WINDOWS SERVER 2003從入門到精通之AD中的5種操作主機
阿新 • • 發佈:2020-10-09
在之前我們已經瞭解了在AD(活動目錄)中建立林,域樹和子域的方法,在一個域中,為了提高容錯性和高可用性,我們建議大家在一個域中最好存在多臺DC,每個DC維護域中相同的活動目錄資料庫.而這些DC是對等的,那麼就會產生一些問題:為了保證活動目錄資料庫的一致性就需要執行復制操作,一般的複製是多主機複製(多個DC平等),但某些更改不適合使用多主機複製執行,因此需要有稱為"操作主機"的DC接受此類更改的請求.
首先我們先來了解什麼是"操作主機","操作主機"都包括什麼?
在每個林中有5種操作主機角色(這些操作主機角色可以指派給一個或多個DC)
在林範圍內包括以下兩種:
1)架構主機
2)域命名主機 在每個林中這些角色都必須是唯一的!
在域範圍內包括以下:
1)主域控制器模擬主機(PDC Emulator)
2)相對 ID (RID) 主機
3)基礎結構主機 以上三種在每個域中必須是唯一的! 1.架構主機(Schema Master) 架構主機控制對整個林的架構的全部更新
在整個林中,只能有一個架構主機
如何管理架構主機(預設沒有安裝管理架構的工具):
1)註冊架構管理工具regsvr32 schmmgmt.dll
2)使用mmc新增【Active Directory架構】
3)檢視架構主機
2.域命名主機(Domain Naming Master)
在整個林中只能有一個域命名主機 注意:任何執行WIN2003的DC都可以擔當域命名主機這一角色,如果執行WIN2003的DC擔當域命名主機角色,則必須啟用為全域性編錄伺服器
使用【Active Directory域和信任關係】檢視域命名主機
3.PDC 模擬主機(PDC Emulator Master)
PDC 模擬主機作為混合模式域中的Windows NT PDC(主域控制器)
林中的每個域中只能有一個PDC 模擬主機
PDC 模擬主機的主要作用:
1)管理來自客戶端(Windows NT/95/98)的密碼更改
2)最小化密碼變化的複製等待時間
4)檢視PDC 模擬主機
4.RID 主機(RID Master)
RID 主機將相對 ID(RID)序列分配給域中每個域控制器
林中的每個域中只能有一個RID 主機
每次當DC建立使用者、組或計算機物件時,它就給該物件指派一個唯一的安全ID(SID)。SID包含一個域SID(它與域中建立的所有SID相同)和一個RID(它對域中建立的每個SID是唯一的)。物件的SID=域SID+RID
使用【Active Directory使用者和計算機】檢視RID主機
5.基礎結構主機(Infrastructure Master)
負責更新從它所在的域中的物件到其他域中物件的引用
使用基礎結構主機的要點:
1)除非域中只有一個域控制器,否則不應將基礎結構主機角色指派給全域性編錄所在的域控制器
2)如果域中的所有域控制器都存有全域性編錄 ,則無論哪個域控制器承擔基礎結構主機角色均不重要
3)負責在重新命名或更改組成員時更新“組到使用者”的引用
操作主機角色總結:
接下來我們來做轉移操作主機角色
案例:BENET公司組建了一個單域benet.com.cn,有兩臺DC,第一臺DC的硬體配置比較低,第二臺DC的硬體配置較高,目前的5個操作主機角色都在第一臺DC上,如何將之轉移到第二臺DC上?
1)轉移PDC主機,RID主機和基礎結構主機角色
a)開啟"AD使用者與計算機"工具,右擊"AD使用者與計算機"然後單擊"連線到域控制器",在"輸入另一個DC的名稱"視窗中,輸入要擔任PDC主機角色的DC的名稱(dc2.benet.com.cn)或單擊可用的DC列表中的該DC.在控制檯樹中,右擊"AD使用者與計算機",指向"所有任務",然後單擊"操作主機"---"PDC"命令,顯示當前的操作主機是"dc1.benet.com.cn":
b)選擇"更改":
c)檢視操作主機已經被轉移成功,轉移操作是可逆的!
