AD中FSMO五大角色的介紹及操作解析_第1頁(yè)
AD中FSMO五大角色的介紹及操作解析_第2頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余12頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、AD 中 FSMO 五大角色的介紹及操作(轉(zhuǎn)移與抓?。〧SMO 是 Flexible single master operation的縮寫,意思就是靈活單主機(jī)操作。營(yíng)運(yùn)主機(jī)(Operation Masters ,又稱為 Flexible Single Master Operation ,即 FSMO )是被設(shè)置 為擔(dān)任提供特定角色信息的網(wǎng)域控制站,在每一個(gè)活動(dòng)目錄網(wǎng)域中,至少會(huì)存在三種營(yíng)運(yùn)主機(jī)的角色。但對(duì)于大型的網(wǎng)絡(luò),整個(gè)域森林中,存在 5 種重要的 FSMO 角色而且這些角色都 是唯一的。五大角色:1、 森林級(jí)別(一個(gè)森林只存在一臺(tái) DC 有這個(gè)角色):、Schema Master( 也叫

2、Schema Own er):架構(gòu)主控(2)、Domain Naming Master: 域命名主控2、 域級(jí)別(一個(gè)域里面只存一臺(tái) DC 有這個(gè)角色):(1)、PDC Emulator :PDC 仿真器(2)、RID Master :RID 主控(3)、Infrastructure Master : 結(jié)構(gòu)主控對(duì)于查詢 FSMO 主機(jī)的方式有很多,本人一般在命令行下,用 netdom query fsmo 命令查 詢.要注意的是本命令需要安裝windows 的 Support Tools.五種角色主控有什么作用?1、 Schema Master(架構(gòu)主控)作用是修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在

3、活動(dòng)目錄里存在著各種各樣的對(duì)像,比如用戶、計(jì)算機(jī)、打印機(jī)等,這些對(duì)像有一系列的屬性,活動(dòng)目錄本身就是一個(gè)數(shù)據(jù)庫(kù),對(duì)象和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)系,那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來(lái)定義的,就是 Schema Master,如果大家部署過(guò) Exchange 的話,就會(huì)知道 Schema 是可以被擴(kuò)展的,但需要大家注意的是,擴(kuò)展Schema 一定是在 Schema Master 進(jìn)行擴(kuò)展的,在其它域控制器上或成員服務(wù)器上執(zhí)行擴(kuò)展程序,實(shí)際上是通過(guò)網(wǎng)絡(luò)把數(shù)據(jù)傳送到Schema 上然后再在 Schema Master 上進(jìn)行擴(kuò)展的,要擴(kuò)展 Schema 就必須具有 Schema Admin

4、s 組 的權(quán)限才可以。建議:在占有 Schema Master 的域控制器上不需要高性能,因?yàn)槲覀儾皇墙?jīng)常對(duì)Schema 進(jìn)行操作的,除非是經(jīng)常會(huì)對(duì)Schema 進(jìn)行擴(kuò)展,不過(guò)這種情況非常的少,但我們必須保證可用性,否則在安裝Exchange 或 LCS 之類的軟件時(shí)會(huì)出錯(cuò)。2、 Domai n Nami ng Master(域命名主控)這也是一個(gè)森林級(jí)別的角色,它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的話,那么就必須要和 Domain Nami ng Master進(jìn)行聯(lián)系,如果 Domain Naming Master 處于 Down 機(jī)狀態(tài)的

5、話,你的添加和刪除操作那 上肯定會(huì)失敗的。建議:對(duì)占有 Domain Naming Master 的域控制器同樣不需要高性能,我想沒(méi)有一個(gè)網(wǎng) 絡(luò)管理員會(huì)經(jīng)常在森林里添加或者刪除域吧?當(dāng)然高可用性是有必要的,否則就沒(méi)有辦法添 加刪除森里的域了。3、 PDC Emulator ( PDC 仿真器)在前面已經(jīng)提過(guò)了, Windows 2000 域開始,不再區(qū)分 PDC 還是 BDC,但實(shí)際上有些 操作則必須要由 PDC 來(lái)完成,那么這些操作在 Windows 2000 域里面怎么辦呢?那就由 PDC Emulator 來(lái)完成,主要是以下操作:、處理密碼驗(yàn)證要求;在默認(rèn)情況下,Windows 2000

