从入门到精通AD中的5种操作主机-低调大师

从入门到精通AD中的5种操作主机

2017-11-13 611

在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.
首先我们先来了解什么是"操作主机","操作主机"都包括什么?

在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)

在林范围内包括以下两种:
1)架构主机
2)域命名主机

在每个林中这些角色都必须是唯一的!

在域范围内包括以下:
1)主域控制器仿真主机（PDC Emulator）
2)相对 ID (RID) 主机
3)基础结构主机

以上三种在每个域中必须是唯一的!

1.架构主机（Schema Master）

架构主机控制对整个林的架构的全部更新
在整个林中，只能有一个架构主机
如何管理架构主机(默认没有安装管理架构的工具):
    1)注册架构管理工具regsvr32 schmmgmt.dll
    2)使用mmc添加【Active Directory架构】
    3)查看架构主机

2.域命名主机（Domain Naming Master）

控制林中域的添加或删除，可以防止林中的域名重复
在整个林中只能有一个域命名主机

注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器
使用【Active Directory域和信任关系】查看域命名主机

3.PDC 仿真主机（PDC Emulator Master）

PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）
林中的每个域中只能有一个PDC 仿真主机
PDC 仿真主机的主要作用:
    1)管理来自客户端（Windows NT/95/98）的密码更改
    2)最小化密码变化的复制等待时间
    3)同步整个域内所有域控制器上的时间
    4)查看PDC 仿真主机

4.RID 主机（RID Master）

RID 主机将相对 ID（RID）序列分配给域中每个域控制器
林中的每个域中只能有一个RID 主机
每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。SID包含一个域SID（它与域中创建的所有SID相同）和一个RID（它对域中创建的每个SID是唯一的）。对象的SID=域SID+RID
使用【Active Directory用户和计算机】查看RID主机

5.基础结构主机（Infrastructure Master）

负责更新从它所在的域中的对象到其他域中对象的引用
每个域中只能有一个基础结构主机

基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!
使用基础结构主机的要点:
1)除非域中只有一个域控制器，否则不应将基础结构主机角色指派给全局编录所在的域控制器
2)如果域中的所有域控制器都存有全局编录 ,则无论哪个域控制器承担基础结构主机角色均不重要
3)负责在重命名或更改组成员时更新“组到用户”的引用

操作主机角色总结:

接下来我们来做转移操作主机角色

案例:BENET公司组建了一个单域benet.com.cn,有两台DC，第一台DC的硬件配置比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都在第一台DC上，如何将之转移到第二台DC上?

1)转移PDC主机,RID主机和基础结构主机角色

a)打开"AD用户与计算机"工具,右击"AD用户与计算机"然后单击"连接到域控制器",在"输入另一个DC的名称"窗口中,输入要担任PDC主机角色的DC的名称(dc2.benet.com.cn)或单击可用的DC列表中的该DC.在控制台树中,右击"AD用户与计算机",指向"所有任务",然后单击"操作主机"---"PDC"命令,显示当前的操作主机是"dc1.benet.com.cn":

b)选择"更改":

c)查看操作主机已经被转移成功,转移操作是可逆的!

2)转移架构主机角色

a)使用"AD架构"工具"来更改域控制器:

b)指定名称:

c)更改架构主机:

转移架构主机注意:

执行此过程的帐户必须是AD中Schema admins组的成员,后者必须被委派了相应的权限

要想在控制台中添加AD架构管理单元,需要执行"regsvr32 schmmgmt.dll"命令注册该管理单元

3)转移域命名主机角色

a)打开"AD域和信任关系"工具,选择"连接到DC",在"输入另一个DC的名称"窗口中输入要担任域命名主机角色的DC的名称.

b)在控制台中,右击"AD域和信任关系",然后单击"操作主机",显示域命名主机是"dc1.benet.com.cn"

c)选择更改:

转移域命名主机角色要注意:

执行此过程的帐户必须是AD中的domain admins组或 enterprise admins组的成员,后被委派权限

若要将角色转移到另一个DC,可能首先需要将"AD域和信任关系"的焦点改为目标DC,要执行此操作,右击"AD域和信任关系",在单击"连接到域控制器",然后单击目标DC即可!

