WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机

在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.

首先我们先来了解什么是"操作主机","操作主机"都包括什么?

在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)

在林范围内包括以下两种:
1)架构主机
2)域命名主机

在每个林中这些角色都必须是唯一的!

在域范围内包括以下:
1)主域控制器仿真主机（PDC Emulator）
2)相对 ID (RID) 主机
3)基础结构主机

以上三种在每个域中必须是唯一的!

 

1.架构主机（Schema Master）

 

架构主机控制对整个林的架构的全部更新
在整个林中，只能有一个架构主机
如何管理架构主机(默认没有安装管理架构的工具):
    1)注册架构管理工具regsvr32 schmmgmt.dll
    2)使用mmc添加【Active Directory架构】
    3)查看架构主机

 

 

 

 

2.域命名主机（Domain Naming Master）

控制林中域的添加或删除，可以防止林中的域名重复
在整个林中只能有一个域命名主机

注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器
使用【Active Directory域和信任关系】查看域命名主机

 

 

3.PDC 仿真主机（PDC Emulator Master）
 

PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）
林中的每个域中只能有一个PDC 仿真主机
PDC 仿真主机的主要作用:
    1)管理来自客户端（Windows NT/95/98）的密码更改
    2)最小化密码变化的复制等待时间
    3)同步整个域内所有域控制器上的时间
    4)查看PDC 仿真主机
 

 

4.RID 主机（RID Master）

 

RID 主机将相对 ID（RID）序列分配给域中每个域控制器
林中的每个域中只能有一个RID 主机
每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。SID包含一个域SID（它与域中创建的所有SID相同）和一个RID（它对域中创建的每个SID是唯一的）。对象的SID=域SID+RID
使用【Active Directory用户和计算机】查看RID主机  

 

 

5.基础结构主机（Infrastructure Master）

负责更新从它所在的域中的对象到其他域中对象的引用
每个域中只能有一个基础结构主机

基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!
使用基础结构主机的要点:
1)除非域中只有一个域控制器，否则不应将基础结构主机角色指派给全局编录所在的域控制器
2)如果域中的所有域控制器都存有全局编录 ,则无论哪个域控制器承担基础结构主机角色均不重要
3)负责在重命名或更改组成员时更新“组到用户”的引用

 

 

操作主机角色总结:

 

 

接下来我们来做转移操作主机角色

案例:BENET公司组建了一个单域benet.com.cn,有两台DC，第一台DC的硬件配置比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都在第一台DC上，如何将之转移到第二台DC上?

 

 

1)转移PDC主机,RID主机和基础结构主机角色

a)打开"AD用户与计算机"工具,右击"AD用户与计算机"然后单击"连接到域控制器",在"输入另一个DC的名称"窗口中,输入要担任PDC主机角色的DC的名称(dc2.benet.com.cn)或单击可用的DC列表中的该DC.在控制台树中,右击"AD用户与计算机",指向"所有任务",然后单击"操作主机"---"PDC"命令,显示当前的操作主机是"dc1.benet.com.cn":

 

 

b)选择"更改":

 

 

c)查看操作主机已经被转移成功,转移操作是可逆的!

 

2)转移架构主机角色

a)使用"AD架构"工具"来更改域控制器:

 

 

b)指定名称:

 

 

c)更改架构主机:

 

 

 

转移架构主机注意:

执行此过程的帐户必须是AD中Schema admins组的成员,后者必须被委派了相应的权限

要想在控制台中添加AD架构管理单元,需要执行"regsvr32 schmmmgmt.dll"命令注册该管理单元

 

3)转移域命名主机角色

a)打开"AD域和信任关系"工具,选择"连接到DC",在"输入另一个DC的名称"窗口中输入要担任域命名主机角色的DC的名称.

b)在控制台中,右击"AD域和信任关系",然后单击"操作主机",显示域命名主机是"dc1.benet.com.cn"

c)选择更改:

 

 

转移域命名主机角色要注意:

执行此过程的帐户必须是AD中的domain admins组或 enterprise admins组的成员,后被委派权限

若要将角色转移到另一个DC,可能首先需要将"AD域和信任关系"的焦点改为目标DC,要执行此操作,右击"AD域和信任关系",在单击"连接到域控制器",然后单击目标DC即可!

 

当然还可以使用命令行方式转移主机角色

以下显示转移RID主机的操作:

 

如果要转移其他角色,可以在fsmo maintenance命令提示符下,输入"help"命令:

命 令	意 义
Transfer PDC	转移PDC仿真主机
Transfer PID master	转移RID主机
Transfer infrastructure master	转移基础结构主机
Transfer domain naming master	转移域命名主机
Transfer schema master	转移架构主机

 

转移操作主机角色的总结:

在转移主机角色过程中，相关DC始终联机，因此没有数据损失
在转移主机角色过程中要注意执行者是否有权限
可以使用Windows图形界面和命令行方式实现
转移操作主机的过程是可逆的

 

刚才我们在做转移主机的时候,原来的DC还存在,属于联机状态下做的转移,那么如果操作主机角色所在的域控制器出了故障，并且无法恢复，如何解决?这时就不能通过转移的方法产生出新的操作主机角色,那么要通过占用操作主机的方法(或叫强制传送).

 

 

 

案例:BENET公司组建了一个单域,域名为benet.com.cn,有两台DC,目前的5个操作主机角色都在第一台DC上,某一天第一台DC出了故障,并且无法恢复,如何使第二台DC充当5个操作主机角色呢?

为了模拟第一台DC出故障,可以禁用第一台DC的网卡,使该计算机不能联网,这时第二台DC就联系不到操作主机,显示操作主机错误,如下图,角色不能被传送.

 

 

1）在“命令提示符”中键入“ntdsutil”命令
2）在ntdsutil命令提示符下键入“roles”命令

 

 

3）在fsmo maintenance命令提示符下,键入“connection” 命令

 

4）在server connections命令提示符下,键入 "connect to server dc2.benet.com.cn"(由于第一台DC脱机,需要使用第二台DC进行域名解析)命令

 

 

 

5）在server connections命令提示符下,键入“quit”（返回上一级命令提示符）

 

6）在fsmo maintenance命令提示符下,键入“seize RID master” ,按提示确认是否占用RID Master角色,单击"是"按钮,完成操作后,操作主机恢复为第二台DC:

 

 

 

 

最后查看操作主机:

 

如果要占用其他角色,可以在fsmo maintenance命令提示符下,键入"help"命令,使用以下命令来完成:

命 令	意 义
Seize PDC	占用PDC仿真主机
Seize  PID master	占用RID主机
Seize infrastructure master	占用基础结构主机
Seize domain naming master	占用域命名主机
Seize schema master	占用架构主机

转载于:https://blog.51cto.com/854852312/541912