6、 域里的所有 DC 會(huì)每 5 分鐘復(fù)制一次,但有一些情況是 例外的,比如密碼的修改,一般情況下,一旦密碼被修改,會(huì)先被復(fù)制到PDC Emulator ,然后由 PDC Emulator 觸發(fā)一個(gè)即時(shí)更新,以保證密碼的實(shí)時(shí)性,當(dāng)然,實(shí)際上由于網(wǎng)絡(luò)復(fù) 制也是需要時(shí)間的,所以還是會(huì)存在一定的時(shí)間差,至于這個(gè)時(shí)間差是多少,則取決于你的網(wǎng)絡(luò)規(guī)模和線路情況。、統(tǒng)一域內(nèi)的時(shí)間;微軟活動(dòng)目錄是用 Kerberos 協(xié)議來(lái)進(jìn)行身份認(rèn)證的,在默認(rèn)情況下,驗(yàn)證方與被驗(yàn)證 方之間的時(shí)間差不能超過(guò)5 分鐘,否則會(huì)被拒絕通過(guò),微軟這種設(shè)計(jì)主要是用來(lái)防止回放式攻擊。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的,這個(gè)統(tǒng)一時(shí)間的工作就是由PD

7、C Emulator 來(lái)完成的。、向域內(nèi)的 NT4 BDC 提供復(fù)制數(shù)據(jù)源;對(duì)于一些新建的網(wǎng)絡(luò),不大會(huì)存在Windows 2000 域里包含 NT4 的 BDC 的現(xiàn)象,但是對(duì)于一些從 NT4 升級(jí)而來(lái)的 Windows 2000 域卻很可能存有這種情況, 這種情況下要向 NT4 BDC 復(fù)制,就需要 PDC Emulator。、統(tǒng)一修改組策略的模板;、對(duì) Windows 2000 以前的操作系統(tǒng),如 WIN98 之類的計(jì)算機(jī)提供支持;對(duì)于 Windows 2000 之前的操作系統(tǒng),它們會(huì)認(rèn)為自己加入的是NT4 域,所以當(dāng)這些機(jī)器加入到 Windows 2000 域時(shí),它們會(huì)嘗試聯(lián)系 PDC,

8、而實(shí)際上 PDC 已經(jīng)不存在了,所 以 PDCEmulator 就會(huì)成為它們的聯(lián)系對(duì)象!建議:從上面的介紹里大家應(yīng)該看出來(lái)了,PDC Emulator 是 FSMO 五種角色里任務(wù)最重的,所以對(duì)于占用 PDC Emulator 的域控制器要保證高性能和高可用性。4、 RID Master ( RID 主控)在 Windows 2000 的安全子系統(tǒng)中,用戶的標(biāo)識(shí)不取決于用戶名,雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶名,但實(shí)際上取決于安全主體SID,所以當(dāng)兩個(gè)用戶的SID 一樣的時(shí)候,盡管他們的用戶名可能不一樣,但Windows 的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶,這樣就會(huì)產(chǎn)生安全問(wèn)題。而在域內(nèi)

9、的用戶安全SID=Domain SID+RID ,那么如何避免這種情況?這就需要用到 RID Master,RID Master 的作用是:分配可用 RID 池給域內(nèi)的 DC 和防止安全主體的 SID 重復(fù)。建議:對(duì)于占有 RID Master 的域控制器,其實(shí)也沒(méi)有必要一定要求高性能,因?yàn)槲覀兒苌贂?huì)經(jīng)常性的利用批處理或腳本向活動(dòng)目錄添加大量的用戶。這個(gè)請(qǐng)大家視實(shí)際情況而定 了,當(dāng)然高可用性是必不可少的,否則就沒(méi)有辦法添加用戶了。5、 In frastructure Master(結(jié)構(gòu)主控)FSMO 的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了,它的主要作用就是用來(lái)更新組的成員列表,因?yàn)樵诨顒?dòng)目

