AD中的5个操作主机角色

AD中的5个操作主机角色1、操作主机PDCEmulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。今天跟大家介绍的是域环境中五大操作主机之一PDCEmulator全称Primarydomaincontroller(PDC)emulatoroperationsmaster中文:PDC仿真主机。我习惯把它称为“PDCEmulator”。现在咱们就来一步步认识“PDCEmulator”。如果我们要设置当前域的“PDCEmulator”角色，必须选择开始-管理工具-ActiveDirectory用户和计算机，可以看到当前域的名称为“wgs.com”。鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDCEmulator是dc1.wgs.com这台主机.PDCEmulator总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC，他才可以把资料复制给NT的BDC。第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDCEmulator对时，当前域的PDCEmulator会跟整个树的树根中的PDCEmulator对时，当前树根中的PDCEmulator会跟整个林的根域的PDCEmulator对时，所以可以让整个森林的时间保持一致。第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC来避免密码修改的延迟。比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDCEmulator做仲裁，从而得到最新的密码。第五个功能：防止重复套用组策略：当我们使用组策略时，我们的组策略编辑器会连到PDCEmulator去做修改，来防止组策略套用时出错。这个功能我们可以看图来说明下：我们先打开“组策略管理”假设我要编辑某一个GPO，比如默认域策略大家可以看到组策略管理编辑器会默认连接到一台主机名字叫“dc1.wgs.com”而这台DC正是我当前域的PDCEmulator，这样的设定就会防止，在复制组策略对象（GPO）的时候出现重复。我们可以在组策略管理编辑器的查看下拉菜单中找到DC选项单击，可以看到如下提示从上图中我们可以看出，默认情况下在套用GPO的时候就会去找PDCEmulator去做复制，这样就可以避免GPO设置在复制的时候重复。下面再来看一下如何去实现PDCEmulator的转移：打开ActiveDirectory用户和计算机鼠标右击ActiveDirectory用户和计算机选择更改域控制器。出现如下图所示窗口，大家可以看到我当前域有两台DC：DC1和DC2，我选择更改目录服务器为DC2.wgs.com下图为更改后的状态，然后鼠标右击当前域wgs.com选择操作主机，可以看到目前的操作主机是DC1.wgs.com。再选择更改，选择传送操作主机，结果如下：此时操作主机PDCEmulator就已经成功变更为DC2.wgs.com通过今天这篇文章您了解到了五大操作主机之一PDCEmulator的功能和转移方法。其他的操作主机会在后续文章中为您放出。2、操作主机RIDmatser一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。今天跟大家介绍在ActiveDirectory中，RIDMaster（RID主机）的相关设定和所负责的功能。咱们来一步步认识RIDMaster：RIDMaster和PDCEmulator一样，也是域中必须唯一的操作主机之一，所以同样打开“开始”--“管理工具”--“ActiveDirectory用户和计算机”鼠标右击当前域“wgs.com”选择“操作主机”，在打开窗口的第一个选项卡中就可以看到“RID”。从上图中可以看到当前域的RIDMaster是dc1.wgs.com这台DC。RID的功能是这样，当我们要在AD中建立对象（如：用户，组，计算机等等），每一个对象都要有一个独一无二的SID，一个SID是由两个号码所组成：DomainID（当前域的ID）+RelativeID（相对ID或者简称RID）。所以为了避免两个对象的SID一样，所以必须要把RID做独一无二的编码。所以RIDMaster就负责把这些RID的码编出来。那默认状态下呢，DC会向RIDMaster去要一堆的RID号码，等到将来咱们在创建帐户的时候就从这些号码拿出来用。等用完后再去跟RIDMaster去要。所以RIDMaster他很重要。如果说他坏掉的话，当前你可能可以建立一些帐号没有问题，因为域控制器这边会有些预留的，但一旦用光了之后，你就再也没办法新增新的帐号了（包含：用户、计算机、组）。RIDmaster还有一个功能就是当你跨域去转移帐号的时候也可以透过RIDMaster去比对是不是有相同号码的帐号存在，以免造成重复的操作。现在如果您要去转移RIDMaster，做法是这样的：首先鼠标右击“ActiveDirectory用户和计算机”工具中的ActiveDirectory用户和计算机选择“更改域控制器”打开如下图所示窗口后，选择需要切换到的另一台DC，比如我所选择的dc2.wgs.com这一台。确定后可以看到目前我是连接到DC2这台DC上了。准备好上面的步骤，现在咱们就可以来实现操作主机RIDMaster的转移操作了，如下图所示：右击当前域“wgs.com”选择“操作主机”打开如图所示窗口：选择更改，是，确定。可以看到当前的操作主机RIDMaster已经变成dc2.wgs.com,这样就顺利把操作主机RIDMaster转到dc2那一台去了。