第10章 操作主機(jī)的管理

第十章操作主機(jī)的管理單主模式與多主模式單主模式只能對(duì)其中某一節(jié)點(diǎn)進(jìn)行修改其他節(jié)點(diǎn)都以該節(jié)點(diǎn)為準(zhǔn)進(jìn)行復(fù)制多主模式可以對(duì)任一節(jié)點(diǎn)修改復(fù)制機(jī)制沖突解決機(jī)制概述操作主機(jī)（操作主控）是執(zhí)行Windows2008活動(dòng)目錄服務(wù)中一個(gè)指定角色的控制器，可以控制一組特定的目錄變化。只有擁有相應(yīng)的角色的域控制器才能進(jìn)行相關(guān)的目錄改變。為什么要有操作主機(jī)在WindowsNT域中PDCBDC從Windows2000域開始DC操作主機(jī)*2000beta版叫FSMO（FlexiblesingleMasterOperations）操作主機(jī)類型森林級(jí)別架構(gòu)操作主機(jī)域命名操作主機(jī)域級(jí)別RID操作主機(jī)PDC模擬操作主機(jī)基礎(chǔ)結(jié)構(gòu)操作主機(jī)操作主機(jī)的默認(rèn)位置第一個(gè)域控制器成為林的GC域范圍角色RID主控PDC模擬器基礎(chǔ)結(jié)構(gòu)主機(jī)目錄林范圍角色架構(gòu)主機(jī)域名命主機(jī)域范圍角色RID主機(jī)PDC模擬器基礎(chǔ)結(jié)構(gòu)主機(jī)架構(gòu)主機(jī)控制活動(dòng)目錄中所有的對(duì)象、屬性的定義必須schemaadmin組用戶才有權(quán)限操作regsvr32schmmgmt.dll8域命名主機(jī)控制林內(nèi)域的增加與刪除建議與GC放在一起只有EnterpriseAdmin權(quán)限才能夠操作新域域命名主機(jī)9RID操作主機(jī)統(tǒng)一分發(fā)RID塊防止對(duì)象沖突RID主控移動(dòng)RID分發(fā)對(duì)象SID=域SID+RIDBlockofRIDs10SID=域安全標(biāo)識(shí)符+相對(duì)標(biāo)識(shí)符如：S-1-54329587282-45832……PDC模擬主機(jī)模擬WindowsNT的PDC默認(rèn)域的主瀏覽器默認(rèn)域內(nèi)權(quán)威的時(shí)間服務(wù)源統(tǒng)一管理域賬號(hào)密碼的更新、驗(yàn)證與鎖定不僅僅是模擬WindowsNT的PDC負(fù)載較大，建議單獨(dú)放置12PDC模擬主機(jī)—域賬號(hào)鎖定防止用戶密碼被猜測，當(dāng)錯(cuò)誤數(shù)到達(dá)一定值時(shí)，賬號(hào)將鎖定每臺(tái)DC各自記錄用戶密碼嘗試的錯(cuò)誤次數(shù)PDC累計(jì)各DC上該值的總和，一旦超過預(yù)設(shè)值，PDC主機(jī)立即鎖定賬號(hào)，并將鎖定信號(hào)復(fù)制到其他DC?；A(chǔ)結(jié)構(gòu)操作主機(jī)移動(dòng)全局組被嵌套在域本地組基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)對(duì)跨域?qū)ο笠眠M(jìn)行更新不能和GC放在一起故障影響：不能識(shí)別域外賬號(hào)，只標(biāo)記為SID15管理操作主機(jī)角色創(chuàng)建域時(shí)，Win2008將自動(dòng)配置所有的操作主機(jī)角色確定一個(gè)操作主機(jī)角色的保持者傳送一個(gè)操作主機(jī)角色奪取一個(gè)操作主機(jī)角色如何查找誰擁有相應(yīng)的操作主機(jī)角色使用ActiveDirectory用戶和計(jì)算機(jī)RID主控PDC模擬器基礎(chǔ)結(jié)構(gòu)主機(jī)使用ActiveDirectory域和信任域名命主控使用ActiveDirectory架構(gòu)控制臺(tái)Regsvr32schmmgmt.dll架構(gòu)主控使用命令行：netdomqueryfsmo操作主機(jī)放置優(yōu)化默認(rèn)情況下：林級(jí)別主機(jī)在根域第一臺(tái)DC上域級(jí)別主機(jī)在本域第一臺(tái)DC上問題：與GC沖突性能考慮手工放置建議基礎(chǔ)結(jié)構(gòu)主機(jī)不跟GC放一起域命名主機(jī)和GC放在一起PDC模擬主機(jī)建議單獨(dú)放置，不要有大應(yīng)用架構(gòu)主機(jī)和域命名主機(jī)放在一起（*林級(jí)別、修改少，負(fù)荷小，需要權(quán)限高）操作主機(jī)轉(zhuǎn)移自動(dòng)隱式轉(zhuǎn)移相同站點(diǎn)的DC---RPC鏈接的DC----SMTP異步傳輸服務(wù)器手工轉(zhuǎn)移平滑轉(zhuǎn)移，操作可逆抓取，操作不可逆會(huì)自動(dòng)嘗試平滑轉(zhuǎn)移能轉(zhuǎn)移盡量不要抓取能還原盡量不要抓取轉(zhuǎn)移操作主機(jī)轉(zhuǎn)移圖形化界面命令行：ntdsutil抓?。篘tdsutilntdsutil----roles----connection------？操作主機(jī)故障——架構(gòu)主機(jī)影響更新schema受到影響短期內(nèi)一般看不到典型問題：無法安裝Exchange處理確定原操作主機(jī)永久性脫機(jī)才可以抓取確保目標(biāo)DC為最新更新的DC操作主機(jī)故障——域命名主機(jī)影響更改域結(jié)構(gòu)受到影響。短期內(nèi)一般看不到影響典型問題：添加/刪除域、新建/刪除信任關(guān)系處理確定原操作主機(jī)永久性脫機(jī)才可抓取確保目標(biāo)DC為最新更新的DC操作主機(jī)故障——RID主機(jī)影響無法獲得新的RID池分配典型問題：無法新建大量用戶賬戶處理確定原操作主機(jī)永久性脫機(jī)方可抓取確保目標(biāo)DC是最新更新的DC操作主機(jī)故障——PDC模擬主機(jī)影響Pre-2000客戶不能訪問AD不能修改賬號(hào)密碼瀏覽服務(wù)問題時(shí)間同步問