AD域的5大架構(gòu)(共3頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上五種角色架構(gòu)AD域環(huán)境中五大主機角色在Win2003多主機復制環(huán)境中，任何理論上都可以更改ActiveDirectory中的任何對象。但實際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數(shù)據(jù)庫一致性錯誤，這些特殊的功能稱為“靈活單一主機操作”，常用FSMO來表示，擁有這些特殊功能執(zhí)行能力的主機被稱為FSMO角色主機。在Win2003 AD域中，F(xiàn)SMO有五種角色,分成兩大類:森林級別(在整個林中只能有一臺DC擁有訪問主機角色)1：架構(gòu)主機 (Schema Master)2：域命令主機 (Domain Naming Master)域級別(在域中只有一

2、臺DC擁有該角色3：PDC模擬器(PDC Emulator)4：RID主機 (RID Master)5：基礎(chǔ)架構(gòu)主機 (Infrastructure Master)1：架構(gòu)主機控制整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會從架構(gòu)主機復制到目錄林中的所有其它域控制器中。 架構(gòu)主機是基于目錄林的，整個目錄林中只有一個架構(gòu)主機。2：域命令主機向目錄林中添加新域。從目錄林中刪除現(xiàn)有的域。添加或刪除描述外部目錄的交叉引用對象.3：PDC模擬器向后兼容低級客戶端和服務(wù)器，擔任NT系統(tǒng)中PDC角色源，作為本域權(quán)威，為本域中其它DC以及客戶機提供服務(wù)，林

3、中根域的PDC模擬器又為其它域PDC模擬器提供時間同步!密碼最終驗證服務(wù)器，當一用戶在本地DC登錄，而本地DC驗證本地用戶輸入密碼無效時，本地DC會查詢PDC模擬器，詢問密碼是否正確。首選的存放位置，組策略對象(GPO)由兩部分構(gòu)成：GPT和GPC，其中GPC存放在AD數(shù)據(jù)庫中，GPT默認存放PDC模擬器在windowssysvolsysvol<domainname>目錄下，然后通過DFS復制到本域其它DC中。name域主機瀏覽器，提供通過查看域環(huán)境中所有主機的功能4：主機角色：RID主機Win2003環(huán)境中，所有的都有SID，SID由域SID+序列號組合而成，后者稱為“相對ID”

4、(Relative ID,RID),在Win2003環(huán)境中，由于任何DC都可以創(chuàng)建安全主體，為保證整個域中每個DC所創(chuàng)建的安全主體對應(yīng)的SID在整個域范圍唯一性，設(shè)立該主機角色，負責向其它DC分配RID池(默認一次性分配500個)，所有非RID主機在創(chuàng)建安全實體時，都從分配給的RID池中分配RID，以保證SID不會發(fā)生沖突! 當非RID主機中分配的RID池使用到80%時，會繼續(xù)RID主機，申請分配下一個RID地址池!5：基礎(chǔ)架構(gòu)主機基礎(chǔ)結(jié)構(gòu)主機的作用是負責對跨域?qū)ο笠眠M行更新，以確保所有域間操作對象的一致性?；A(chǔ)架構(gòu)主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC來說，會保存當

5、前林中所有對象信息。如果基礎(chǔ)架構(gòu)主機與GC在同一臺機，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC。二：標準圖形界面查看和更改操作主機角色的方法1：查看和更改架構(gòu)主機角色：步驟：注冊：regsvr32 schmmgmt 在MMC中添加AD架構(gòu)管理單元打開MMC控制臺，選中“Active Directory架構(gòu)”擊“右鍵”，選擇“操作主機”打開更改架構(gòu)頁面后,點擊"更改"就可以進行架構(gòu)主機角色的更改2.查看和更改PDC模擬器,RID主機以及基礎(chǔ)結(jié)構(gòu)主機步驟：開始-設(shè)置-管理工具-Active Directory用戶和計算機 選定當前域

