4-2 活动目录中的操作主机_参考

7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 活动目录中的操作主机活动目录中的操作主机 1 活动目录中的操作主机角色 2 2 操作主机角色的查看 3 2 1 通过 GUI 方式 3 2 2 命令行方式 8 2 3 通过脚本方式 8 3 操作主机的迁移 9 3 1 迁移 RID 主机 9 3 2 迁移 PDC 主机 10 3 3 迁移基础结构主机 11 3 4 迁移域命名主机 11 3 5 迁移架构主机 12 4 操作主机角色的夺取 13 5 操作主机角色的规划 15 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 1 活动目录中的操作主机角色 活动目录中的操作主机角色 Active Directory 定义了五种操作主机角色 又称 FSMO 1 架构主机 schema master 2 域命名主机 domain naming master 3 相对标识号 RID 主机 RID master 4 主域控制器模拟器 PDCE 5 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作 具有不同的功能 1 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC 这些架构更新会从架构主 机复制到目录林中的所有其它域控制器中 架构主机是基于目录林的 整个目录林中只有 一个架构主机 2 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC 向目录林中添加新域 从目录林中删除现有的域 添加或删除描述外部目录的交叉引用对象 3 相对标识号 RID 主机 此操作主机负责向其它 DC 分配 RID 池 只有一个服务器执行此任务 在创建安全 主体 例如用户 组或计算机 时 需要将 RID 与域范围内的标识符相结合 以创建唯 一的安全标识符 SID 每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池 默认为 512 RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的 通过 RID 主机 还可以在同一目录林中的不同域之间移动所有对象 域命名主机是基于目录林的 整个目录林中只有一个域命名主机 相对标识号 RID 主机是基于域的 目录林中的每个域都有自己的相对标识号 RID 主机 4 PDCE 主域控制器模拟器提供以下主要功能 向后兼容低级客户端和服务器 允许 Windows NT4 0 备份域控制器 BDC 加入到新 的 Windows 2000 环境 本机 Windows 2000 环境将密码更改转发到 PDCE 每当 DC 验证密码失败后 它会与 PDCE 取得联系 以查看该密码是否可以在那里得到验证 也 许其原因在于密码更改还没有被复制到验证 DC 中 时间同步 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步 PDCE 是基于域的 目录林中的每个域都有自己的 PDCE 5 基础结构主机 基础结构主机确保所有域间操作对象的一致性 当引用另一个域中的对象时 此引用 包含该对象的全局唯一标识符 GUID 安全标识符 SID 和可分辨的名称 DN 如果 被引用的对象移动 则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中 的 SID 和 DN 基础结构主机是基于域的 目录林中的每个域都有自己的基础结构主机 默认 这五种 存在于目录林根域的第一台 DC 主域控制器 上 而子域中 的相对标识号 RID 主机 PDCE 基础结构主机存在于子域中的第一台 DC 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 2 操作主机角色的查看 操作主机角色的查看 2 1 通过通过 GUI 方式方式 1 架构主机 可以使用 Active Directory 架构 查看 默认情况下 Active Directory 架构 没有注册 需要注册 1 在开始 运行中输入 regsvr32 schmmgmt 点确定 系统显示注册成功 2 在开始 运行中输入 mmc 点确定 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 在控制台根节点中 选择文件 添加 删除管理单元 点击添加 显示添加独立管理单 元对话框 4 选择 Active Directory 架构 点击添加 点关闭 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 5 点确定 回到控制台根节点 6 在活动目录根节点 右键点击 Active Directory 架构 选择 操作主机 从图中可以 看出架构主机位于 DC01 hisense local 主机上 2 域命名主机 1 点击开始 管理工具 Active Directory 域和信任关系 2 右键点击 Active Directory 域和信任关系 选择操作主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 域命名主机在 dc01 hisense local 上 3 RID 主机 PDC 仿真器 基础结构主机 1 开始 管理工具 Active Directory 用户和计算机 2 在 hisense local 上点右键 选择操作主机 3 RID 主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 4 PDC 仿真器 5 基础结构主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 2 2 命令行方式命令行方式 需要安装 support tools 在 windows server 