当然还可以使用命令行方式转移主机角色

以下显示转移RID主机的操作:

如果要转移其他角色,可以在fsmo maintenance命令提示符下,输入"help"命令:

命令	意义
Transfer PDC	转移PDC仿真主机
Transfer PID master	转移RID主机
Transfer infrastructure master	转移基础结构主机
Transfer domain naming master	转移域命名主机
Transfer schema master	转移架构主机

转移操作主机角色的总结:

在转移主机角色过程中，相关DC始终联机，因此没有数据损失
在转移主机角色过程中要注意执行者是否有权限
可以使用Windows图形界面和命令行方式实现
转移操作主机的过程是可逆的

刚才我们在做转移主机的时候,原来的DC还存在,属于联机状态下做的转移,那么如果操作主机角色所在的域控制器出了故障，并且无法恢复，如何解决?这时就不能通过转移的方法产生出新的操作主机角色,那么要通过占用操作主机的方法(或叫强制传送).

案例:BENET公司组建了一个单域,域名为benet.com.cn,有两台DC,目前的5个操作主机角色都在第一台DC上,某一天第一台DC出了故障,并且无法恢复,如何使第二台DC充当5个操作主机角色呢?

为了模拟第一台DC出故障,可以禁用第一台DC的网卡,使该计算机不能联网,这时第二台DC就联系不到操作主机,显示操作主机错误,如下图,角色不能被传送.

1）在“命令提示符”中键入“ntdsutil”命令
2）在ntdsutil命令提示符下键入“roles”命令

3）在fsmo maintenance命令提示符下,键入“connection” 命令

4）在server connections命令提示符下,键入 "connect to server dc2.benet.com.cn"(由于第一台DC脱机,需要使用第二台DC进行域名解析)命令

5）在server connections命令提示符下,键入“quit”（返回上一级命令提示符）

6）在fsmo maintenance命令提示符下,键入“seize RID master” ,按提示确认是否占用RID Master角色,单击"是"按钮,完成操作后,操作主机恢复为第二台DC:

最后查看操作主机:

如果要占用其他角色,可以在fsmo maintenance命令提示符下,键入"help"命令,使用以下命令来完成:

命令	意义
Seize PDC	占用PDC仿真主机
Seize PID master	占用RID主机
Seize infrastructure master	占用基础结构主机
Seize domain naming master	占用域命名主机
Seize schema master	占用架构主机

本文转自 149banzhang 51CTO博客，原文链接：http://blog.51cto.com/149banzhang/713303，如需转载请自行联系原作者

微信关注我们

原文链接：https://yq.aliyun.com/articles/424996

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

MAC OX 安装rtx客户端和svn客户端

最近一段时间一直在忙MAC系统跟window7系统差别太大了，好多东西不兼容后来发现有rtx 的苹果客户端下载试了下发现不能用，哎，只能重新研究了 http://www.rtxapp.com/mac/ 1.官网下载最新版：http://www.codeweavers.com/crossover http://bbs.pcbeta.com/viewthread-1027228-1-1.html破解crossover方法参照 2.下载中文字体补丁 http://u.115.com/file/f2f5324a3c 3.下载RTX程序补丁包 RTX_crossover.ziphttp://u.115.com/file/f26d885b05 4.下载rtx客户端程序包，这个我们共享里有就没去下载了首先在苹果机上安装 crossover（现在虚拟机上测试通过后才开始帮同事苹果上装RTX）首先配置容器管理，名字就随便填了，然后打开drive_c 把下载好的安装rtx 安装要安装字体才行最后显示成这样就ok了，要把crossover字体一定要按上因为rtx还有菜单功能所以还的安...

2017-11-14

933

”注意：结构主机 (IM) 角色应由非全局编录 (GC) 服务器的域控制器担任。如果结构主机在全局编录服务器上运行，它将会停止更新对象信息，原因是它只包含对它所拥有的对象的引用。“ 我有个疑问：在装域控制的时候，第一个装好的域控制器就是所谓的全局编录、结构主机、域命名主机、RID主机！我看了一下网域中的域控制器，结构主机和全局编录就是在同一台上！不过还好没有出现什么问题！答：基础结构主控更新的引用信息是来自其它域的信息，即非本域信息。在以下两个情况下，基础结构主控主机其实不用工作： 1. 只有一个域，这时你无论把基础结构主控放在哪都无所谓。因为没有其它域的信息需要引用。 2. 多域环境，但所有DC都是GC。这时基础结构主控也无需工作，因为所有的DC都是GC，GC拥有其它域的只读信息。问：请问单域中有两DC 把额外DC也设置成GC，这样做好还是不好？？已经说过了，GC是储存其它域的信息的，如果你的AD森林中只有一个单域，额外DC是不是GC不重要。也没什么好或不好的说法，只是从容错的角度上说，都设置成GC会稍好一点。 Active Directory 定义了五种操作主机角色（...

2017-11-14

624

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Oracle

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Apache Tomcat

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。