6、名，右鍵單擊，選擇“操作主機”在打開的頁面中，通過點擊“更改”按鈕就可以對RID主機，PDC模擬器以及基礎(chǔ)結(jié)構(gòu)主機角色進行更改3.查看和更改域命名主機角色步驟：點擊“開始-設(shè)置-控制面板-管理工具-Active Directory域和信任關(guān)系”: 選中“Active Directory域和信任關(guān)系”，右鍵單擊，選擇“操作主機”在打開的窗口中，點擊“更改”按鈕就可以實現(xiàn)對域命名主機角色進行更改四：使用命令行工具查看和更改操作主機角色有多個工具可以實現(xiàn)在命令行下查看操作主機角色，下面只列出幾種常見方法注意，下面對應(yīng)的工具有些需要安裝Win2003 Support Tools工具1：使用Netdom

7、工具查看操作主機角色Netdom Query FSMO3.利用自制監(jiān)視器Replmon查看和檢查操作主機角色復制監(jiān)視器Replication Monitor(ReplMon)是針對Windows Server的故障查找工具,不但是定位活動目錄復制故障強有利的工具，同時也可以使用該工具查看和檢查操作主機角色狀態(tài)。步驟：選中當前DC，右鍵單擊，選擇“Properties”在彈出窗口中，選擇“FSMO Roles”分窗口，出現(xiàn)如下界面：在該窗口，列出所有的FSMO操作主機，同時通過“Query”按鈕，可以檢測出當前DC 與FSMO操作主機之間通訊是否正常。四：使用命令行工具查看和更改操作主機角色有多

8、個工具可以實現(xiàn)在命令行下查看操作主機角色，下面只列出幾種常見方法注意，下面對應(yīng)的工具有些需要安裝Win2003 Support Tools工具1：使用Netdom工具查看操作主機角色 Netdom Query FSMO2：使用Dsquery工具查看操作主機角色Dsquery Server Hasfsmo Schema /查看架構(gòu)主機Dsquery Server Hasfsmo Name /查看域 主機Dsquery Server Hasfsmo PDC /查看PDC模擬器主機Dsquery Server Hasfsmo RID /查看RID主機Dsquery Server Hasfsmo In

9、fr /查看基礎(chǔ)結(jié)構(gòu)主機3：使用Ntdsutil工具更改操作主機角色Ntdsutil工具的功能非常強大，可以進行AD，查看和更換操作主機角色以及刪除無法通過圖形界面刪除的DC遺留的元數(shù)據(jù)。通過Ntdsutil工具不但可以清理無效的DC信息，也可以使用Transfer子命令轉(zhuǎn)移操作主機角色，使用Seize子命令奪取操作主機角色。五：操作主機角色放置優(yōu)化配置建議默認情況下，架構(gòu)主機和域命名主機角色是在根域的第一臺DC上，而PDC模擬器，RID主機和基礎(chǔ)結(jié)構(gòu)主機默認放置在當前域的第一臺DC上。特別是在單域環(huán)境中，按默認安裝，第一臺DC會同時擁有這五種FSMO操作主機角色。萬一這臺DC損壞，會對域環(huán)境

10、造成極大風險!常見的操作主機角色放置建議如下：1：架構(gòu)主機：擁有架構(gòu)主機角色的DC不需要高性能，因為在實際環(huán)境中不會經(jīng)常對Schema進行操作的，除非是經(jīng)常會對Schema進行擴展，不過這種情況非常的少。但要保證可用性，否則在安裝Exchange等會擴展AD架構(gòu)的軟件時會出錯。2：域命名主機：對占有域命名主機的DC也不需要高性能，在實際環(huán)境中也不會經(jīng)常在森林里添加或者刪除域的。但要保證高可用性是有必要的，以保證在添加刪除當前林中域時可以使用。一般建議由同一臺DC承擔架構(gòu)主機與域域命名主機角色，并由GC放置在同一臺DC中。3：PDC模擬器：從上述PDC功能中可以看出，PDC模擬器是FSMO五種角色里任務(wù)最重的，必須保持擁有PDC的DC有高性能和高可用性。4：RID主機：對于占有RID Master的