ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除ADDS数据库中出现冲突的项目的可能性。
在每个林中,至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中,林范围的操作主机角色必须只出现一次。在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
一、操作主机介绍
ADDS中的五个操作主机角色分别是:架构主机、域命名主机、RID主机、PDC仿真器、基础结构主机。
架构主机和域命名主机是每林角色,即每个林只有一台架构主机和一台域命名主机。其余3个角色是每域角色,林中的每个域只有3种中的一种操作主机角色。当在林中安装ADDS并创建第一台域控制器时,它会拥有所有5个角色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得每域的操作主机角色。
下面介绍分别介绍5个操作主机的作用:
架构主机
宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其他域控制器则只包含架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的,只能有一个架构主机。
域命名主机
域命名主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名主机不可用,则无法向林中添加域或从林中删除域。在整个林中,域命名主机是唯一的,只能有一个域命名主机。
RID主机
RID主机将相对标识符(RID)分配给域中每个不同的域控制器,每个域只有一个RID操作主机角色,用于管理RID池,从而在整个域范围内创建的新的安全主体,如:用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何域控制器上的RID池中的可用RID的数量较少时(小于100),就会从RID主机请求一些RID。每次收到这样的请求,RID主机都会向域控制器再颁发大约500个RID的RID池。
PDC仿真器
PDC仿真器负责执行很多与域有关的关键功能,主要有:为Windows2000提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。
基础结构主机
基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表,然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用,域之间的组-用户引用就会过时。
二、操作主机转移
在实验环境中介绍5个操作主机的转移方法。
实验环境:
使用图形界面转移
1.在命令提示符中输入:netdomqueryfsmo查询操作主机宿主的域控制器,可以看到5个操作主机全部在DC01上。
2.在DC01上打开“ActiveDirectory用户和计算机”,右击选择“更改域控制器”然后选择。也可以在DC02中打开“ActiveDirectory用户和计算机”,则可以跳过此步。
3.在DC01上打开“ActiveDirectory用户和计算机”,右击域名“Lab.com”,选择“操作主机”。
4.在RID主机页面点击“更改”在弹出的传送操作主机角色警告中选择“是”后提示成功传送操作主机。用同样的方法可以将PDC和基础结构主机从DC01到DC02。
5.上面的步骤完成了域范围的操作主机转移。下面介绍林范围的操作主机转移。在DC01中打开“ActiveDirectory域和信任关系”,同步骤2的方法更改域控制器到DC02.Lab.com。
6.右击选择“操作主机”,在操作主机对话框中点击“更改”,然后选择“是”确认转移操作主机。提示成功,已完成域命名操作主机转移。
7.现在就剩下架构主机。架构主机可以在”ActiveDirectory架构”中进行转移。默认情况下是找不到这个管理工具,需要先注册动态链接库。在命令提示符中输入:regsvr32schmmgmt.dll
8.运行中输入:mmc,打开控制台。在添加或删除管理单元中添加“ActiveDirectory架构”,添加完成后同步骤2的方法更改域控制器,连接到DC2.Lab.com,在“ActiveDirectory架构”右击选择“操作主机”。
9.命令提示符中输入:netdomqueryfsmo查询操作主机所在域控制器,再次确认转移是否成功。
至此,已经完成在图形界面转移5个操作主机的方法。
使用Ntdsutil命令转移
前面介绍了使用图形界面对操作主机进行转移,下面介绍使用ntdsutil命令进行转移,将操作主机从DC02转移回DC01。使用命令方式进行转移相对方便一些。
1.打开命令提示符,输入:ntdsutil,进入ntdsutil提示符后,输入:roles。如果需要查到命令作用及用法可以输入:?,获取帮助信息。
2.这时需要连接到转移操作主机的目标域控制器,这里我们需要连接到DC01。输入:connections,然后输入:connecttoserverdc01。连接成功后输入:quit退回到fsmomaintenance:
3.这时就可以进行操作主机的转移了。分别使用下面5个命令转移相应的操作主机:
Transferdomainnamingmaster转移域命名主机
Transferinfrastructuremaster转移基础结构主机
TransferPDC转移PDC主机
TransferRIDmaster转移RID主机
Transferschemamaster转移架构主机
还有5个命令是强制将操作主机转移到指定域控制器。一般只有在操作主机离线或者故障无法启动时才使用,操作方法相同。
Seizedomainnamingmaster
Seizeinfrastructuremaster
SeizePDC
SeizeRIDmaster
Seizeschemamaster
4.最后再次确认是否成功转移。
总结:本文介绍了操作主机的作用及转移方法。操作主机在ADDS中分别承担不同作用,了解操作主机的作用,在日常的故障排错能起到一定的作用。以及当宿主操作主机的DC故障时,怎么将操作主机转移到新的域控制器。
本文出自“蜡笔小牛”博客,请务必保留此出处http://labixiaoniu.blog.51cto.com/695063/1298137