AD_07_管理操作主機(jī).ppt

1、管理操作主機(jī),MCSE2003活動(dòng)目錄管理,第八章,內(nèi)容回顧,介紹活動(dòng)目錄復(fù)制 建立和配置站點(diǎn) 管理站點(diǎn)拓?fù)浣Y(jié)構(gòu) 排除復(fù)制故障,本章內(nèi)容,操作主機(jī)的角色及功能 管理操作主機(jī)角色 管理操作主機(jī)故障 最佳方案,本章目標(biāo),理解操作主機(jī)的功能 了解操作主機(jī)的角色 能夠管理操作主機(jī)角色 管理操作主機(jī)故障 熟悉最佳方案,操作主機(jī)的引入,Windows NT 域 PDC BDC Windows 2000/2003 活動(dòng)目錄域 DC 操作主機(jī)（Operation Masters） 以前也叫flexible single master operations(FSMO),介紹操作主機(jī),多主控復(fù)制的過程中,如果對不

2、同的DC上的相同數(shù)據(jù)同時(shí)更新,會(huì)造成復(fù)制沖突,為了避免沖突,通常讓單個(gè)DC進(jìn)行操作,這個(gè)DC的角色稱為操作主控角色 只有擁有特定角色的域控制器，才可以進(jìn)行相應(yīng)的活動(dòng)目錄更新 操作主機(jī)實(shí)施的更新將被復(fù)制到其它域控制器上 任何域控制器都可以是一操作主機(jī) 操作主機(jī)的角色可以被移動(dòng)到其它域控制器上,操作主機(jī)角色有時(shí)也被稱為flexible single master operations(FSMO) roles,操作主機(jī)的角色,操作主機(jī)的默認(rèn)位置 Schema (架構(gòu))主機(jī) 域命名主機(jī) PDC 模擬主機(jī) RID 主機(jī) Infrastructure(基礎(chǔ)結(jié)構(gòu)) 主機(jī) netdom query fsmo

3、/domain:name,操作主機(jī)的默認(rèn)位置,Schema(架構(gòu)) 主機(jī),控制對 Schema 的所有更新,負(fù)責(zé)更新與修改架構(gòu)內(nèi)的對象與屬性數(shù)據(jù) 將更新復(fù)制到目錄林中的所有域控制器 只有 Schema Admins 成員可以對 Schema 進(jìn)行修改,域命名主機(jī),控制在目錄林中添加與刪除域 防止創(chuàng)建相同名稱,配置不同的新域 同一個(gè)時(shí)間內(nèi)，整個(gè)林中只能有一臺(tái)域命名主機(jī),PDC 模擬主機(jī),如果是混合windows,作為任何現(xiàn)存的BDC的PDC 沒有NT4DC,PDC也是默認(rèn)主機(jī)瀏覽器(網(wǎng)絡(luò)鄰居的瀏覽功能)負(fù)責(zé)跟蹤網(wǎng)絡(luò)上所有計(jì)算機(jī)名的計(jì)算機(jī) 緊急復(fù)制,以減少密碼復(fù)制延遲所造成的問題。任何DC上的密碼

4、被修改后,其他DC盡快聯(lián)系PDC 并修改 負(fù)責(zé)整個(gè)森林的同步時(shí)間(kerbers在允許用戶訪問網(wǎng)絡(luò)資源之前,檢查時(shí)間同步) net time /setsntp:,PDC Emulator同步時(shí)間,PDC模擬主機(jī)域賬號(hào)鎖定,目的 為防用戶的密碼被猜測，當(dāng)密碼錯(cuò)誤次數(shù)達(dá)到預(yù)設(shè)值時(shí)，該賬號(hào)將被鎖定。 BadPasswordCount 每臺(tái)DC各自記錄用戶錯(cuò)誤嘗試密碼的次數(shù)； 密碼輸入正確后，BadPasswordCount置0； PDC累積各DC上該值總和，一旦超過預(yù)設(shè)值： PDC主機(jī)立即第一個(gè)鎖住該賬號(hào)； PDC主機(jī)把鎖定信號(hào)復(fù)制到其他DC,PDC模擬主機(jī)域賬號(hào)鎖定(續(xù)),RID主機(jī),RID主機(jī)給