2)轉移架構主機角色
a)使用"AD架構"工具"來更改域控制器:
b)指定名稱:
c)更改架構主機:
轉移架構主機注意:
執行此過程的帳戶必須是AD中Schema admins組的成員,後者必須被委派了相應的許可權
要想在控制檯中新增AD架構管理單元,需要執行"regsvr32 schmmmgmt.dll"命令註冊該管理單元
3)轉移域命名主機角色
a)開啟"AD域和信任關係"工具,選擇"連線到DC",在"輸入另一個DC的名稱"視窗中輸入要擔任域命名主機角色的DC的名稱.
b)在控制檯中,右擊"AD域和信任關係",然後單擊"操作主機",顯示域命名主機是"dc1.benet.com.cn"
c)選擇更改:
轉移域命名主機角色要注意:
執行此過程的帳戶必須是AD中的domain admins組或 enterprise admins組的成員,後被委派許可權
若要將角色轉移到另一個DC,可能首先需要將"AD域和信任關係"的焦點改為目標DC,要執行此操作,右擊"AD域和信任關係",在單擊"連線到域控制器",然後單擊目標DC即可!
當然還可以使用命令列方式轉移主機角色
以下顯示轉移RID主機的操作:
如果要轉移其他角色,可以在fsmo maintenance命令提示符下,輸入"help"命令:
轉移操作主機角色的總結:
案例:BENET公司組建了一個單域,域名為benet.com.cn,有兩臺DC,目前的5個操作主機角色都在第一臺DC上,某一天第一臺DC出了故障,並且無法恢復,如何使第二臺DC充當5個操作主機角色呢?
為了模擬第一臺DC出故障,可以禁用第一臺DC的網絡卡,使該計算機不能聯網,這時第二臺DC就聯絡不到操作主機,顯示操作主機錯誤,如下圖,角色不能被傳送.
1)在“命令提示符”中鍵入“ntdsutil”命令
2)在ntdsutil命令提示符下鍵入“roles”命令
3)在fsmo maintenance命令提示符下,鍵入“connection” 命令
4)在server connections命令提示符下,鍵入 "connect to server dc2.benet.com.cn"(由於第一臺DC離線,需要使用第二臺DC進行域名解析)命令
5)在server connections命令提示符下,鍵入“quit”(返回上一級命令提示符)
6)在fsmo maintenance命令提示符下,鍵入“seize RID master” ,按提示確認是否佔用RID Master角色,單擊"是"按鈕,完成操作後,操作主機恢復為第二臺DC:
最後檢視操作主機:
如果要佔用其他角色,可以在fsmo maintenance命令提示符下,鍵入"help"命令,使用以下命令來完成:
1)架構主機
2)域命名主機 在每個林中這些角色都必須是唯一的!
在域範圍內包括以下:
1)主域控制器模擬主機(PDC Emulator)
2)相對 ID (RID) 主機
3)基礎結構主機 以上三種在每個域中必須是唯一的! 1.架構主機(Schema Master) 架構主機控制對整個林的架構的全部更新
在整個林中,只能有一個架構主機
如何管理架構主機(預設沒有安裝管理架構的工具):
1)註冊架構管理工具regsvr32 schmmgmt.dll
2)使用mmc新增【Active Directory架構】
3)檢視架構主機
2.域命名主機(Domain Naming Master)
在整個林中只能有一個域命名主機 注意:任何執行WIN2003的DC都可以擔當域命名主機這一角色,如果執行WIN2003的DC擔當域命名主機角色,則必須啟用為全域性編錄伺服器
使用【Active Directory域和信任關係】檢視域命名主機
3.PDC 模擬主機(PDC Emulator Master)PDC 模擬主機作為混合模式域中的Windows NT PDC(主域控制器)
林中的每個域中只能有一個PDC 模擬主機
PDC 模擬主機的主要作用:
1)管理來自客戶端(Windows NT/95/98)的密碼更改
2)最小化密碼變化的複製等待時間
4)檢視PDC 模擬主機
4.RID 主機(RID Master)
RID 主機將相對 ID(RID)序列分配給域中每個域控制器林中的每個域中只能有一個RID 主機
每次當DC建立使用者、組或計算機物件時,它就給該物件指派一個唯一的安全ID(SID)。SID包含一個域SID(它與域中建立的所有SID相同)和一個RID(它對域中建立的每個SID是唯一的)。物件的SID=域SID+RID
使用【Active Directory使用者和計算機】檢視RID主機
5.基礎結構主機(Infrastructure Master)
負責更新從它所在的域中的物件到其他域中物件的引用
使用基礎結構主機的要點:
1)除非域中只有一個域控制器,否則不應將基礎結構主機角色指派給全域性編錄所在的域控制器
2)如果域中的所有域控制器都存有全域性編錄 ,則無論哪個域控制器承擔基礎結構主機角色均不重要
3)負責在重新命名或更改組成員時更新“組到使用者”的引用
操作主機角色總結:
接下來我們來做轉移操作主機角色
案例:BENET公司組建了一個單域benet.com.cn,有兩臺DC,第一臺DC的硬體配置比較低,第二臺DC的硬體配置較高,目前的5個操作主機角色都在第一臺DC上,如何將之轉移到第二臺DC上?
