AD中的5個(gè)操作主機(jī)角色

1、AD中的5個(gè)操作主機(jī)角色1、操作主機(jī)PDC Emulator一個(gè)以活動(dòng)目錄為核心的基礎(chǔ)架構(gòu)管理環(huán)境運(yùn)行效率的高低取決于操作主機(jī)和DC的位置的設(shè)計(jì)，在后期域環(huán)境的維護(hù)工作中也起著非常重要的作用。今天跟大家介紹的是域環(huán)境中五大操作主機(jī)之一 "PDC Emulator" 全稱 "Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主機(jī)。我習(xí)慣把它稱為“PDC Emulator” ?，F(xiàn)在咱們就來一步步認(rèn)識(shí)  “PDC Emulator” 。如果我們要設(shè)置當(dāng)前域的 “PD

2、C Emulator”  角色，必須選擇開始 - 管理工具 - Active Directory 用戶和計(jì)算機(jī)，可以看到當(dāng)前域的名稱為 “” 。鼠標(biāo)右擊當(dāng)前域，選擇“操作主機(jī)”，打開操作主機(jī)選項(xiàng)卡后選擇PDC,就可以查看到當(dāng)前域的 PDC Emulator 是 這臺(tái)主機(jī).PDC Emulator 總共有五項(xiàng)功能:第一個(gè)功能：模擬NT的PDC：所有當(dāng)您的域環(huán)境中有NT的BDC的話，請(qǐng)務(wù)必要準(zhǔn)備一臺(tái)PDC ，他才可以把資料復(fù)制給NT的BDC。第二個(gè)功能：時(shí)間同步或者叫對(duì)時(shí)：當(dāng)前域中所有的主機(jī)會(huì)跟 PDC Emulator 對(duì)時(shí)，當(dāng)前域的 PDC Emulator 會(huì)跟整個(gè)樹的樹根中的 P

3、DC Emulator 對(duì)時(shí)，當(dāng)前樹根中的 PDC Emulator 會(huì)跟整個(gè)林的根域的 PDC Emulator 對(duì)時(shí)，所以可以讓整個(gè)森林的時(shí)間保持一致。第三個(gè)功能：給NT以前的客戶端改密碼：因?yàn)镹T以前的客戶端改密碼必須要連到以前NT域的PDC上才可以改，PDC是只讀的。第四個(gè)功能：密碼仲裁：2000以后的客戶端改密碼，會(huì)用到PDC 來避免密碼修改的延遲。比如說我把密碼修改完以后我把它修改到a這臺(tái)DC，下次我登陸的時(shí)候我登陸到B，B還沒有來得及把AD數(shù)據(jù)復(fù)制過來，就會(huì)有舊密碼存在，這樣就會(huì)有問題，所以客戶端就會(huì)找 PDC Emulator 做仲裁，從而得到最新的密碼。第五個(gè)功能：防止重復(fù)套

4、用組策略：當(dāng)我們使用組策略時(shí)，我們的組策略編輯器會(huì)連到 PDC Emulator 去做修改，來防止組策略套用時(shí)出錯(cuò)。這個(gè)功能我們可以看圖來說明下：我們先打開 “組策略管理”  假設(shè)我要編輯某一個(gè)GPO，比如默認(rèn)域策略大家可以看到 組策略管理編輯器 會(huì)默認(rèn)連接到一臺(tái)主機(jī)名字叫 “” 而這臺(tái)DC正是我當(dāng)前域的 PDC Emulator ，這樣的設(shè)定就會(huì)防止，在復(fù)制組策略對(duì)象（GPO）的時(shí)候出現(xiàn)重復(fù)。我們可以在組策略管理編輯器的 查看 下拉菜單中找到 DC選項(xiàng) 單擊，可以看到如下提示從上圖中我們可以看出，默認(rèn)情況下在套用GPO的時(shí)候就會(huì)去找 PDC Emulator 去做復(fù)制，這樣就可以避