10、錄中很有可能有一些用戶從一個(gè)么用戶的 DN 名就發(fā)生變化,這時(shí)其它域?qū)τ谶@個(gè)用戶引用也要發(fā)生變化。這種變化就是由OU 轉(zhuǎn)移到另外一個(gè) OU,那In frastructure Master 來(lái)完成的。建議:其實(shí)在活動(dòng)目錄森林里僅僅只有一個(gè)域或者森林里所有的域控制器都是GC(全局編錄)的情況下,In frastructure Master 根本不起作用,所以一般情況下對(duì)于占有In frastructure Master的域控制器往忽略性能和可能性。在 FSMO 的規(guī)劃時(shí),請(qǐng)大家按以下原則進(jìn)行:1、 占有 Domain Naming Master角色的域控制器必須同時(shí)也是GC;2、 不能把 Infr

11、astructure Master 和 GC 放在同一臺(tái) DC 上;3、建議將 Schema Master和 Domain Naming Master放在森林根域的 GC 服務(wù)器上;4、建議將 Schema Master和 Domain Naming Master放在同一臺(tái)域控制器上;5、 建議將 PDC Emulator、RID Master 及 Infrastructure Master 放在同一臺(tái)性能較好 的域控制器上;6、盡量不要把 PDC Emulator、RID Master 及 Infrastructure Master 放置在 GC 服務(wù) 器上;對(duì) FSMO 角色的操作,即更改

12、角色的操作主機(jī)(傳送或抓取,抓取也叫占用)我們?cè)诎惭b完第一臺(tái)主 DC 后,一定會(huì)再安裝第二臺(tái) DC 做為額外 DC,以保持其域的 安全可靠。從額外 DC 角色轉(zhuǎn)換為主 DC 角色可以有二種方法一一通用 FSMO 的傳送或抓 取來(lái)實(shí)現(xiàn)。1、 傳送:當(dāng)主 DC 工作正常,但出于某些原因要將其上的FSMO 角色主機(jī)傳到其它額外DC 上時(shí)可以使用傳送”方式。2、 抓?。寒?dāng)主 DC 工作出現(xiàn)嚴(yán)重故障, AD 工作不正常時(shí),如:操作系統(tǒng)故障且AD 無(wú)法修復(fù),亦或是硬件問(wèn)題不能開機(jī)等原因,這時(shí)我們可以用抓取”方式。一、傳送(使用圖形化界面操作)1、除 Schema Master( 也叫 Schema Own

13、er): 架構(gòu)主控 夕卜,其它四個(gè)角色主控都可 以通過(guò)下面這個(gè)方式進(jìn)行操作:1)打開服務(wù)器管理器,找到角色- Active Directory域服務(wù),然后右建點(diǎn)擊ActiveDirectory 用戶和計(jì)算機(jī)在所有任務(wù)中,先選擇更改域控制器(此步驟是讓此 DC 計(jì)算機(jī)直接連接到另一臺(tái) 額外 DC計(jì)算機(jī)上的主控)負(fù)愿勞器管理器文件(F)操作4)查看幫助002)選擇要傳送的 DC (聯(lián)機(jī)的即為當(dāng)前是主控角色)気囲勞器管理器0C2)曰畐角色-二:曲訟Dirsctory域朋務(wù)B _ _acom*測(cè)曲訟Dirsctory點(diǎn)和服務(wù) 田屎服務(wù)器a交件服務(wù)_功能診斷SSSActive Directory用戶和計(jì)

14、算機(jī)UC2.Active Directory用戶和計(jì)算機(jī)更改域嘰 更改S控制器 g類型*:田i所有任勞 (K更改域他域5謙級(jí)別的兇當(dāng)前目錄鵰勢(shì)器:更改為:左懺何可寫的域控制器)C此域控制器或AT LDS實(shí)例(X)確圭 | 取消 | 幫助 3)之后再回到第一步,重新找到涌色- Active Directory 域服務(wù),然后右建點(diǎn)擊Active Directory 用戶和計(jì)算機(jī)在所有任務(wù)中,先選擇操作主機(jī)。然后單擊更改就可以將此角色主控傳送到剛才 選擇的額外 DC 上去。注:在這里,域級(jí)別的三個(gè)角色主控RID、PDC、Infrastructure Master 都在這里操作。另一個(gè)域林級(jí)別的 Do

