Windows Server活動(dòng)目錄操作主控角色的轉(zhuǎn)移與強(qiáng)占

1、Windows ServerWindows Server活動(dòng)目錄項(xiàng)目式項(xiàng)目活動(dòng)目錄項(xiàng)目式項(xiàng)目24 24 操作主控角色的轉(zhuǎn)移與強(qiáng)占操作主控角色的轉(zhuǎn)移與強(qiáng)占AD的操作主控（FSMO）有哪些？林操作主控【架構(gòu)主控】【域命名主控】域操作主控【PDC仿真主控】【基礎(chǔ)架構(gòu)主控】【RID主控】操作主控的定義與功能操作主控的轉(zhuǎn)移操作主控的強(qiáng)占課程的課程的內(nèi)容內(nèi)容EDU公司基于AD管理用戶和計(jì)算機(jī)，為提高客戶登錄和訪問(wèn)域控制器效率，公司安裝了多臺(tái)額外域控制器，并啟用全局編錄。在AD運(yùn)營(yíng)一段時(shí)間后，隨著公司用戶和計(jì)算機(jī)規(guī)模的增加，公司發(fā)現(xiàn)用戶AD主域控制器CPU經(jīng)常處于繁忙狀態(tài)，而額外域控制則只有5%不到。公司希

2、望額外域控制能適當(dāng)分擔(dān)主域控制器的負(fù)載。某次意外，突然導(dǎo)致主域控制器崩潰，并無(wú)法修復(fù)，公司希望能通過(guò)額外域控制修復(fù)域功能，保證公司的生產(chǎn)環(huán)境能夠正常運(yùn)行，公司拓?fù)淙鐖D24-1所示。1.什么叫操作主控什么叫操作主控它是指在活動(dòng)目錄中用于執(zhí)行執(zhí)行某些特定功能的域控制器，如資源安全標(biāo)識(shí)符SID的管理、架構(gòu)管理等。在全林范圍定義了2種主控（角色）：【架構(gòu)主控】【域命名主控】每個(gè)域定義了3種私有主控（角色）：【PDC仿真主控】【基礎(chǔ)架構(gòu)主控】【RID主控】活動(dòng)目錄架構(gòu)定義了各種類型的對(duì)象，以及組成這些對(duì)象的屬性，活動(dòng)目錄以對(duì)象的形式存儲(chǔ)這些定義。架構(gòu)定義了所有活動(dòng)目錄對(duì)象的對(duì)象類和屬性，架構(gòu)主控是能夠?qū)?/p>

3、目錄架構(gòu)進(jìn)行寫入操作的唯一域控制器，這些更新將從架構(gòu)操作主控復(fù)制到林中的所有其它域控制器上?！癛egsvr32 schmmgmt.dll”命令注冊(cè)架構(gòu)主機(jī)管理工具域命名主控可防止多個(gè)域采用相同的域名加入到林中。在林中添加新域時(shí)，只有擁有域命名主控角色的域控制器有權(quán)添加新域。例如當(dāng)使用AD安裝向?qū)?chuàng)建子域時(shí)，就需要和域命名主控聯(lián)系并請(qǐng)求添加子域。如果域命名主控不可用，將導(dǎo)致域的添加和刪除操作失敗。用于域命名主控角色的域控制器必須是全局編錄服務(wù)器PDC仿真主控用于支持活動(dòng)目錄運(yùn)行于混合模式域內(nèi)的Windows NT的任何備份域控制器（BDC）。PDC仿真主控的主要作用如下：（1）管理來(lái)自客戶端(W

4、indows NT/95/98)的計(jì)算機(jī)賬戶的密碼更改，計(jì)算機(jī)密碼的變化需要寫入到活動(dòng)目錄中。（2）最小化密碼變化的復(fù)制等待時(shí)間。如果客戶機(jī)的密碼改變了，PDC域控制器需要一定時(shí)間將變化復(fù)制到域中的每一個(gè)域控制器中。（3）在默認(rèn)情況下,PDC仿真主機(jī)還負(fù)責(zé)同步整個(gè)域內(nèi)所有域控制器上的時(shí)間。（4）防止重寫組策略對(duì)象（GPO）的可能。默認(rèn)情況下，組策略管理單元運(yùn)行在擁有該域的PDC仿真主控上，這樣可以減少潛在的復(fù)制沖突。域中的創(chuàng)建的每一個(gè)安全主體都擁有一個(gè)唯一的SID，活動(dòng)目錄通過(guò)RID主控管理和分配這些SID。目錄林通過(guò)給每一個(gè)域分配全林唯一的Domain SID，當(dāng)域創(chuàng)建一個(gè)新的安全主體（如：