5、免GPO設(shè)置在復(fù)制的時(shí)候重復(fù)。下面再來看一下如何去實(shí)現(xiàn) PDC Emulator 的轉(zhuǎn)移：打開 Active Directory 用戶和計(jì)算機(jī) 鼠標(biāo)右擊 Active Directory 用戶和計(jì)算機(jī) 選擇更改域控制器。出現(xiàn)如下圖所示窗口，大家可以看到我當(dāng)前域有兩臺(tái)DC ：DC1和DC2 ，我選擇更改目錄服務(wù)器為 DC下圖為更改后的狀態(tài)，然后鼠標(biāo)右擊當(dāng)前域 選擇操作主機(jī) ，可以看到目前的操作主機(jī)是DC。再選擇更改，選擇傳送操作主機(jī)，結(jié)果如下：此時(shí)操作主機(jī) PDC Emulator 就已經(jīng)成功變更為 DC通過今天這篇文章您了解到了 五大操作主機(jī)之一 PDC Emulator 的功能 和 轉(zhuǎn)移方法

6、。其他的操作主機(jī)會(huì)在后續(xù)文章中為您放出。 2、操作主機(jī) RID matser一個(gè)以活動(dòng)目錄為核心的基礎(chǔ)架構(gòu)管理環(huán)境運(yùn)行效率的高低取決于操作主機(jī)和DC的位置的設(shè)計(jì)，在后期域環(huán)境的維護(hù)工作中也起著非常重要的作用。今天跟大家介紹在 Active Directory 中，RID Master （RID主機(jī)）的相關(guān)設(shè)定和所負(fù)責(zé)的功能。咱們來一步步認(rèn)識(shí) RID Master ：RID Master 和 PDC Emulator 一樣，也是域中必須唯一的操作主機(jī)之一，所以同樣打開 “開始”- “管理工具”- “Active Directory 用戶和計(jì)算機(jī)” 鼠標(biāo)右擊 當(dāng)前域 “” 選擇 “操作主機(jī)”，在打

7、開窗口的第一個(gè)選項(xiàng)卡中就可以看到 “RID”  。從上圖中可以看到當(dāng)前域的 RID Master 是 這臺(tái) DC。RID的功能是這樣，當(dāng)我們要在AD中建立對(duì)象（如：用戶，組，計(jì)算機(jī)等等），每一個(gè)對(duì)象都要有一個(gè)獨(dú)一無二的SID，一個(gè) SID是由兩個(gè)號(hào)碼所組成：DomainID（當(dāng)前域的ID）+ Relative ID（相對(duì)ID或者簡(jiǎn)稱RID） 。所以為了避免兩個(gè)對(duì)象的SID一樣，所以必須要把RID做獨(dú)一無二的編碼。所以RID Master就負(fù)責(zé)把這些RID的碼編出來。那默認(rèn)狀態(tài)下呢，DC會(huì)向 RID Master 去要一堆的 RID號(hào)碼，等到將來咱們?cè)趧?chuàng)建帳戶的時(shí)候就從這些號(hào)碼拿出來用

8、。等用完后再去跟 RID Master 去要。所以RID Master 他很重要。如果說他壞掉的話，當(dāng)前你可能可以建立一些帳號(hào)沒有問題，因?yàn)橛蚩刂破鬟@邊會(huì)有些預(yù)留的，但一旦用光了之后，你就再也沒辦法新增新的帳號(hào)了（包含：用戶、計(jì)算機(jī)、組）。RID master 還有一個(gè)功能就是當(dāng)你跨域去轉(zhuǎn)移帳號(hào)的時(shí)候也可以透過RID Master 去比對(duì)是不是有相同號(hào)碼的帳號(hào)存在，以免造成重復(fù)的操作?，F(xiàn)在如果您要去轉(zhuǎn)移 RID Master ，做法是這樣的：首先 鼠標(biāo)右擊 “Active Directory 用戶和計(jì)算機(jī)”工具中的 Active Directory 用戶和計(jì)算機(jī) 選擇 “更改域控制器”打開如下

9、圖所示窗口后，選擇需要切換到的另一臺(tái)DC，比如我所選擇的 這一臺(tái)。確定后可以看到目前我是連接到DC2 這臺(tái)DC上了。準(zhǔn)備好上面的步驟，現(xiàn)在咱們就可以來實(shí)現(xiàn) 操作主機(jī) RID Master 的轉(zhuǎn)移操作了，如下圖所示：右擊當(dāng)前域 “” 選擇 “操作主機(jī)”打開如圖所示窗口：選擇更改，是，確定?？梢钥吹疆?dāng)前的操作主機(jī) RID Master  已經(jīng)變成 ,這樣就順利把操作主機(jī) RID Master  轉(zhuǎn)到 dc2 那一臺(tái)去了。其實(shí)，我們也可以使用命令提示符去做：點(diǎn)擊 開始-程序-命令提示符，鍵入 “ntdsutil” 后 在 ntdsutil 界面中鍵入 “？” 回車。 