其实，我们也可以使用命令提示符去做：点击开始--程序--命令提示符，键入“ntdsutil”后在ntdsutil界面中键入“？”回车。找到Roles如下图所示：键入Roles，按enter，进入角色管理界面；再键入Connections，按enter，进入连接界面；键入connecttoserverdc1按enter连接到dc1上；接着键入quit退出连接界面，在角色管理界面中键入“TransferRIDmaster”，弹出提示“是否转移操作主机”，选择“是”。再回到图形界面中查看，可以看到操作主机又被转移到了dc1.wgs.com这台DC上，如下图：这样就把RIDmaster又转移到了dc1.wgs.com这台DC上，当然其他的五个操作主机都可以象这样的做法传送。通过这一篇文章，您了解到域内必须唯一的操作主机RIDmaster的相关功能和转移的操作方法。操作主机InfrastructureMaster今天跟大家介绍的是域环境下第三个操作主机:InfrastructureMaster(基础结构主机)InfrastructureMaster的作用是:当你的域环境中的组内成员如果来自其他域的话(比如你把其他域的用户加入到当前域的组中),在DC间在进行AD数据复制的时候就必须维护当前域的成员(比如想要知道组内成员是否有变更了,就必须到InfrastructureMaster上去做查询).也就是用来确定当前域和其他域之间对象的引用关系的,并且在一个域内必须是唯一的.也正因为这样InfrastructureMaster只在多域环境下启作用，在单域环境下是不会用到InfrastructureMaster的。要查看InfrastructureMaster,只需在DC上打开ActiveDirectory用户和计算机,然后鼠标右击当前域wgs.com,选择操作主机,就会打开操作主机的管理界面,然后选择基础结构选项卡,就可以看到当前的InfrastructureMaster是dc.wgs.com这台服务器.如果要作转移，就和本系列七讲过的RIDMaster一样，首先如下图所示，连接到另外一台服务器“SRV.wgs.com”再打开操作主机的操作界面，选择“基础结构”选项卡，再选择更改，这样就可以完成操作主机的转移了。今天，咱们再说一个在转移操作主机时采取的非常规转移方法（应用场景：原来放置InfrastructureMaster的那台DC已经坏掉了，没办法适用的情况下）：打开在需要放置操作主机的DC上，打开命令提示符，输入ntdsutil在ntdsutil管理界面中键入Roles再键入connections，进入connections界面连接到服务器“DC”然后键入quit命令退回到FSMO管理界面，使用seizeInfrastructureMaster强行覆盖操作主机就可以了（其他的操作主机也可以用同样的方法强行覆盖转移）。注意：如果我们在域环境中，使用了以上覆盖的方式转移了操作主机，那么一定要确保原来放置操作主机InfrastructureMaster的那台DC不能上线，就算把他修好了也要把它摧毁，否则就会在当前域出现两台操作主机InfrastructureMaster，这样就会出问题。通过今天，大家就可以了解到操作主机InfrastructureMaster的作用以及如何转移和强占（覆盖）操作主机。操作主机DomainNamingMaster本次为大家介绍AD的五大操作主机中的最后一位:DomainNamingMaster(域命名主机).在域环境中必须有一个机构来储存整个AD的架构(比如说整个域环境中哪一个域在哪一个域的下面,这样的树状结构必须有一个地方去记录).那我们现在来稍微看一下,在系统管理工具里可以找到ActiveDirectory域和信任关系这一项.我们打开他就可以看到整个AD的树状结构.那么必须有一台机器可以去维护这个树状结构,当AD的树状结构变动的时候,就需要找这台机器去做修改.我们可以在ActiveDirectory域和信任关系上按右键,选择操作主机.大家可以看到域命名主机,就是DomainNamingMaster.同时也可以在这里做这个操作主机的更改,也就是操作主机的转移的动作.我们可以再次右键ActiveDirectory域和信任关系选择连接到另一台服务器,再选择另一台DC后,确定连接到另一台DC.接着在ActiveDirectory域和信任关系上按右键,选择操作主机,此时选择更改.那么咱们的DomainNamingMaster就转移到另一台DC上了.当然你也可以使用命令行的方式用Ntdsutil工具进行操作主机DomainNamingMaster的转移工作.操作主机SchemaMaster今天要跟大家介绍的是AD中的操作主机SchemaMaster(架构主机)他的功能以及如何实现转移。要管理Schema必须用到一个mmc的管理组件中的名为“ActiveDircetory架构”这么一个工具，但是这个工具默认并没有注册。所以我们必须要先注册：1、打开命令提示符：2、键入：regsvr32schmmgmt.dll(嵌入式管理组件“ActiveDircetory架构”的动态连接库文件是schmmgmt.dll，可以用regsvr32把它注册到mmc里面去。)3、注册成功后，我们就可以打开mmc的工具了，4、在mmc中加入一个管理单元，点击文件--添加/删除管理单元，在窗口左边就可以看到一个名为“ActiveDircetory架构”的管理组件，选中并添加；5、确定后如下图，就打开了这个管理组件，展开“ActiveDircetory架构”节点后，可以看到两个东西，一个是类别、一个是属性。那么这里先来介绍下什么叫Schema，Schema在AD里所扮演的角色就是用来定义AD里面的结构的（举个例子说：AD的对象中会有用户，那么用户会有多少个属性？比如：密码、显示名、登录名、部门、电话等等的栏目。那么，就必须要定义这些东西。用来定义对