windows高级应用AD_07_管理操作主机.ppt

1、管理操作主机,第七章,上节回顾,站点与Active Directory的复制 利用站点来管理Active Directory的复制 全局编录的功能,本章目标,介绍操作主机的功能 操作主机的角色 管理操作主机角色 管理操作主机故障 最佳方案,介绍操作主机,多主控复制的过程中,如果对不同的DC上的相同数据同时更新,会造成复制冲突,为了避免冲突,通常让单个DC进行操作,这个DC的角色称为操作主控角色 只有拥有特定角色的域控制器，才可以进行相应的活动目录更新 操作主机实施的更新将被复制到其它域控制器上 任何域控制器都可以是一操作主机 操作主机的角色可以被移动到其它域控制器上,操作主机角色有时也被称为f

2、lexible single master operations(FSMO) roles,操作主机的角色,操作主机的默认位置 Schema (架构)主机 域命名主机 PDC 模拟主机 RID 主机 Infrastructure(基础结构) 主机,操作主机的默认位置,Schema(架构) 主机,控制对 Schema 的所有更新,负责更新与修改架构内的对象与属性数据 将更新复制到目录林中的所有域控制器 只有 Schema Admins 成员可以对 Schema 进行修改,域命名主机,控制在目录林中添加与删除域 防止创建相同名称,配置不同的新域 同一个时间内，整个林中只能有一台域命名主机,PDC 模

3、拟主机,如果是混合windows,作为任何现存的BDC的PDC 没有NT4DC,PDC也是默认主机浏览器(网络邻居的浏览功能)负责跟踪网络上所有计算机名的计算机 紧急复制,以减少密码复制延迟所造成的问题。任何DC上的密码被修改后,其他DC尽快联系PDC 并修改 负责整个森林的同步时间(kerbers在允许用户访问网络资源之前,检查时间同步),PDC Emulator同步时间,PDC模拟主机域账号锁定,目的 为防用户的密码被猜测，当密码错误次数达到预设值时，该账号将被锁定。 BadPasswordCount 每台DC各自记录用户错误尝试密码的次数； 密码输入正确后，BadPasswordCoun

4、t置0； PDC累积各DC上该值总和，一旦超过预设值： PDC主机立即第一个锁住该账号； PDC主机把锁定信号复制到其他DC,PDC模拟主机域账号锁定(续),RID主机,RID主机给域中的每个域控制器分配 RID 块 当把对象从一个域控制器移到另一个以控制器时，防止发生重复的对象,Infrastructure 主机,同一时间内，一个域内只能有一台基础结构主机 更新对象和组成员的外部索引 不能和GC配置在一起(单域除外),操作主机的放置,手工优化： 基础结构主机与GC不放在一起 域命名主机与GC放在一起 架构主机与域命名主机可放在一起 PDC模拟主机建议单独放置,管理操作主机角色,确定一个操作主

5、机的保持者 传送一个操作主机的角色 夺取一个操作主机的角色,确定一个操作主机的保持者,查找操作主机角色的位置,使用活动目录用户和计算机来查找 RID 主机 PDC 仿真器 Infrastructure 主机,使用活动目录域和信任来查找 域命名主机,使用活动目录 Schema(架构) 管理单元来查找 Schema 主机（运行Regsvr32 schmmgmt.dll）,传送一个操作主机的角色,只有在域基础结构发生了重大改变时才要传送角色 没有数据的损失 传送角色的操作者必须拥有相应的权限 开始管理工具 AD用户和计算机连接到 DC 选定DC 操作主机 更改（PDC）,传送一个操作主机的角色,自动

6、隐式转移 何时发生：在DC退出域的时候，在DC降级的时候。如果转移失败时，可能会降级失败 优先顺序：相同站点中的服务器RPC连接SMTP传输 最佳做法：手工 转移(Transfer) 把操作主机角色平滑地传递给另一台域控制器 操作可逆,夺取一个操作主机的角色,只有当当前主机角色失效时，才执行夺取操作主角色 可能会丢失数据 夺取角色的操作者必须拥有相应的权限,夺取一个操作主机的角色,抓取(Seize) 把OM角色强制地赋予另一台DC 操作不可逆 抓取命令会自动先尝试转移 最佳实践 要连到最更新的DC 能转移尽量不要用抓取 能还原则尽量还原原OM而不要抓取到其他DC,NTDSUTIL,ntdsut

7、il ntdsutil:roles fsmo maintenance:connections server connections:connect to server server connections:quit fsmo maintenance:seize schema master fsmo maintenance:seize domain naming master fsmo maintenance:seize pdc fsmo maintenance:seize rid master fsmo maintenance:seize infrastructure master,管理操作主

8、机故障,操作主机故障所造成的影响 占用操作主机角色,操作主机故障架构主机,影响 更新Schema受影响 短期内一般看不到影响 典型问题如：无法安装Exchange 处理 需确定原操作主机为永久性脱机才能夺取 确保目标DC为具有最新更新的DC,操作主机故障域命名主机,影响 更改域结构受影响 短期内一般看不到影响 典型问题如：添加/删除域 处理 需确定原操作主机为永久性脱机才能夺取 确保目标DC为具有最新更新的DC,操作主机故障RID主机,影响 无法获得新的RID池分配 典型问题如：无法新建(大量)用户账号 处理 需确定原操作主机为永久性脱机才能夺取 确保目标DC为具有最新更新的DC,操作主机故障

9、PDC模拟主机,影响 低端客户不能访问AD 不能更改域账号密码 浏览服务问题 时间同步问题 处理 需要比较及时地恢复 可以临时抓取到其他DC 在原操作主机恢复后可以夺取回去,操作主机故障基础结构主机,影响 不能转移大量账户或改变大量账户的名称 域账号不能识别，标记为SID 处理 可以临时抓取到其他DC 在原操作主机恢复后可以夺取回去,1,首先打开Active Directory 架构窗口,2,3,4,5,6,7,8,9,10,11,12,配置架构主机,1,3,2,4,5,6,配置域命名主机,1,2,3,三种操作主机选择,4,5,6,配置域范围内的操作主机角色,最佳方案,不要进行频繁的角色传送 在降格一域控制器前，传送此域控制器保持的操作主机角色 将PDC仿真器分配给一个域控制器时，考虑与密码改变相关的网络通信量 周期性地检查角色保持者的最佳布置 将Schema主机和域命名主机分配到同一域控制器上 将GC和 Infrastructure 主机放在同一站点,本章小结,操作主机的功能 找出操作主机角色的扮演者 传送操作主机角色的实例 占用操作主机角色的实例,实验:操作主机的迁移与重建,情景一：公司有两台域控器，一台已经老化，运行不太稳定。另一台是三个月前购买的，新的服务器即将到货，为了保证在新机器到货前公司网络的稳定，需要