10、找到 Roles 如下圖所示：鍵入 Roles ，按enter，進(jìn)入角色管理界面；再鍵入Connections，按enter，進(jìn)入連接界面；鍵入connect to server dc1 按enter 連接到 dc1上；接著鍵入quit退出連接界面，在角色管理界面中鍵入“Transfer RID master”，彈出提示 “是否轉(zhuǎn)移操作主機(jī)” ，選擇“是”。再回到圖形界面中查看，可以看到操作主機(jī)又被轉(zhuǎn)移到了 這臺(tái)DC上，如下圖：這樣就把 RID master 又轉(zhuǎn)移到了 這臺(tái)DC上，當(dāng)然其他的五個(gè)操作主機(jī)都可以象這樣的做法傳送。通過這一篇文章，您了解到域內(nèi)必須唯一的操作主機(jī) RID maste

11、r 的相關(guān)功能和轉(zhuǎn)移的操作方法。操作主機(jī) Infrastructure Master今天跟大家介紹的是域環(huán)境下第三個(gè)操作主機(jī): Infrastructure Master(基礎(chǔ)結(jié)構(gòu)主機(jī))Infrastructure Master 的作用是:當(dāng)你的域環(huán)境中的組內(nèi)成員如果來自其他域的話(比如你把其他域的用戶加入到當(dāng)前域的組中),在DC間在進(jìn)行AD數(shù)據(jù)復(fù)制的時(shí)候就必須維護(hù)當(dāng)前域的成員(比如想要知道組內(nèi)成員是否有變更了,就必須到Infrastructure Master 上去做查詢).也就是用來確定當(dāng)前域和其他域之間對(duì)象的引用關(guān)系的,并且在一個(gè)域內(nèi)必須是唯一的.也正因?yàn)檫@樣 Infrastructur

12、e Master  只在多域環(huán)境下啟作用，在單域環(huán)境下是不會(huì)用到 Infrastructure Master 的。要查看 Infrastructure Master ,只需在DC上打開"Active Directory 用戶和計(jì)算機(jī)",然后鼠標(biāo)右擊當(dāng)前域"",選擇"操作主機(jī)",就會(huì)打開操作主機(jī)的管理界面,然后選擇"基礎(chǔ)結(jié)構(gòu)"選項(xiàng)卡,就可以看到當(dāng)前的 Infrastructure Master 是 "dc "這臺(tái)服務(wù)器.如果要作轉(zhuǎn)移，就和本系列七講過的RID Master 一樣，首先如下

13、圖所示，連接到另外一臺(tái)服務(wù)器“SRV”再打開操作主機(jī)的操作界面，選擇“基礎(chǔ)結(jié)構(gòu)”選項(xiàng)卡，再選擇更改，這樣就可以完成操作主機(jī)的轉(zhuǎn)移了。今天，咱們?cè)僬f一個(gè)在轉(zhuǎn)移操作主機(jī)時(shí)采取的非常規(guī)轉(zhuǎn)移方法（應(yīng)用場(chǎng)景：原來放置Infrastructure Master 的那臺(tái)DC已經(jīng)壞掉了，沒辦法適用的情況下）：打開在需要放置操作主機(jī)的DC上，打開命令提示符，輸入ntdsutil在ntdsutil 管理界面中鍵入Roles再鍵入connections，進(jìn)入connections界面連接到服務(wù)器“DC”然后鍵入quit命令退回到FSMO管理界面，使用 seize Infrastructure Master 強(qiáng)行覆蓋

14、操作主機(jī)就可以了 （其他的操作主機(jī)也可以用同樣的方法強(qiáng)行覆蓋轉(zhuǎn)移）。注意：如果我們?cè)谟颦h(huán)境中，使用了以上覆蓋的方式轉(zhuǎn)移了操作主機(jī)，那么一定要確保原來放置操作主機(jī) Infrastructure Master 的那臺(tái)DC不能上線，就算把他修好了也要把它摧毀，否則就會(huì)在當(dāng)前域出現(xiàn)兩臺(tái)操作主機(jī)Infrastructure Master ，這樣就會(huì)出問題。通過今天，大家就可以了解到操作主機(jī) Infrastructure Master 的作用以及如何轉(zhuǎn)移和強(qiáng)占（覆蓋）操作主機(jī)。 操作主機(jī) Domain Naming Master本次為大家介紹AD的五大操作主機(jī)中的最后一位: Domain Naming M

