在林范围内包括以下两种:
1)架构主机
2)域命名主机
在每个林中这些角色都必须是唯一的!
在域范围内包括以下:
1)主域控制器仿真主机(PDC Emulator)
2)相对 ID (RID) 主机
3)基础结构主机
以上三种在每个域中必须是唯一的!
1.架构主机(Schema Master)
架构主机控制对整个林的架构的全部更新
在整个林中,只能有一个架构主机
如何管理架构主机(默认没有安装管理架构的工具):
1)注册架构管理工具regsvr32 schmmgmt.dll
2)使用mmc添加【Active Directory架构】
3)查看架构主机
2.域命名主机(Domain Naming Master)
控制林中域的添加或删除,可以防止林中的域名重复
在整个林中只能有一个域命名主机
注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器
使用【Active Directory域和信任关系】查看域命名主机
3.PDC 仿真主机(PDC Emulator Master)
PDC 仿真主机作为混合模式域中的Windows NT PDC(主域控制器)
林中的每个域中只能有一个PDC 仿真主机
PDC 仿真主机的主要作用:
1)管理来自客户端(Windows NT/95/98)的密码更改
2)最小化密码变化的复制等待时间
3)同步整个域内所有域控制器上的时间
4)查看PDC 仿真主机
4.RID 主机(RID Master)
RID 主机将相对 ID(RID)序列分配给域中每个域控制器
林中的每个域中只能有一个RID 主机
每次当DC创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个域SID(它与域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。对象的SID=域SID+RID
使用【Active Directory用户和计算机】查看RID主机
5.基础结构主机(Infrastructure Master)
负责更新从它所在的域中的对象到其他域中对象的引用
每个域中只能有一个基础结构主机
基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!
使用基础结构主机的要点:
1)除非域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器
2)如果域中的所有域控制器都存有全局编录 ,则无论哪个域控制器承担基础结构主机角色均不重要
3)负责在重命名或更改组成员时更新“组到用户”的引用
操作主机角色总结:
接下来我们来做转移操作主机角色
案例:BENET公司组建了一个单域benet.com.cn,有两台DC,第一台DC的硬件配置比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都在第一台DC上,如何将之转移到第二台DC上?
1)转移PDC主机,RID主机和基础结构主机角色
a)打开"AD用户与计算机"工具,右击"AD用户与计算机"然后单击"连接到域控制器",在"输入另一个DC的名称"窗口中,输入要担任PDC主机角色的DC的名称(dc2.benet.com.cn)或单击可用的DC列表中的该DC.在控制台树中,右击"AD用户与计算机",指向"所有任务",然后单击"操作主机"---"PDC"命令,显示当前的操作主机是"dc1.benet.com.cn":
b)选择"更改":
c)查看操作主机已经被转移成功,转移操作是可逆的!
2)转移架构主机角色
a)使用"AD架构"工具"来更改域控制器:
b)指定名称:
c)更改架构主机:
转移架构主机注意:
执行此过程的帐户必须是AD中Schema admins组的成员,后者必须被委派了相应的权限
要想在控制台中添加AD架构管理单元,需要执行"regsvr32 schmmgmt.dll"命令注册该管理单元
3)转移域命名主机角色
a)打开"AD域和信任关系"工具,选择"连接到DC",在"输入另一个DC的名称"窗口中输入要担任域命名主机角色的DC的名称.
b)在控制台中,右击"AD域和信任关系",然后单击"操作主机",显示域命名主机是"dc1.benet.com.cn"
c)选择更改:
转移域命名主机角色要注意:
执行此过程的帐户必须是AD中的domain admins组或 enterprise admins组的成员,后被委派权限
若要将角色转移到另一个DC,可能首先需要将"AD域和信任关系"的焦点改为目标DC,要执行此操作,右击"AD域和信任关系",在单击"连接到域控制器",然后单击目标DC即可!
当然还可以使用命令行方式转移主机角色
以下显示转移RID主机的操作:
如果要转移其他角色,可以在fsmo maintenance命令提示符下,输入"help"命令:
|
命 令
|
意 义
|
| Transfer PDC |
转移PDC仿真主机 |
| Transfer PID master |
转移RID主机 |
| Transfer infrastructure master |
转移基础结构主机 |
| Transfer domain naming master |
转移域命名主机 |
| Transfer schema master |
转移架构主机 |
转移操作主机角色的总结:
在转移主机角色过程中,相关DC始终联机,因此没有数据损失
在转移主机角色过程中要注意执行者是否有权限
可以使用Windows图形界面和命令行方式实现
转移操作主机的过程是可逆的
刚才我们在做转移主机的时候,原来的DC还存在,属于联机状态下做的转移,那么如果操作主机角色所在的域控制器出了故障,并且无法恢复,如何解决?这时就不能通过转移的方法产生出新的操作主机角色,那么要通过占用操作主机的方法(或叫强制传送).
案例:BENET公司组建了一个单域,域名为benet.com.cn,有两台DC,目前的5个操作主机角色都在第一台DC上,某一天第一台DC出了故障,并且无法恢复,如何使第二台DC充当5个操作主机角色呢?
为了模拟第一台DC出故障,可以禁用第一台DC的网卡,使该计算机不能联网,这时第二台DC就联系不到操作主机,显示操作主机错误,如下图,角色不能被传送.
1)在“命令提示符”中键入“ntdsutil”命令
2)在ntdsutil命令提示符下键入“roles”命令
3)在fsmo maintenance命令提示符下,键入“connection” 命令
4)在server connections命令提示符下,键入 "connect to server dc2.benet.com.cn"(由于第一台DC脱机,需要使用第二台DC进行域名解析)命令
5)在server connections命令提示符下,键入“quit”(返回上一级命令提示符)
6)在fsmo maintenance命令提示符下,键入“seize RID master” ,按提示确认是否占用RID Master角色,单击"是"按钮,完成操作后,操作主机恢复为第二台DC:
最后查看操作主机:
如果要占用其他角色,可以在fsmo maintenance命令提示符下,键入"help"命令,使用以下命令来完成:
|
命 令
|
意 义
|
| Seize PDC |
占用PDC仿真主机 |
| Seize PID master |
占用RID主机 |
| Seize infrastructure master |
占用基础结构主机 |
| Seize domain naming master |
占用域命名主机 |
| Seize schema master |
占用架构主机 |
