[原創]windows server 2012 AD架構試驗系列 – 12 配置操作主機

ActiveDirectory支持域中所有域控制器之間的目錄數據存儲的多主機復制，因此域中的所有域控制器實質上都是對等的。ActiveDirectory支持域中所有域控制器之間的目錄數據存儲的多主機復制，因此域中的所有域控制器實質上都是對等的。但是，某些更改不適合使用多主機復制執行，因此對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。操作主機可以保證一致性并消除ADDS數據庫中出現沖突的項目的可能性。RODC無法扮演任何焦色,以后我會來講這個RODC.

在每個林中，至少有五個指派給一個或多個域控制器的操作主機角色。在每個林中，林范圍的操作主機角色必須只出現一次。在林中的每個域中，域范圍的操作主機角色必須在每個域中出現一次。

1操作主機介紹

ADDS中的五個操作主機角色分別是：架構主機、域命名主機、RID主機、PDC仿真器、基礎結構主機。

架構主機和域命名主機是每林角色，即每個林只有一臺架構主機和一臺域命名主機。其余3個角色是每域角色，林中的每個域只有3種中的一種操作主機角色。當在林中安裝ADDS并創建第一臺域控制器時，它會擁有所有5個角色，類似地，在向林中添加域時，每個新域中的第一臺域控制器也會獲得每域的操作主機角色。

下面介紹分別介紹5個操作主機的作用：

架構主機(林級別 Schema Admins)

宿主架構主機角色的域控制器負責對林的架構進行更新和修改，其他域控制器則只包含架構的只讀副本。要更新或修改林的架構，您必須具備訪問架構主機的權限。如果做出架構改變后，架構更新就會復制到林中的所有其他域控制器。在整個林中，架構主機是唯一的，只能有一個架構主機。

域命名主機 (林級別 Enterprise Admins)

域命名主機主要用于為林中添加或刪除域時使用，負責確保域名的唯一性。如果域命名主機不可用，則無法向林中添加域或從林中刪除域。在整個林中，域命名主機是唯一的，只能有一個域命名主機。

RID主機 (域級別 Domain Admins)

RID主機將相對標識符(RID)分配給域中每個不同的域控制器，每個域只有一個RID操作主機角色，用于管理RID池，從而在整個域范圍內創建的新的安全主體，如：用戶、組和計算機。每個安全主體都有一個唯一SID。RID主機用于保證域控制器生產的SID是唯一的。RID主機把一些相對標識符(RID)(稱為RID池)頒發給域中的每臺域控制器。當任何域控制器上的RID池中的可用RID的數量較少時(小于100)，就會從RID主機請求一些RID。每次收到這樣的請求，RID主機都會向域控制器再頒發大約500個RID的RID池。

PDC仿真器(域級別 Domain Admins)

PDC仿真器負責執行很多與域有關的關鍵功能，主要有：為Windows2000提供支持 (支持舊client)、維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內時間同步、維護網絡中主機列表。

基礎結構主機(域級別 Domain Admins)

基礎結構主機負責更新域之間的組-用戶引用。這個操作主機角色確保對象名稱的改變(常用名稱屬性的更改cn)反映在位于不同域中的組成員身份信息中。基礎結構主機維護這些引用的最新列表，然后將這個信息復制給域中所有域控制器。如果基礎結構主機不可用，域之間的組-用戶引用就會過時。

?

2試驗操作

試驗環境嘛? 就是我們上一節的環境

DC1 PDC, DC3,DC5 BDC

在命令提示符中輸入：netdom query fsmo查詢操作主機宿主的域控制器

在DC3 打開AD用戶與計算機,選擇操作主機, 可以更改RID,PDC,基礎結構主機

可以看出這里可以操作域范圍內的角色

?

接下來修改域名主機

打開AD域和信任關系

最后一個架構主機的更改:

首先我們是找不到這個AD架構管理工具的,我們需要run下這個命令: regsvr32 schmmgmt.dll

打開MMC,添加AD架構,里面察看操作主機,里面可以看到架構主機是誰了.

?

?

3使用命令來修改操作主機

下面介紹使用ntdsutil命令進行轉移，將操作主機從DC3轉移回DC1。使用命令方式進行轉移相對方便一些。

1.打開命令提示符，輸入：ntdsutil，進入ntdsutil提示符后，輸入：roles。如果需要查到命令作用及用法可以輸入：？，獲取幫助信息。

2.這時需要連接到轉移操作主機的目標域控制器，這里我們需要連接到DC1。輸入：connections，然后輸入：connect to server dc1。

連接成功后輸入：quit退回到? fsmomaintenance:

3.這時就可以進行操作主機的轉移了。分別使用下面5個命令轉移相應的操作主機：

Transfer naming master轉移域命名主機

Transfer infrastructure master轉移基礎結構主機

Transfer PDC轉移PDC主機

Transfer RID master轉移RID主機

Transfer schema ?master轉移架構主機

還有5個命令是強制將操作主機轉移到指定域控制器。一般只有在操作主機離線或者故障無法啟動時才使用，操作方法相同。

Seizedomainnamingmaster /Seizeinfrastructuremaster/SeizePDC/SeizeRIDmaster/Seizeschemamaster

?

總結：本文介紹了操作主機的作用及轉移方法。操作主機在ADDS中分別承擔不同作用，了解操作主機的作用，在日常的故障排錯能起到一定的作用。以及當宿主操作主機的DC故障時，怎么將操作主機轉移到新的域控制器。

附注:

若架構主機關機的話,對用戶是察覺不到的,但對管理員來說,如果要安裝exchange 的話,會有直接影響.

若域名主機關機的話,用戶是察覺不到的,但對管理員來說,添加或者刪除域就有問題.

若RID主機關機的話,對網絡用戶是沒影響的,但對管理員來說,若創建新的對象時候,同時DC之前所索取的RID已用完,則會對創建新的對象有影響

若PDC模擬操作主機關機的話,用戶可能會很快察覺到,如舊的client將因無法與PDC操作主機通信而不能更改密碼等.

若基礎架構操作主機關機的話,若是單域沒有什么影響,但多域的情況下,對管理員大量遷移用戶或者修改大量帳戶名稱時有很大的影響.

切忌一點:微軟建議永遠不要把原來扮演這些操作主機角色的DC再連入網上(架構主機,域名主機,RID主機),微軟建議格式化硬盤.

?

?

?

轉載于:https://blog.51cto.com/ericfu/1625304

總結

以上是生活随笔為你收集整理的[原创]windows server 2012 AD架构试验系列 – 12 配置操作主机的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。