Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目25 操作主机角色的转移与强占

项目25操作主机角色的转移与强占操控主机的概念操作主机的放置建议操作主机的重要性目录操控主机的概念操控主机的概念操作主机（FSMO，Flexiblesinglemasteroperation）是指在活动目录中用于执行某些特定功能（如资源安全标识符SID的管理、架构管理等）的域控制器。活动目录支持在林中所有域控制器之间进行目录变化的多主机复制，在多主机复制过程中，如果对两个不同的域控制器上的相同数据同时进行更新，则必然会发生复制冲突。数据同步更新操控主机的概念为了避免复制冲突，可以让一个单域控制器负责操作，用单主机方式完成（不允许在其他域控制器上进行操作）。在全林范围定义了以下两种操作主机（角色）。（1）“架构操作主机”。（2）“域命名操作主机”。每个域都定义了以下3种操作主机（角色）。（1）“PDC仿真操作主机”。（2）“基础架构操作主机”。（3）“RID操作主机”。操控主机的概念架构操作主机和域命名操作主机是林中的唯一角色，在整个林中只有一个架构操作主机和一个域命名操作主机。其他则是每一个域都拥有自己的PDC仿真操作主机、RID操作主机和基础架构操作主机。因此，在一个只有一个域的目录林中，共有5个操作主机角色。域控制器林操控主机的概念活动目录中存储着域控制器拥有对应操作主机角色的信息，如果有必要，那么域用户可以使用该信息联系操作主机。对于每个操作主机角色，只有拥有该角色的域控制器可以进行相关的目录改变。任意一台域控制器都可以被配置为操作主机（通过转移操作主机角色）。当操作主机失效或不可用时，域管理员可以将操作主机角色移动到其他域控制器上。更改目录服务器架构操作主机功能：活动目录架构定义了各种类型的对象，以及组成这些对象的属性，活动目录以对象的形式存储这些定义。架构定义了所有活动目录对象的对象类和属性，架构操作主机是能够对目录架构进行写入操作的唯一的域控制器，这些更新可以从架构操作主机复制到林中的所有其他域控制器上。特性：在整个林中，架构主机是唯一的。架构操作主机如果架构操作主机的管理工具默认没有安装，则可以在命令行中运行“Regsvr32schmmgmt.dll”命令，注册架构主机管理工具。注册架构主机域命名操作主机域命名操作主机可以防止多个域采用相同的域名加入林。在林中添加新域时，只有拥有域命名操作主机角色的域控制器有权添加新域。例如，当使用AD安装向导创建子域时，需要和域命名操作主机联系并请求添加子域。如果域命名操作主机不可用，则会导致域的添加和删除操作失败。用于域命名操作主机角色的域控制器必须是全局编录服务器，在创建域对象时，域命名操作主机通过查询全局编录功能快速核实该对象名称是否唯一。主域控制器仿真操作主机PDC仿真操作主机用于支持活动目录运行于混合模式域内的任何备份域控制器（BackupDomainController，BDC）。PDC仿真操作主机的主要作用如下：管理来自客户端的计算机账户的密码更改，计算机密码的变化需要写入到活动目录中。最小化密码变化的复制等待时间。如果客户机的密码改变了，那么PDC仿真操作主机需要一定时间将变化复制到域中的每一个域控制器中。主域控制器仿真操作主机PDC仿真操作主机的主要作用如下：在默认情况下，组策略管理单元运行在拥有该域的PDC仿真操作主机上，这样可以减少潜在的复制冲突。在默认情况下,PDC仿真操作主机还负责同步整个域内所有域控制器上的时间。防止重写组策略对象（GPO）的可能。相对标识操作主机在域中创建的每个安全主体都拥有唯一的SID。活动目录通过RID操作主机管理和分配这些SID。林通过给每一个域分配全林唯一的DomainSID，当域创建一个新的安全主体（如用户、组对象）时，这些安全主体会由RID操作主机分配一个唯一的SID，即ObjectSID=DomainSID+RID（RID通常是从1开始一个连续区块，因此刚刚新建的2个用户的SID是连续的）。因此，林通过可以DomainSID标识每个域，域可以通过ObjectSID标识每个安全主体。