15、mai n Nami ng Master:域命名主控則需要在 角色- Active Directory站點(diǎn)和服務(wù)中右鍵單擊進(jìn)行操作,操作方式與這里一樣。L?rxi樂(lè)罷管謹(jǐn)向苴他域控制器分配RIC池&域中只有一臺(tái)服勞器擔(dān)關(guān)閉 | 氐肖一12、架構(gòu)主控的傳送操作有一點(diǎn)點(diǎn)麻煩,因?yàn)槲④洖榱税踩紤]并沒(méi)有默認(rèn)安裝架構(gòu)主控的管理單元。所以我們要自己手動(dòng)安裝并在MMC 中添加一下。方法如下:1)用管理員身份運(yùn)行 CMD (一定要管理員身份哦!不然下面注冊(cè)時(shí)會(huì)報(bào)錯(cuò))操作主機(jī):鎖走到任務(wù)欄 00從列表中刪除血* 厲性 GOActive lirsctory 管理中心搽惟主機(jī)2)在命令行中輸入:regsv

16、r32 schmmgmt.dll然后回車!3)在命令窗口輸入: mmc回車后會(huì)彈出控制臺(tái)窗口IL.聯(lián)務(wù)哭管強(qiáng)哭mcpiMicrosoft Windows版本6.760:1版權(quán)所有 2009 Microsoft Corporation.保留所有權(quán)東UC:Windows system32 j*easvr32 scFimgFit - dllC:XWindowssyEtem32 MMCC:XU indous systEin32 4)在管理臺(tái)中,點(diǎn)擊文件- 添加/刪除管理單元5)在添加或刪除管理單元中找到剛才注冊(cè)的Active Directory 架構(gòu)單元,然后點(diǎn)添加,之后確定6)還是和前面一樣,在架構(gòu)

17、單元上點(diǎn)右鍵,先要選擇更改 Active Directory 域控制器,將管理的單元直接切換到另一個(gè)將要傳送角色的額外DC 上,之后再點(diǎn)擊操作主機(jī)戸輕制臺(tái)1- 檯制臺(tái)視節(jié)點(diǎn)Directly架構(gòu)DC.先更改煙接到霜要轉(zhuǎn)融了兀上鈕文件S?)操作如查看W收藏夾紛窗口Of)幫助(H.)IQlra覽制臺(tái)根節(jié)點(diǎn)Rfe;E : *更改Active Birec書作主機(jī)紂二 權(quán)限重新加載架構(gòu)麗twy域控制器傑枸損作豐機(jī) *查e(v)從這里創(chuàng)建窗口w-書選擇攤作主機(jī)二新任勞板視圏刷新閃 導(dǎo)出列表0J更改養(yǎng)作主幫助007)在彈出的窗口中點(diǎn)擊更改,就可以將架構(gòu)主控從DC 傳送到 DC2 上。到此,主控上的五大主控都傳

18、送到另一臺(tái)額外DC 上去了。這時(shí)額外 DC 就成了真正意義上的主控 DC,而原主控 DC 剛成了額外了。(注意,windows2003 開始,已經(jīng)沒(méi)有主和副的概念了,只有主 DC 和額外 DC,所有 DC 都是平等的,誰(shuí)擔(dān)任了這五大FSMO 主控角色誰(shuí)就是主DC )。之后,可以把用戶的DNS 指向新的這臺(tái) DC (已有 DNS 服務(wù))。或?qū)⒃骺?DC 下線,把新的 DC 改 IP 為原主 DC(不推薦改新 DC 主機(jī)的 IP 方式,這樣做存在一些可可見(jiàn)的風(fēng)險(xiǎn))、抓取,也叫占用(抓取只能使用命令行工具,傳送也可以用命令行方式)1 n tdsutil進(jìn)入 ntds 工具提示符2 roles調(diào)整操作主機(jī)角色3 conn ecti ons進(jìn)入連接模式4 connect to server DC名連接到可用 DC 上5 quit返回上層菜單6 tran sfer pdc7 quit 退岀(或其他)進(jìn)行轉(zhuǎn)移或抓取第 6 步的命令可以改為以下:-抓取角色命令-占用 RID 主機(jī)角色seize RID master占用

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論