5、用戶、組對(duì)象）時(shí)，這些安全主體將由RID主控分配一個(gè)唯一的SID，即：Object SID=Domain SID + RID（RID通常是從1開始一個(gè)連續(xù)區(qū)塊，因此剛剛新建的2個(gè)用戶的SID是連續(xù)的。）。因此，目錄林通過(guò)Domain SID標(biāo)識(shí)每一個(gè)域，域通過(guò)Object SID標(biāo)識(shí)每一個(gè)安全主體。 基礎(chǔ)結(jié)構(gòu)主控負(fù)責(zé)更新從它所在的域中的對(duì)象到其他域中對(duì)象的引用,每個(gè)域中只能有一個(gè)基礎(chǔ)結(jié)構(gòu)主控?；A(chǔ)結(jié)構(gòu)主控將其數(shù)據(jù)與全局編錄進(jìn)行比較,全局編錄通過(guò)復(fù)制操作接收所有域中對(duì)象的定期更新,從而使全局編錄的數(shù)據(jù)始終保持最新,如果基礎(chǔ)結(jié)構(gòu)主控發(fā)現(xiàn)數(shù)據(jù)已過(guò)時(shí),則它會(huì)從全局編錄請(qǐng)求更新的數(shù)據(jù),然后,基礎(chǔ)結(jié)構(gòu)主控

6、再將這些更新的數(shù)據(jù)復(fù)制到域中的其他域控制器。架構(gòu)主機(jī)和域命名主機(jī)在根域的第一臺(tái)DC上、其他三個(gè)主機(jī)（RID主機(jī)、PDC模擬主機(jī)、基礎(chǔ)結(jié)構(gòu)主機(jī)）角色在各自域的第一臺(tái)DC上。需要關(guān)注的2個(gè)問(wèn)題（1）基礎(chǔ)結(jié)構(gòu)主控和GC的沖突基礎(chǔ)結(jié)構(gòu)主控應(yīng)該關(guān)閉GC功能，避免沖突（域控制器非唯一）。（2）域運(yùn)行的性能考慮如果存在大量的域用戶和客戶機(jī)，并且部署了多臺(tái)額外域控制器，那么可以考慮將域的角色轉(zhuǎn)移一些到其它的額外域控制器上以分擔(dān)部分工作。AD額外域控制啟用全局編錄后，用戶可以選擇最近的GC查詢相關(guān)對(duì)象信息，并且它還可以讓域用戶和計(jì)算機(jī)找到最近的域控制器并完成用戶的身份驗(yàn)證等工作，這可以減輕主域控制的工作負(fù)載量。

7、AD域控制器存在5種角色，如果沒有將角色轉(zhuǎn)移到其它域控制器上，則主域控制器會(huì)非常繁忙，所以通常將這5種角色【轉(zhuǎn)移】一部分到其它額外域控制器上，這樣各域控制器的CPU負(fù)擔(dān)就相對(duì)均等，起到負(fù)載均衡作用。額外域控制器和主域控制器數(shù)據(jù)完全一致，具有AD備份作用，如果主域控制器崩潰，可以將主域控制器的角色【強(qiáng)占】到額外域控制器，讓額外域控制器自動(dòng)成為主域控制器。如果后期主域控制器修復(fù)，那么可以再將角色“轉(zhuǎn)移”回原主域控制器上。我們將從以下三個(gè)操作來(lái)知道域管理員完成角色管理的相關(guān)工作。1、在域控制器都正常運(yùn)行情況下，使用圖形界面將主域控制器（DC1）的角色轉(zhuǎn)移至額外域控制器（DC2）。2、在域控制器都正常運(yùn)行情況下，使用ntdsutil命令將額外域控制器（DC2）的角色轉(zhuǎn)移至主域控制器（DC1）。3、關(guān)閉主域控制器