5、域中的每個(gè)域控制器分配 RID 塊 當(dāng)把對象從一個(gè)域控制器移到另一個(gè)域控制器時(shí)，防止發(fā)生重復(fù)的對象,Infrastructure (基礎(chǔ)結(jié)構(gòu))主機(jī),同一時(shí)間內(nèi)，一個(gè)域內(nèi)只能有一臺(tái)基礎(chǔ)結(jié)構(gòu)主機(jī) 更新對象和組成員的外部索引 不能和GC配置在一起(單域除外),操作主機(jī)的放置,手工優(yōu)化： 基礎(chǔ)結(jié)構(gòu)主機(jī)與GC不放在一起 域命名主機(jī)與GC放在一起 架構(gòu)主機(jī)與域命名主機(jī)可放在一起 PDC模擬主機(jī)建議單獨(dú)放置,管理操作主機(jī)角色,確定一個(gè)操作主機(jī)的保持者 傳送一個(gè)操作主機(jī)的角色 奪取一個(gè)操作主機(jī)的角色,確定一個(gè)操作主機(jī)的保持者,查找操作主機(jī)角色的位置,使用活動(dòng)目錄用戶和計(jì)算機(jī)來查找 RID 主機(jī) PDC 仿真器

6、 Infrastructure 主機(jī),使用活動(dòng)目錄域和信任來查找 域命名主機(jī),使用活動(dòng)目錄 Schema(架構(gòu)) 管理單元來查找 Schema 主機(jī)（運(yùn)行Regsvr32 schmmgmt.dll）,傳送一個(gè)操作主機(jī)的角色,只有在域基礎(chǔ)結(jié)構(gòu)發(fā)生了重大改變時(shí)才要傳送角色 沒有數(shù)據(jù)的損失 傳送角色的操作者必須擁有相應(yīng)的權(quán)限 開始管理工具 AD用戶和計(jì)算機(jī)連接到 DC 選定DC 操作主機(jī) 更改（PDC）,傳送一個(gè)操作主機(jī)的角色,自動(dòng)隱式轉(zhuǎn)移 何時(shí)發(fā)生：在DC退出域的時(shí)候，在DC降級(jí)的時(shí)候。如 果轉(zhuǎn)移失敗時(shí)，可能會(huì)降級(jí)失敗 優(yōu)先順序：相同站點(diǎn)中的服務(wù)器-RPC連接-SMTP傳輸 最佳做法：手工 轉(zhuǎn)移(

7、Transfer) 把操作主機(jī)角色平滑地傳遞給另一臺(tái)域控制器 操作可逆,1,首先打開Active Directory 架構(gòu)窗口,2,3,4,5,6,7,8,9,10,11,12,配置架構(gòu)主機(jī),1,3,2,4,5,6,配置域命名主機(jī),1,2,3,三種操作主機(jī)選擇,4,5,6,配置域范圍內(nèi)的操作主機(jī)角色,奪取一個(gè)操作主機(jī)的角色,只有當(dāng)當(dāng)前主機(jī)角色失效時(shí)，才執(zhí)行奪取操作主角色 可能會(huì)丟失數(shù)據(jù) 奪取角色的操作者必須擁有相應(yīng)的權(quán)限,奪取一個(gè)操作主機(jī)的角色,抓取(Seize) 把OM角色強(qiáng)制地賦予另一臺(tái)DC 操作不可逆 抓取命令會(huì)自動(dòng)先嘗試轉(zhuǎn)移 最佳實(shí)踐 要連到最更新的DC 能轉(zhuǎn)移盡量不要用抓取 能還原則

8、盡量還原原OM而不要抓取到其他DC,NTDSUTIL,ntdsutil ntdsutil:roles fsmo maintenance:connections server connections:connect to server server connections:quit fsmo maintenance:seize schema master fsmo maintenance:seize domain naming master fsmo maintenance:seize pdc fsmo maintenance:seize rid master fsmo maintenance:

9、seize infrastructure master,管理操作主機(jī)故障,操作主機(jī)故障所造成的影響 占用操作主機(jī)角色,操作主機(jī)故障架構(gòu)主機(jī),影響 更新Schema受影響 短期內(nèi)一般看不到影響 典型問題如：無法安裝Exchange 處理 需確定原操作主機(jī)為永久性脫機(jī)才能奪取 確保目標(biāo)DC為具有最新更新的DC,操作主機(jī)故障域命名主機(jī),影響 更改域結(jié)構(gòu)受影響 短期內(nèi)一般看不到影響 典型問題如：添加/刪除域 處理 需確定原操作主機(jī)為永久性脫機(jī)才能奪取 確保目標(biāo)DC為具有最新更新的DC,操作主機(jī)故障RID主機(jī),影響 無法獲得新的RID池分配 典型問題如：無法新建(大量)用戶賬號(hào) 處理 需確定原操作主機(jī)為

