深入了解活动目录操作主机角色
单主(机)模式:只能对系统中某一特定结点进行修改 其他结点都以该结点为准进行复制
多主(机)模式:可以对系统中任一结点进行修改 相互复制机制 冲突及冲突解决机制
Windows NT域:PDC BDC
Windows 2000/2003活动目录域:DC 操作主机(Operations Masters):以前又叫做FSMO(Flexible Single Master Operations)
操作主机的类型:森林级别:架构主机(Schema Master) 域命名主机(Domain Naming Master)
域级别:RID主机(RID Master) PDC模式主机(PDC Emulator) 基础结构主机(Infrastructure Master)
架构主机: 功能:控制活动目录中所有对象/属性的定义 提示:Regsvr32 schmmgmt.dll Schema Admins组
域命名主机: 功能:控制森林内域的添加和删除 添加和删除对外部目录的交叉引用对象
提示:建议与GC配置在一起 Enterprise Admins组
RID主机: 功能:管理域中对象相对标识符(RID)池
提示:对象安全标识符(SID)=域安全标识符+相对标识符(RID) 形如:S-1-5-21-1343024091-879983540-3......
PDC模拟主机: 功能:模拟Windows NT PDC 默认的域主浏览器 默认的域内权威的时间服务源 统一管理域账号密码更新.验证及锁定
提示:PDC模拟主机不仅仅是模拟NT PDC 一般负荷较大
PDC模拟主机--域账号锁定: 目的:为防止用户的密码被猜测,当密码错误次数达到预设值时,该账号将被锁定
BadPasswordCount:每台DC各自记录用户错误尝试密码的次数 密码输入正确后,BadPasswordCount置0 PDC累积各DC上该值总和,一旦超过预设值:PDC主机立即第一个锁住该账号 PDC主机把锁定信号复制到其他DC
基础结构主机: 功能:负责对跨域对象引用进行更新
提示:单域情况下基础结构主机不需要工作 不能同时和GC配置在一起(单域除外)
如何查看操作主机角色:用图形界面工具 用命令行工具:Ntdsutil Netdom Dcdiag 其他
操作主机的放置: 默认情况:架构主机在根域的第一台DC上 域命名主机在根域的第一台DC上 其他三个主机角色在各自域的第一台DC上
问题:和GC的冲突 性能考虑
手工优化:基础结构主机与GC不放在一起 域命名主机与GC放在一起 架构主机与域命名主机可放在一起 PDC模拟主机建议单独放置
操作主机的转移: 自动隐式转移:何时发生 优先顺序 最佳做法 转移(Transfer):把OM角色平滑地传递给另一台DC 操作可逆
操作主机的抓取: 抓取(Seize):把OM角色强制地赋予另一台DC 操作不可逆 抓取命令会自动先尝试转移
最佳实践:要连到最更新的DC 能转移尽量不要用抓取 能还原则尽量还原OM而不要抓取到其他DC
操作主机的转移和抓取: 转移:图形界面工具 命令行:Ntdsutil 抓取:命令行:Ntdsutil
操作主机故障--架构主机: 影响:更新Schema受影响 短期内一般看不到影响 典型问题如:无法安装Exchange
处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC
操作主机故障--域命名主机: 影响:更改域结构受影响 短期内一般看不到影响 典型问题如:添加/删除域
处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC
操作主机故障--RID主机: 影响:无法获得新的RID池分配 典型问题如:无法新建(大量)用户账号
处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC
操作主机故障--PDC模拟主机: 影响:低端客户不能访问AD 不能更改域账号密码 浏览服务问题 时间同步问题
处理:需要比较及时地恢复 可以临时抓取到其他DC 在原OM恢复后可以抓取回去
操作主机故障--基础结构主机(续): 处理:需要比较及时地恢复 可以临时抓取到其他DC 在原OM恢复后可以抓取回去
本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/614507,如需转载请自行联系原作者