2003 光盘中的 X SUPPORTTOOLSSUPTOOLS MSI 双击进行安装 1 点击开始 所有程序 windows support tools 命令提示符 2 在命令行中输入 Netdom query fsmo 2 3 通过脚本方式通过脚本方式 另外 还可以通过脚本的方式进行查看 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 操作主机的迁移操作主机的迁移 一般情况下操作主机角色的位置不需要改变 可是当准备降级一台 DC 或准备改变 GC 的状态时 则需要检查一下操作主机角色的位置 如有必要还需要进行操作主机角色的迁 移 3 1 迁移迁移 RID 主机主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 2 迁移迁移 PDC 主机主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 3 迁移基础结构主机迁移基础结构主机 3 4 迁移域命名主机迁移域命名主机 右击 AD 域和信任关系 选择 操作主机 更改域命名主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 3 5 迁移架构主机迁移架构主机 1 在 开始 菜单 运行 中 输入以下命令 Regsvr32 Schmmgmt dll 点击 确定 2 系统提示注册成功 点击 确定 3 在 开始 菜单 运行 中 输入 MMC 点击 确定 打开微软管理控制台 4 在控制台中 点击菜单 文件 添加 删除管理单元 5 在 添加 删除管理单元 对话框中 点击 添加 按钮 6 在 可用的独立管理单元 下 选择 Active Directory 架构 依次点击 添加 关 闭 确定 完成管理单元添加操作 特别要选择更改域控制器 7 在管理控制台中 右键点击 Active Directory 架构 在快捷菜单中选择 操作主机 打开 更改架构主机 对话框 8 在 更改架构主机 对话框的 当前架构主机 联机状态 框中所示 即为该林的架 构主机 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 4 操作主机角色的夺取操作主机角色的夺取 当拥有操作主机角色的主机不可用时 就应执行夺取操作主机的角色的操作 把它分配 给另一台正常工作的 DC 使用 ntdsutil 命令工具可以进行夺取 步骤如下 1 运行 ntdsutil 命令 2 在其下执行 roles 命令 3 在 fsmo maintenance 提示符下输入 connections 命令 4 在 server connections 提示符下输入 connect to server 命令 后面加上即将成为新的 主机角色的域控制器的完整域名 如 5 在 server connections 提示符下输入 quit 命令 6 在 fsmo maintenance 提示符下 根据夺取的操作主机角色输入不同的命令 具体命 令如下 架构主机 seize schema master 域命名主机 seize domain naming master RID 主机 seize RID master PDC 仿真主机 seize PDC 基础结构主机 seize infrastructure master 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 夺取的基本步骤 夺取的基本步骤 ntdsutil roles connections connect to server 自己的主机名 quit seize pdc 索取 PDC 角色 seize rid master 索取 RID 角色 seize schema master 索取架构主机角色 seize domain naming master 索取域命名角色 seize infrastructure master 索取基础结构角色 quit quit 注意 在夺取主机角色时 计算机会尝试先传送主机角色 如果传送不成功 再进行夺取 5 操作主机角色的规划 操作主机角色的规划 默认情况下 架构主机和域命名主机角色是在根域的第一台 DC 上 而 PDC 模拟器 RID 主机和基础结构主机默认放置在当前域的第一台 DC 上 特别是在单域环境中 按默 认安装 第一台 DC 会同时拥有这五种 FSMO 操作主机角色 万一这台 DC 损坏 会对域 环境造成极大风险 常见的操作主机角色放置建议如下 1 架构主机 拥有架构主机角色的 DC 不需要高性能 因为在实际环境中不会经常对 Schema 进行 操作的 除非是经常会对 Schema 进行扩展 不过这种情况非常的少 但要保证可用性 否则在安装 Exchange 等会扩展 AD 架构的软件时会出错 2 域命名主机 对占有域命名主机的 DC 也不需要高性能 在实际环境中也不会经常在森林里添加或 者删除域的 但要保证高可用性是有必要的 以保证在添加删除当前林中域时可以使用 一般建议由同一台 DC 承担架构主机与域域命名主机角色 并由 GC 放置在同一台 DC 中 3 PDC 模拟器 从上述 PDC 功能中可以看出 PDC 模拟器是 FSMO 五种角色里任务最重的 必须保 持拥有 PDC 的 DC 有高性能和高可用性 4 RID 主机 对于占有 RID Master 的域控制器 没有必要一定要求高性能 因为给其它 DC 分配 RID 池的操作不是经常性发生 但要求高可用性 否则在添加用户时出错 5 基础架构主机 对于单域环境 基础架构主机实际上不起作用 因为基础架构主机主要作用是对跨域 对象引用进行更新 对于单域 不存在跨域对象的更新 基础架构主机对性能和可用性方 7b3f96cb7c297bd4714f95a697b1adc1 pdf 李学锋 面的要求较低 在规划时 请大家遵循下原则进行 1 占有 Domain Naming Master 角色的域控制器必须同时也是 GC 2 不能把 Infrastructure Master 和 GC 放