10、永久性脫機(jī)才能奪取 確保目標(biāo)DC為具有最新更新的DC,操作主機(jī)故障PDC模擬主機(jī),影響 低端客戶不能訪問AD 不能更改域賬號(hào)密碼 瀏覽服務(wù)問題 時(shí)間同步問題 處理 需要比較及時(shí)地恢復(fù) 可以臨時(shí)抓取到其他DC 在原操作主機(jī)恢復(fù)后可以奪取回去,操作主機(jī)故障基礎(chǔ)結(jié)構(gòu)主機(jī),影響 不能轉(zhuǎn)移大量賬戶或改變大量賬戶的名稱 域賬號(hào)不能識(shí)別，標(biāo)記為SID 處理 可以臨時(shí)抓取到其他DC 在原操作主機(jī)恢復(fù)后可以奪取回去,最佳方案,不要進(jìn)行頻繁的角色傳送,在降格一域控制器前，傳送此域控制器保持的操作主機(jī)角色,將PDC仿真器分配給一個(gè)域控制器時(shí)，考慮與密碼改變相關(guān)的網(wǎng)絡(luò)通信量,周期性地檢查角色保持者的最佳布置,將Sch

11、ema主機(jī)和域命名主機(jī)分配到同一域控制器上,將GC和 Infrastructure 主機(jī)放在同一站點(diǎn),本章總結(jié),在AD中操作主機(jī)的角色有： Schema (架構(gòu))主機(jī)、域命名主機(jī)、PDC 模擬主機(jī)、RID 主機(jī)、Infrastructure(基礎(chǔ)結(jié)構(gòu)) 主機(jī) 5種，其中前2種默認(rèn)存在于目錄林中，后3種默認(rèn)存在于域中。 Schema (架構(gòu))主機(jī)的作用有： 控制對 Schema 的所有更新,負(fù)責(zé)更新與修改架構(gòu)內(nèi)的對象與屬性數(shù)據(jù) 將更新復(fù)制到目錄林中的所有域控制器 域命名主機(jī)的作用有： 控制在目錄林中添加與刪除域 防止創(chuàng)建相同名稱,配置不同的新域 同一個(gè)時(shí)間內(nèi)，整個(gè)林中只能有一臺(tái)域命名主機(jī),本章總

12、結(jié)（cont.）,PDC模擬主機(jī)的作用有： 沒有NT4DC,PDC也是默認(rèn)主機(jī)瀏覽器(網(wǎng)絡(luò)鄰居的瀏覽功能)負(fù)責(zé)跟蹤網(wǎng)絡(luò)上所有計(jì)算機(jī)名的計(jì)算機(jī) 緊急復(fù)制,以減少密碼復(fù)制延遲所造成的問題。任何DC上的密碼被修改后,其他DC盡快聯(lián)系PDC 并修改 負(fù)責(zé)整個(gè)森林的同步時(shí)間(kerbers在允許用戶訪問網(wǎng)絡(luò)資源之前,檢查時(shí)間同步) RID主機(jī)的作用有： 給域中的每個(gè)域控制器分配 RID 塊 當(dāng)把對象從一個(gè)域控制器移到另一個(gè)以控制器時(shí)，防止發(fā)生重復(fù)的對象,基礎(chǔ)結(jié)構(gòu)主機(jī)的作用有： 同一時(shí)間內(nèi)，一個(gè)域內(nèi)只能有一臺(tái)基礎(chǔ)結(jié)構(gòu)主機(jī) 更新對象和組成員的外部索引 不能和GC配置在一起(單域除外) 可以通過“架構(gòu)服務(wù)”單元確認(rèn)架構(gòu)主機(jī)的保持者；可以通過“域和信任”管理單元確認(rèn)域命名主機(jī)的保持者；可以通過“用戶和計(jì)算機(jī)”管理單元確認(rèn)RID主機(jī)、PDC主機(jī)和基