Active Directory操作主機詳解
在前面的博文中,我們已經瞭解到每個域控制器都能自主修改Active Directory,而且修改後的結果會被其他的域控制器所承認。從這個角度講,域控制器之間的地位是平等的,但我們決不能認爲域控制器之間是沒有區別的!事實上,域中的第一個域控制器往往比其他的域控制器承擔了更多的任務。
有些企業中部署了多個域控制器之後,就開始忽略第一個域控制器的作用,有時甚至可能會一不經意間把第一個域控制器給處理掉了。但這些企業的用戶很快就會發現域中會出現一些異常現象,例如無法創建域用戶賬號,無法安裝Exchange,無法部署子域等等。原因很簡單,第一個域控制器承擔的任務並沒有被轉嫁到其他的域控制器上,而這些任務對一個域來說又是不可或缺的,因此我們纔會面臨如此多的問題。那麼,究竟第一個域控制器和其他的域控制器相比承擔了哪些更多的任務呢?這就是我們今天要討論的話題,操作主機!
操作主機是由域控制器來扮演的一種角色,操作主機角色共有五種,分別是PDC主機,RID主機,結構主機,域命名主機和架構主機,今天的這篇博文將分別介紹五種操作主機的用途。
我們先來介紹PDC主機,PDC是主域控制器的縮寫,在NT4時代,域控制器被分別PDC(主域控制器)和BDC(備份域控制器),只有PDC纔可以修改目錄數據庫,BDC的數據庫是從PDC複製而來的。從Win2000開始,所有的域控制器都可以修改Active Directory了,那爲什麼Win2003的操作主機中還有PDC主機這個角色呢?原因是這樣的,微軟爲了保護用戶的前期投資,允許NT4服務器稱爲Win2003域中的額外域控制器,但NT4充當域控制器時一定要和域中的PDC聯繫,這種情況下PDC主機就要挺身而出,以主域控制器的身份和NT4的域控制器通訊。這就是PDC主機的第一個用途,兼容NT4服務器。
PDC主機的第二個用途是可以優先成爲主瀏覽器,這裏說的瀏覽器可不是上網衝浪用的瀏覽器,而是網絡中的一種計算機角色。我們都知道打開網上鄰居後可以看到當前網絡中有多少臺計算機,雙擊計算機名還可以看到這臺計算機提供的共享資源。這些網絡資源列表是由誰來提供呢,在微軟網絡中被一種稱爲主瀏覽器的計算機來提供。那麼哪些計算機可以成爲主瀏覽器呢?只要操作系統的版本在Windows workgroup 3.1以上的計算機都有機會成爲主瀏覽器。如果一個網絡中的多臺計算機都希望成爲主瀏覽器,那麼這些計算機就會通過“選舉”來解決問題,我們有時用抓包工具可以抓到電子選舉包就和這個過程有關。每臺計算機選舉時首先比較操作系統版本,版本新的優先成爲主瀏覽器,例如Win2003優於Win2000。如果操作系統版本相同,再比較誰是域控制器,域控制器比普通的計算機優先。如果參與選舉的有多個域控制器,那麼PDC主機會優先。最後再多說一句,如果一個廣播域內有多個域,而且有多個PDC操作主機,那麼它們之間又如何進行主瀏覽器的選舉呢?它們之間會通過GUID來選出最後的勝利者。
PDC主機的第三個用途就是Active Directory的優先複製權,正常情況下,Active Directory的複製週期是5分鐘,但如果Active Directory中發生了一些緊急事件,例如修改了用戶口令。這種情況下源域控制器就會在最短時間內通知PDC主機,由PDC主機來統一管理這些Active Directory的緊急事件。如果一臺域控制器發現用戶輸入的口令和Active Directory中存儲的口令不一致,域控制器考慮到有兩種可能性,一種可能是用戶輸入錯誤,一種可能是用戶輸入的口令是正確的,但是自己的Active Directory還沒有接收到最新的變化。域控制器爲了避免自己判斷錯誤,就會向PDC主機發出查詢,請PDC主機來驗證口令的正確與否,因爲前面已經提到,任意一個域控制器修改了用戶口令,都會在最短時間內通知PDC主機。
PDC主機除了上述的幾種用途,還可用於充當域內的權威時間源,同時PDC主機也是組策略的首選存儲地點。順便提一下,PDC主機的作用級別是域級別,也就是說,在一個域中只能有一臺域控制器充當PDC主機。
介紹完PDC主機的作用後,我們來介紹RID主機。RID是SID的一部分,什麼是SID呢?SID是安全標識符(Security Identify)的縮寫,當我們在域中創建用戶賬號或計算機賬號時,操作系統會爲被創建的賬號建立一個對應的SID,也就是說,SID真正對應了用戶賬號或計算機賬號。一個域用戶對應的SID格式是這樣的,S-1-5-21-D1-D2-D3-RID,S是SID的縮寫,1是SID的版本號,5代表授權機構,21代表子授權,D1-D2-D3是三個數字,代表對象所在的域或計算機,RID是對象在域中或計算機中的相對號碼。以大家熟悉的管理員賬號爲例,管理員的SID就是S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。
RID是SID的組成部分,RID主機的作用就是爲Active Directory提供一個可用的RID池(默認500個),而且當池中的RID被消耗到一定程度後再自動補充滿。如果RID主機出現故障,顯然會對我們創建大量的用戶賬號造成麻煩。和PDC主機類似,RID主機的作用級別也是域級別。
結構主機的作用是負責對跨域對象的引用進行更新,假如A域的一個用戶加入了B域的一個組,B域的結構主機就會負責關注A域的這個用戶是否發生了什麼變化,例如是否被刪除了,結構主機的工作可以確保域間對象引用的可操作性。如果是一個單域,基本上用不着結構主機做什麼工作。如果在一個多域的林環境,有一點要切記,結構主機不要和GC(全局編錄)放在同一臺域控制器上,否則結構主機無法正常工作。結構主機的作用級別也是域級別。
下一個要介紹的操作主機是域命名主機,這個操作主機的作用級別是林級別的!域命名主機主要負責控制域林內域的添加或刪除,也就是說如果在域林內添加一個新域,必須由域命名主機判斷域名合法,操作纔可以繼續。如果域命名主機不在線,我們就無法完成域林內新域的創建。除了對域名做出詮釋,域命名主機還要負責添加或刪除描述外部目錄的交叉引用對象。
最後我們要介紹的是架構主機,架構主機的作用級別同樣是林級別。架構主機的作用非常重要,如果要修改Active Directory的架構,我們只能從架構主機上進行操作。微軟的很多高級服務器產品在部署時都需要修改Active Directory的架構,例如Exchange,Office Communications Server,SMS等。以最著名的Exchange爲例,如果我們在域中部署Exchange時無法在線聯繫上架構主機,那Exchange的部署就無法繼續,MCSE的考題中曾經考過這個知識點。
從上面的介紹中我們可以看出,操作主機都有各自的職能,一旦操作主機有問題我們就會遇到種種麻煩,因此我們在下篇博文中將介紹如何轉移操作主機角色以及如何奪取操作系統角色,敬請期待。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/127848