基础结构操作主机基础结构操作主机负责更新从它所在的域中的对象到其他域中对象的引用，每个域中都只能有一个基础结构操作主机。基础结构操作主机可以对其数据与全局编录进行比较，全局编录通过复制操作接收所有域中对象的定期更新，从而使全局编录的数据始终保持最新，如果基础结构操作主机发现数据已过时，那么它会先向全局编录请求更新的数据，再将这些更新的数据复制到域中的其他域控制器中。基础结构操作主机（1）关于基础结构操作主机的对象引用管理基础结构操作主机负责在重命名或更改组成员时更新“组到用户”的引用，当重命名或移动组成员时，组所属域的基础结构操作主机负责组的更新工作。这样，当重命名或删除用户账户时，可以防止与该账户相关的组成员的身份丢失。例如，在AGUDLP应用中，如果将域全局组改名，那么原隶属于该域全局组的用户信息中，用户的隶属组也会同步更新名称，同理通用组对应的成员（域全局组加入了通用组，即域全局组是通用组的成员）也会同步更新更新。基础结构操作主机在对用户和组对象进行移动或修改时，基础结构操作主机会根据以下规则更新对象标识。如果对象发生移动，那么它的标识名将改变，因为标识名代表它在活动目录中的精确位置。如果对象在域内发生移动，那么它的SID保持不变。如果对象被移动到另一个域中，那么SID会变为新域的SID。无论在什么位置，GUID都不会发生变化（GUID在整个域中是唯一的）。基础结构操作主机（2）基础结构操作主机与全局编录基础结构操作主机通常不启用全局编录,除非域中只有一个域控制器。在AD数据的复制中，域的基础结构操作主机将周期性的检查不在该域控制器上的对象引用。它通过查询全局编录服务器，获取有关每个引用对象的标识名和SID的当前信息，如果该信息已改变，那么基础结构操作主机会在它的本地备份上进行相应的改变，并且使用标准复制将这些改变复制到域内的其他域控制器上。基础结构操作主机（2）基础结构操作主机与全局编录由于全局编录本身包含对象的标识名和相关信息，而这些数据和域复制数据无法共存，因此，如果基础结构操作主机启用全局编录（默认启用），则会导致基础结构操作主机失效。如果只有一台域控制器，那么它本身的信息是最新的，因此也不存在同步问题。操作主机的放置建议操作主机的放置建议默认情况：架构操作主机和域命名操作主机在根域的第一台域控制器上、其他3个操作主机（RID操作主机、PDC仿真操作主机、基础结构操作主机）角色在各自域的第一台域控制器上。需要关注的两个问题如下：基础结构操作主机和全局编录的冲突。基础结构操作主机应该关闭全局编录功能，避免冲突（域控制器非唯一）。域运行的性能考虑。操作主机的放置建议如果存在大量的域用户和客户机，并且部署了多台额外域控制器，那么可以考虑将域的角色转移一些到其他的额外域控制器上以分担部分工作。额外域控制器域控制器额外域控制器域用户操作主机的重要性操作主机的重要性操作主机在活动目录环境中，肩负着重要的作用，如果操作主机出现问题，则会出现以下问题：当架构操作主机不可用时，不能对架构进行更改。在大多数网络环境中，对架构进行更改的频率很低，并且应该提前进行规划，从而使架构主机的故障不至于产生任何直接的问题。当域命名操作主机不可用时，不能通过运行ActiveDirectory向导向ActiveDirectory中添加域，也不能从目录林中删除域，如果在域命名主机不可用时试图通过运行ActiveDirectory向导来删除域，则会收到一条“RPC服务器不可用”的消息。操作主机的重要性操作主机在活动目录环境中，肩负着重要的作用，如果操作主机出现问题，则会出现以下问题：当RID操作主机不可用时，遇到的主要问题是不能向域中添加任何新的安全对象，如用户、组和计算机；如果试图添加，则会出现错误消息“Windows不能创建对象，因为：目录服务已经用完了相对标识号池”。当PDC仿真操作主机不可用时，可能导致用户登录失败。如果重新设置用户密码，例如，用户忘记密码，然后管理员在一台域控制器上重新设置该用户的密码（这台域控制器目前不是该用户登录的身份验证域控制器），那么该用户必须等到