Windows Server 2022活動目錄管理實踐( 第2版 微課版)-課件項目25 操作主機角色的轉(zhuǎn)移與強占

項目25操作主機角色的轉(zhuǎn)移與強占操控主機的概念操作主機的放置建議操作主機的重要性目錄操控主機的概念操控主機的概念操作主機（FSMO，F(xiàn)lexiblesinglemasteroperation）是指在活動目錄中用于執(zhí)行某些特定功能（如資源安全標識符SID的管理、架構(gòu)管理等）的域控制器?；顒幽夸浿С衷诹种兴杏蚩刂破髦g進行目錄變化的多主機復制，在多主機復制過程中，如果對兩個不同的域控制器上的相同數(shù)據(jù)同時進行更新，則必然會發(fā)生復制沖突。數(shù)據(jù)同步更新操控主機的概念為了避免復制沖突，可以讓一個單域控制器負責操作，用單主機方式完成（不允許在其他域控制器上進行操作）。在全林范圍定義了以下兩種操作主機（角色）。（1）“架構(gòu)操作主機”。（2）“域命名操作主機”。每個域都定義了以下3種操作主機（角色）。（1）“PDC仿真操作主機”。（2）“基礎架構(gòu)操作主機”。（3）“RID操作主機”。操控主機的概念架構(gòu)操作主機和域命名操作主機是林中的唯一角色，在整個林中只有一個架構(gòu)操作主機和一個域命名操作主機。其他則是每一個域都擁有自己的PDC仿真操作主機、RID操作主機和基礎架構(gòu)操作主機。因此，在一個只有一個域的目錄林中，共有5個操作主機角色。域控制器林操控主機的概念活動目錄中存儲著域控制器擁有對應操作主機角色的信息，如果有必要，那么域用戶可以使用該信息聯(lián)系操作主機。對于每個操作主機角色，只有擁有該角色的域控制器可以進行相關(guān)的目錄改變。任意一臺域控制器都可以被配置為操作主機（通過轉(zhuǎn)移操作主機角色）。當操作主機失效或不可用時，域管理員可以將操作主機角色移動到其他域控制器上。更改目錄服務器架構(gòu)操作主機功能：活動目錄架構(gòu)定義了各種類型的對象，以及組成這些對象的屬性，活動目錄以對象的形式存儲這些定義。架構(gòu)定義了所有活動目錄對象的對象類和屬性，架構(gòu)操作主機是能夠?qū)δ夸浖軜?gòu)進行寫入操作的唯一的域控制器，這些更新可以從架構(gòu)操作主機復制到林中的所有其他域控制器上。特性：在整個林中，架構(gòu)主機是唯一的。架構(gòu)操作主機如果架構(gòu)操作主機的管理工具默認沒有安裝，則可以在命令行中運行“Regsvr32schmmgmt.dll”命令，注冊架構(gòu)主機管理工具。注冊架構(gòu)主機域命名操作主機域命名操作主機可以防止多個域采用相同的域名加入林。在林中添加新域時，只有擁有域命名操作主機角色的域控制器有權(quán)添加新域。例如，當使用AD安裝向?qū)?chuàng)建子域時，需要和域命名操作主機聯(lián)系并請求添加子域。如果域命名操作主機不可用，則會導致域的添加和刪除操作失敗。用于域命名操作主機角色的域控制器必須是全局編錄服務器，在創(chuàng)建域?qū)ο髸r，域命名操作主機通過查詢?nèi)志庝浌δ芸焖俸藢嵲搶ο竺Q是否唯一。主域控制器仿真操作主機PDC仿真操作主機用于支持活動目錄運行于混合模式域內(nèi)的任何備份域控制器（BackupDomainController，BDC）。PDC仿真操作主機的主要作用如下：管理來自客戶端的計算機賬戶的密碼更改，計算機密碼的變化需要寫入到活動目錄中。最小化密碼變化的復制等待時間。如果客戶機的密碼改變了，那么PDC仿真操作主機需要一定時間將變化復制到域中的每一個域控制器中。主域控制器仿真操作主機PDC仿真操作主機的主要作用如下：在默認情況下，組策略管理單元運行在擁有該域的PDC仿真操作主機上，這樣可以減少潛在的復制沖突。在默認情況下,PDC仿真操作主機還負責同步整個域內(nèi)所有域控制器上的時間。防止重寫組策略對象（GPO）的可能。相對標識操作主機在域中創(chuàng)建的每個安全主體都擁有唯一的SID?；顒幽夸浲ㄟ^RID操作主機管理和分配這些SID。林通過給每一個域分配全林唯一的DomainSID，當域創(chuàng)建一個新的安全主體（如用戶、組對象）時，這些安全主體會由RID操作主機分配一個唯一的SID，即ObjectSID=DomainSID+RID（RID通常是從1開始一個連續(xù)區(qū)塊，因此剛剛新建的2個用戶的SID是連續(xù)的）。因此，林通過可以DomainSID標識每個域，域可以通過ObjectSID標識每個安全主體?；A結(jié)構(gòu)操作主機基礎結(jié)構(gòu)操作主機負責更新從它所在的域中的對象到其他域中對象的引用，每個域中都只能有一個基礎結(jié)構(gòu)操作主機?