文档介绍:WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机
2007-09-06 10:53:49
标签:AD 操作主机活动目录[推送到技术圈]
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.
首先我们先来了解什么是"操作主机","操作主机"都包括什么?
在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)
在林范围内包括以下两种:
1)架构主机
2)域命名主机
在每个林中这些角色都必须是唯一的!
在域范围内包括以下:
1)主域控制器仿真主机(PDC Emulator)
2)相对 ID (RID) 主机
3)基础结构主机
以上三种在每个域中必须是唯一的!
 
(Schema Master)
 
架构主机控制对整个林的架构的全部更新
在整个林中,只能有一个架构主机
如何管理架构主机(默认没有安装管理架构的工具):
    1)注册架构管理工具regsvr32
    2)使用mmc添加【Active Directory架构】
    3)查看架构主机
 
 
 
 
(Domain Naming Master)
控制林中域的添加或删除,可以防止林中的域名重复
在整个林中只能有一个域命名主机
注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器
使用【Active Directory域和信任关系】查看域命名主机
 
 
仿真主机(PDC Emulator Master)
PDC 仿真主机作为混合模式域中的Windows NT PDC(主域控制器)
林中的每个域中只能有一个PDC 仿真主机
PDC 仿真主机的主要作用:
    1)管理来自客户端(Windows NT/95/98)的密码更改
    2)最小化密码变化的复制等待时间
    3)同步整个域内所有域控制器上的时间
    4)查看PDC 仿真主机
 
主机(RID Master)
 
RID 主机将相对 ID(RID)序列分配给域中每个域控制器
林中的每个域中只能有一个RID 主机
每次当DC创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个域SID(它与域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。对象的SID=域SID+RID
使用【Active Directory用户和计算机】查看RID主机 
 
 
(Infrastructure Master)
负责更新从它所在的域中的对象到其他域中对象的引用
每个域中只能有一个基础结构主机
基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!
使用基础结构主机的要点:
1)除非域中只有一个域控制器,否则不应将基础结构主机角色指派给全局编录所在的域控制器
2)如果域中的所有域控制器都存有全局编录,则无论哪个域控制器承担基础结构主机角色均不重要
3)负责在重命名或更改组成员时更新“组到用户”的引用
 
 
操作主机角色总结:
 
 
接下来我们来做转移操作主机角色
案例:,有两台DC,第一台DC的硬件配置比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都在第一台DC上,如何将之转移到第二台DC上?
 
 
1)转移PDC主机,RID主机和基础结构主机角色
a)打开"AD用户与计算机"工具,右击"AD用户与计算机"然后单击"连接到域控制器",在"输入另一个DC的名称"窗口中,输入要担任PDC主机角色的DC的名称(dc2.),右击"AD用户与计算机",指向"所有任务",然后单击"操作主机"---"PDC"命令,显示当前的操作主机是"dc1.":