1)轉移PDC主機,RID主機和基礎結構主機角色
a)開啟"AD使用者與計算機"工具,右擊"AD使用者與計算機"然後單擊"連線到域控制器",在"輸入另一個DC的名稱"視窗中,輸入要擔任PDC主機角色的DC的名稱(dc2.benet.com.cn)或單擊可用的DC列表中的該DC.在控制檯樹中,右擊"AD使用者與計算機",指向"所有任務",然後單擊"操作主機"---"PDC"命令,顯示當前的操作主機是"dc1.benet.com.cn":
b)選擇"更改":
c)檢視操作主機已經被轉移成功,轉移操作是可逆的!
2)轉移架構主機角色
a)使用"AD架構"工具"來更改域控制器:
b)指定名稱:
c)更改架構主機:
轉移架構主機注意:
執行此過程的帳戶必須是AD中Schema admins組的成員,後者必須被委派了相應的許可權
要想在控制檯中新增AD架構管理單元,需要執行"regsvr32 schmmmgmt.dll"命令註冊該管理單元
3)轉移域命名主機角色
a)開啟"AD域和信任關係"工具,選擇"連線到DC",在"輸入另一個DC的名稱"視窗中輸入要擔任域命名主機角色的DC的名稱.
b)在控制檯中,右擊"AD域和信任關係",然後單擊"操作主機",顯示域命名主機是"dc1.benet.com.cn"
c)選擇更改:
轉移域命名主機角色要注意:
執行此過程的帳戶必須是AD中的domain admins組或 enterprise admins組的成員,後被委派許可權
若要將角色轉移到另一個DC,可能首先需要將"AD域和信任關係"的焦點改為目標DC,要執行此操作,右擊"AD域和信任關係",在單擊"連線到域控制器",然後單擊目標DC即可!
當然還可以使用命令列方式轉移主機角色
以下顯示轉移RID主機的操作:
如果要轉移其他角色,可以在fsmo maintenance命令提示符下,輸入"help"命令:
| 命 令 | 意 義 |
| Transfer PDC | 轉移PDC模擬主機 |
| Transfer PID master | 轉移RID主機 |
| Transfer infrastructure master | 轉移基礎結構主機 |
| Transfer domain naming master | 轉移域命名主機 |
| Transfer schema master | 轉移架構主機 |
在轉移主機角色過程中,相關DC始終聯機,因此沒有資料損失
在轉移主機角色過程中要注意執行者是否有許可權
可以使用Windows圖形介面和命令列方式實現
轉移操作主機的過程是可逆的
案例:BENET公司組建了一個單域,域名為benet.com.cn,有兩臺DC,目前的5個操作主機角色都在第一臺DC上,某一天第一臺DC出了故障,並且無法恢復,如何使第二臺DC充當5個操作主機角色呢?
為了模擬第一臺DC出故障,可以禁用第一臺DC的網絡卡,使該計算機不能聯網,這時第二臺DC就聯絡不到操作主機,顯示操作主機錯誤,如下圖,角色不能被傳送.
1)在“命令提示符”中鍵入“ntdsutil”命令2)在ntdsutil命令提示符下鍵入“roles”命令
3)在fsmo maintenance命令提示符下,鍵入“connection” 命令
4)在server connections命令提示符下,鍵入 "connect to server dc2.benet.com.cn"(由於第一臺DC離線,需要使用第二臺DC進行域名解析)命令
5)在server connections命令提示符下,鍵入“quit”(返回上一級命令提示符)
6)在fsmo maintenance命令提示符下,鍵入“seize RID master” ,按提示確認是否佔用RID Master角色,單擊"是"按鈕,完成操作後,操作主機恢復為第二臺DC:
最後檢視操作主機:
如果要佔用其他角色,可以在fsmo maintenance命令提示符下,鍵入"help"命令,使用以下命令來完成:
| 命 令 | 意 義 |
| Seize PDC | 佔用PDC模擬主機 |
| SeizePID master | 佔用RID主機 |
| Seize infrastructure master | 佔用基礎結構主機 |
| Seize domain naming master | 佔用域命名主機 |
| Seize schema master | 佔用架構主機 |