15、aster (域命名主機(jī)).在域環(huán)境中必須有一個(gè)機(jī)構(gòu)來儲(chǔ)存整個(gè)AD的架構(gòu)(比如說整個(gè)域環(huán)境中哪一個(gè)域在哪一個(gè)域的下面,這樣的樹狀結(jié)構(gòu)必須有一個(gè)地方去記錄).那我們現(xiàn)在來稍微看一下,在系統(tǒng)管理工具里可以找到 Active Directory 域和信任關(guān)系這一項(xiàng).我們打開他就可以看到整個(gè)AD的樹狀結(jié)構(gòu).那么必須有一臺(tái)機(jī)器可以去維護(hù)這個(gè)樹狀結(jié)構(gòu),當(dāng)AD的樹狀結(jié)構(gòu)變動(dòng)的時(shí)候,就需要找這臺(tái)機(jī)器去做修改.我們可以在 "Active Directory 域和信任關(guān)系" 上按右鍵,選擇"操作主機(jī)" .大家可以看到域命名主機(jī),就是Domain Naming Master.

16、同時(shí)也可以在這里做這個(gè)操作主機(jī)的更改,也就是操作主機(jī)的轉(zhuǎn)移的動(dòng)作.我們可以再次 右鍵 "Active Directory 域和信任關(guān)系" 選擇連接到另一臺(tái)服務(wù)器,再選擇另一臺(tái)DC后,確定連接到另一臺(tái)DC.接著在 "Active Directory 域和信任關(guān)系" 上按右鍵,選擇"操作主機(jī)",此時(shí)選擇更改.那么咱們的Domain Naming Master 就轉(zhuǎn)移到另一臺(tái)DC上了.當(dāng)然你也可以使用命令行的方式用Ntdsutil工具進(jìn)行操作主機(jī) Domain Naming Master 的轉(zhuǎn)移工作.操作主機(jī) Schema Master今天

17、要跟大家介紹的是AD中的操作主機(jī) Schema Master(架構(gòu)主機(jī)) 他的功能以及如何實(shí)現(xiàn)轉(zhuǎn)移。要管理Schema必須用到一個(gè)mmc 的管理組件中的名為“Active Dircetory 架構(gòu)”這么一個(gè)工具，但是這個(gè)工具默認(rèn)并沒有注冊(cè)。所以我們必須要先注冊(cè)：1、打開命令提示符：2、鍵入：regsvr32 schmmgmt.dll(嵌入式管理組件“Active Dircetory 架構(gòu)”的動(dòng)態(tài)連接庫文件是schmmgmt.dll，可以用regsvr32把它注冊(cè)到mmc里面去。) Schema3、注冊(cè)成功后，我們就可以打開mmc的工具了，4、在mmc中加入一個(gè)管理單元，點(diǎn)擊文件-添加/刪除管理

18、單元 ，在窗口左邊就可以看到一個(gè)名為 “Active Dircetory 架構(gòu)” 的管理組件，選中并添加；5、確定后如下圖，就打開了這個(gè)管理組件，展開 “Active Dircetory 架構(gòu)” 節(jié)點(diǎn)后，可以看到兩個(gè)東西，一個(gè)是類別、一個(gè)是屬性。那么這里先來介紹下什么叫 Schema，Schema在AD里所扮演的角色就是用來定義AD里面的結(jié)構(gòu)的（舉個(gè)例子說：AD的對(duì)象中會(huì)有用戶，那么用戶會(huì)有多少個(gè)屬性？比如：密碼、顯示名、登錄名、部門、電話等等的欄目。那么，就必須要定義這些東西。用來定義對(duì)象的東西我們叫“類別”，那對(duì)象里面的屬性比如剛剛所說的用戶這個(gè)對(duì)象的屬性有密碼、部門、電話就由下圖中大家看到的“屬性”來定義。）舉個(gè)例子：account 類別 會(huì)有很多屬性，比如uid 等等，如下圖所示：所以在這個(gè)工具中你可以進(jìn)行 Schema 的管理，比如建立帳戶的屬性啊、建立新的類別以及他們的關(guān)系等。6、那么接下來我們要談的是 Schema Master ：在AD的五大操作主機(jī)角色里面， Schema Master 就是負(fù)責(zé)修改 Schema 的。也就是說在