您必須具備訪問架構(gòu)主機(jī)的權(quán)限。如果做出架構(gòu)改變后，架構(gòu)更新就會(huì)復(fù)制到林中的所有其他域控制器。在整個(gè)林中，架構(gòu)主機(jī)是唯一的，只能有一個(gè)架構(gòu)主機(jī)。

域命名主機(jī) (林級(jí)別 Enterprise Admins)

域命名主機(jī)主要用于為林中添加或刪除域時(shí)使用，負(fù)責(zé)確保域名的唯一性。如果域命名主機(jī)不可用，則無法向林中添加域或從林中刪除域。在整個(gè)林中，域命名主機(jī)是唯一的，只能有一個(gè)域命名主機(jī)。

RID主機(jī) (域級(jí)別 Domain Admins)

RID主機(jī)將相對(duì)標(biāo)識(shí)符(RID)分配給域中每個(gè)不同的域控制器，每個(gè)域只有一個(gè)RID操作主機(jī)角色，用于管理RID池，從而在整個(gè)域范圍內(nèi)創(chuàng)建的新的安全主體，如：用戶、組和計(jì)算機(jī)。每個(gè)安全主體都有一個(gè)唯一SID。RID主機(jī)用于保證域控制器生產(chǎn)的SID是唯一的。RID主機(jī)把一些相對(duì)標(biāo)識(shí)符(RID)(稱為RID池)頒發(fā)給域中的每臺(tái)域控制器。當(dāng)任何域控制器上的RID池中的可用RID的數(shù)量較少時(shí)(小于100)，就會(huì)從RID主機(jī)請(qǐng)求一些RID。每次收到這樣的請(qǐng)求，RID主機(jī)都會(huì)向域控制器再頒發(fā)大約500個(gè)RID的RID池。

PDC仿真器(域級(jí)別 Domain Admins)

PDC仿真器負(fù)責(zé)執(zhí)行很多與域有關(guān)的關(guān)鍵功能，主要有：為Windows2000提供支持 (支持舊client)、維護(hù)密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內(nèi)時(shí)間同步、維護(hù)網(wǎng)絡(luò)中主機(jī)列表。

基礎(chǔ)結(jié)構(gòu)主機(jī)(域級(jí)別 Domain Admins)

基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新域之間的組-用戶引用。這個(gè)操作主機(jī)角色確保對(duì)象名稱的改變(常用名稱屬性的更改cn)反映在位于不同域中的組成員身份信息中。基礎(chǔ)結(jié)構(gòu)主機(jī)維護(hù)這些引用的最新列表，然后將這個(gè)信息復(fù)制給域中所有域控制器。如果基礎(chǔ)結(jié)構(gòu)主機(jī)不可用，域之間的組-用戶引用就會(huì)過時(shí)。

?

2試驗(yàn)操作

試驗(yàn)環(huán)境嘛? 就是我們上一節(jié)的環(huán)境

DC1 PDC, DC3,DC5 BDC

在命令提示符中輸入：netdom query fsmo查詢操作主機(jī)宿主的域控制器

在DC3 打開AD用戶與計(jì)算機(jī),選擇操作主機(jī), 可以更改RID,PDC,基礎(chǔ)結(jié)構(gòu)主機(jī)

可以看出這里可以操作域范圍內(nèi)的角色

?

接下來修改域名主機(jī)

打開AD域和信任關(guān)系

最后一個(gè)架構(gòu)主機(jī)的更改:

首先我們是找不到這個(gè)AD架構(gòu)管理工具的,我們需要run下這個(gè)命令: regsvr32 schmmgmt.dll

打開MMC,添加AD架構(gòu),里面察看操作主機(jī),里面可以看到架構(gòu)主機(jī)是誰了.

?

?

3使用命令來修改操作主機(jī)

下面介紹使用ntdsutil命令進(jìn)行轉(zhuǎn)移，將操作主機(jī)從DC3轉(zhuǎn)移回DC1。使用命令方式進(jìn)行轉(zhuǎn)移相對(duì)方便一些。

1.打開命令提示符，輸入：ntdsutil，進(jìn)入ntdsutil提示符后，輸入：roles。如果需要查到命令作用及用法可以輸入：？，獲取幫助信息。

2.這時(shí)需要連接到轉(zhuǎn)移操作主機(jī)的目標(biāo)域控制器，這里我們需要連接到DC1。輸入：connections，然后輸入：connect to server dc1。

連接成功后輸入：quit退回到? fsmomaintenance:

3.這時(shí)就可以進(jìn)行操作主機(jī)的轉(zhuǎn)移了。分別使用下面5個(gè)命令轉(zhuǎn)移相應(yīng)的操作主機(jī)：

Transfer naming master轉(zhuǎn)移域命名主機(jī)

Transfer infrastructure master轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu)主機(jī)

Transfer PDC轉(zhuǎn)移PDC主機(jī)

Transfer RID master轉(zhuǎn)移RID主機(jī)

Transfer schema ?master轉(zhuǎn)移架構(gòu)主機(jī)

還有5個(gè)命令是強(qiáng)制將操作主機(jī)轉(zhuǎn)移到指定域控制器。一般只有在操作主機(jī)離線或者故障無法啟動(dòng)時(shí)才使用，操作方法相同。

Seizedomainnamingmaster /Seizeinfrastructuremaster/SeizePDC/SeizeRIDmaster/Seizeschemamaster

?

總結(jié)：本文介紹了操作主機(jī)的作用及轉(zhuǎn)移方法。操作主機(jī)在ADDS中分別承擔(dān)不同作用，了解操作主機(jī)的作用，在日常的故障排錯(cuò)能起到一定的作用。以及當(dāng)宿主操作主機(jī)的DC故障時(shí)，怎么將操作主機(jī)轉(zhuǎn)移到新的域控制器。

附注:

若架構(gòu)主機(jī)關(guān)機(jī)的話,對(duì)用戶是察覺不到的,但對(duì)管理員來說,如果要安裝exchange 的話,會(huì)有直接影響.

若域名主機(jī)關(guān)機(jī)的話,用戶是察覺不到的,但對(duì)管理員來說,添加或者刪除域就有問題.

若RID主機(jī)關(guān)機(jī)的話,對(duì)網(wǎng)絡(luò)用戶是沒影響的,但對(duì)管理員來說,若創(chuàng)建新的對(duì)象時(shí)候,同時(shí)DC之前所索取的RID已用完,則會(huì)對(duì)創(chuàng)建新的對(duì)象有影響

若PDC模擬操作主機(jī)關(guān)機(jī)的話,用戶可能會(huì)很快察覺到,如舊的client將因無法與PDC操作主機(jī)通信而不能更改密碼等.

若基礎(chǔ)架構(gòu)操作主機(jī)關(guān)機(jī)的話,若是單域沒有什么影響,但多域的情況下,對(duì)管理員大量遷移用戶或者修改大量帳戶名稱時(shí)有很大的影響.

切忌一點(diǎn):微軟建議永遠(yuǎn)不要把原來扮演這些操作主機(jī)角色的DC再連入網(wǎng)上(架構(gòu)主機(jī),域名主機(jī),RID主機(jī)),微軟建議格式化硬盤.

?

?

?

轉(zhuǎn)載于:https://blog.51cto.com/ericfu/1625304

總結(jié)

以上是生活随笔為你收集整理的[原创]windows server 2012 AD架构试验系列 – 12 配置操作主机的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。