；A結(jié)構(gòu)操作主機可以對其數(shù)據(jù)與全局編錄進行比較，全局編錄通過復制操作接收所有域中對象的定期更新，從而使全局編錄的數(shù)據(jù)始終保持最新，如果基礎結(jié)構(gòu)操作主機發(fā)現(xiàn)數(shù)據(jù)已過時，那么它會先向全局編錄請求更新的數(shù)據(jù)，再將這些更新的數(shù)據(jù)復制到域中的其他域控制器中?；A結(jié)構(gòu)操作主機（1）關(guān)于基礎結(jié)構(gòu)操作主機的對象引用管理基礎結(jié)構(gòu)操作主機負責在重命名或更改組成員時更新“組到用戶”的引用，當重命名或移動組成員時，組所屬域的基礎結(jié)構(gòu)操作主機負責組的更新工作。這樣，當重命名或刪除用戶賬戶時，可以防止與該賬戶相關(guān)的組成員的身份丟失。例如，在AGUDLP應用中，如果將域全局組改名，那么原隸屬于該域全局組的用戶信息中，用戶的隸屬組也會同步更新名稱，同理通用組對應的成員（域全局組加入了通用組，即域全局組是通用組的成員）也會同步更新更新?；A結(jié)構(gòu)操作主機在對用戶和組對象進行移動或修改時，基礎結(jié)構(gòu)操作主機會根據(jù)以下規(guī)則更新對象標識。如果對象發(fā)生移動，那么它的標識名將改變，因為標識名代表它在活動目錄中的精確位置。如果對象在域內(nèi)發(fā)生移動，那么它的SID保持不變。如果對象被移動到另一個域中，那么SID會變?yōu)樾掠虻腟ID。無論在什么位置，GUID都不會發(fā)生變化（GUID在整個域中是唯一的）?；A結(jié)構(gòu)操作主機（2）基礎結(jié)構(gòu)操作主機與全局編錄基礎結(jié)構(gòu)操作主機通常不啟用全局編錄,除非域中只有一個域控制器。在AD數(shù)據(jù)的復制中，域的基礎結(jié)構(gòu)操作主機將周期性的檢查不在該域控制器上的對象引用。它通過查詢?nèi)志庝浄掌?，獲取有關(guān)每個引用對象的標識名和SID的當前信息，如果該信息已改變，那么基礎結(jié)構(gòu)操作主機會在它的本地備份上進行相應的改變，并且使用標準復制將這些改變復制到域內(nèi)的其他域控制器上?；A結(jié)構(gòu)操作主機（2）基礎結(jié)構(gòu)操作主機與全局編錄由于全局編錄本身包含對象的標識名和相關(guān)信息，而這些數(shù)據(jù)和域復制數(shù)據(jù)無法共存，因此，如果基礎結(jié)構(gòu)操作主機啟用全局編錄（默認啟用），則會導致基礎結(jié)構(gòu)操作主機失效。如果只有一臺域控制器，那么它本身的信息是最新的，因此也不存在同步問題。操作主機的放置建議操作主機的放置建議默認情況：架構(gòu)操作主機和域命名操作主機在根域的第一臺域控制器上、其他3個操作主機（RID操作主機、PDC仿真操作主機、基礎結(jié)構(gòu)操作主機）角色在各自域的第一臺域控制器上。需要關(guān)注的兩個問題如下：基礎結(jié)構(gòu)操作主機和全局編錄的沖突?；A結(jié)構(gòu)操作主機應該關(guān)閉全局編錄功能，避免沖突（域控制器非唯一）。域運行的性能考慮。操作主機的放置建議如果存在大量的域用戶和客戶機，并且部署了多臺額外域控制器，那么可以考慮將域的角色轉(zhuǎn)移一些到其他的額外域控制器上以分擔部分工作。額外域控制器域控制器額外域控制器域用戶操作主機的重要性操作主機的重要性操作主機在活動目錄環(huán)境中，肩負著重要的作用，如果操作主機出現(xiàn)問題，則會出現(xiàn)以下問題：當架構(gòu)操作主機不可用時，不能對架構(gòu)進行更改。在大多數(shù)網(wǎng)絡環(huán)境中，對架構(gòu)進行更改的頻率很低，并且應該提前進行規(guī)劃，從而使架構(gòu)主機的故障不至于產(chǎn)生任何直接的問題。當域命名操作主機不可用時，不能通過運行ActiveDirectory向?qū)駻ctiveDirectory中添加域，也不能從目錄林中刪除域，如果在域命名主機不可用時試圖通過運行ActiveDirectory向?qū)韯h除域，則會收到一條“RPC服務器不可用”的消息。操作主機的重要性操作主機在活動目錄環(huán)境中，肩負著重要的作用，如果操作主機出現(xiàn)問題，則會出現(xiàn)以下問題：當RID操作主機不可用時，遇到的主要問題是不能向域中添加任何新的安全對象，如用戶、組和計算機；如果試圖添加，則會出現(xiàn)錯誤消息“Windows不能創(chuàng)建對象，因為：目錄服務已經(jīng)用完了相對標識號池”。當PDC仿真操作主機不可用時，可能導致用戶登錄失敗。如果重新設置用戶密碼，例如，用戶忘記密碼，然后管理員在一臺域控制器上重新設置該用戶的密碼（這臺域控制器目前不是該用戶登錄的身份驗證域控制器），那么該用戶必須等到