Windows2003域环境中五大主机角色.docx

Windows2003域环境中五大主机角色Windows2003 AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色)3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。2：域命令主机向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象.3：PDC模拟器兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在windowssysvolsysvol目录下，然后通过DFS复制到本域其它DC中。name域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能4：主机角色：RID主机Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配500个)，所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突! 当非RID主机中分配的RID池使用到80%时，会继续RID主机，申请分配下一个RID地址池!5：基础架构主机基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。标准图形界面查看和更改操作主机角色的方法1：查看和更改架构主机角色：步骤：注册：regsvr32 schmmgmt 在MMC中添加AD架构管理单元打开MMC控制台，选中“Active Directory架构”击“右键”，选择“操作主机”打开更改架构页面后,点击更改就可以进行架构主机角色的更改2.查看和更改PDC模拟器,RID主机以及基础结构主机步骤：开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”在打开的页面中，通过点击“更改”按钮就可以对RID主机，PDC模拟器以及基础结构主机角色进行更改3.查看和更改域命名主机角色步骤：点击“开始-管理工具-Active Directory域和信任关系”: 选中“Active Directory域和信任关系”，右键单击，选择“操作主机”在打开的窗口中，点击“更改”按钮就可以实现对域命名主机角色进行更改使用命令行工具查看和更改操作主机角色以Windows2003 Support Tools工具中的netdom为例，来查看五大操作主机从windows2003的系统盘中提取netdom（X：supporttoolssupport.cab），放在C：/下使用Netdom工具查看操作主机角色 Netdom Query FSMO2：使用Ntdsutil工具更改操作主机角色Ntdsutil工具的功能非常强大可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。ransfer子命令转移操作主机角色C:> ntdsutilNtdsutil:rolesFsmo maintenance:connectionsServer connections:connect to server Server connections:quitServer connections:help Server connections:transfer PDC 在弹出的对话框中，单击“是”，即可完成PDC主机的转移。 使用Seize子命令夺取操作主机角色DC挂掉后，在dc2上做占用操作主机，模拟dc2无法ping通DC（禁用DC网卡）。以RID主机为例：查看和更改PDC模拟器,RID主机以及基础结构主机步骤：开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”在打开的页面中，可以看到操作主机不可用，也就是说不能通过点击“更改”按钮就来对RID模拟器主机角色进行更改C:> ntdsutilNtdsutil:rolesFsmo maintenance:connectionsServer connections:connect to server Server connections:quitServer connections:help Server connections:Seize RID master 在弹出的对话框中，单击“是”，即可完成RID主机的占用。 可以通过开始-运行-dsa.msc-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”来进行查看操作主机角色放置优化配置建议默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!常见的操作主机角色放置建议如下：1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的。2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。建议：由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。4：RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要