林范围内操作主机有:架构主机和域命名主机,这两种操作主机森林范围内唯一,也就是说如果一个森林内有10个域,那么这总共10个域只会有一个架构主机和域命名主机,通常这两种操作主机角色默认存在于森林根域的第一台域控内。 域范围内操作主机有:RID主机、PDC仿真主机、基础结构主机,这三种主机域范围唯一,如果森林范围内有10个域,那每个域中都会存在这三种主机。每个域中的这三种操作主机角色默认存在于该域的第一台域控内。
1.架构主机:负责森林范围内对架构的更新和修改。简单来摔UB担就是负责AD中对象的增加、删除以及属性的修改。 比如林中常见对象有用户、组、打印机等,通过对AD架构的修改,可以去删除一个已经存在的对象,如将打印机从AD架构中删除,那么用户在AD中将无法看到打印机对象。 2.域命名主机:负责林中域的添加和删除。 在森林内创建新域时,会向域命名主机提交请求,查看是否在林中已有同名对象,如没有同名对象才能创建该域,并在域命名主机内做相应记录。 3.RID主机:负责将相对ID号分配给域中每个域控制器。 在域中创建用户、组或计算机账户时需要有一个唯一的sid,如果存在sid主机,sid主机每次向域内所有域控分发一批完全不同的sid号,再由域控器将自己得到的sid号分配给在该域控上创建的对象,以此来控制域内创建对象不会出现sid重复的情况,如果没有sid主机的话,对象sid出现重复将是无法避免的现象。 4.PDC仿真主机:负责处理来自客户端的密码更改,及负责同步整个域内所有域控上的时间。 如果域内存在多台域控,管理员在其中一台域控上对用户密码做了修改,那密码的修改会第一时间复制到PDC仿真主机上,该用户使用新密码登录时,如果验证的dc密码修改信息还未复制过来,会认为该用户密码错误,但是不会马上拒绝,会立刻将验证信息发往pdc仿真主机,由于密码的修改已经复制到pdc,该用户身份验证会通过。 一个域或森林内所有主机时间相差不能超过五分钟,如超过该时限,复制机制会出错, 父域pdc主机与外部时间服务器同步,子域pdc主机与父域pdc时间同步,子域所有主机与子域pdc时间同步,以此实现森林内所有主机时间均为同步。 5.基础结构主机:负责更新从它所在域中对象到其它域中对象的引用,以及负责在重命名或更改组成员关系时更新组到用户的引用。 基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制接收所有域中对象的定期更新,使全局编录的数据始终保持最新,如果基础结构主机发现数据已过时,则会从全局编录请求更新的数据,基础结构主机再将这些更新的数据复制到域中的其它域控制器。 如本地有用户zhangs属于其它域的groups组,当本域将用户zhangs的用户名改为lis后,在其它域的groups组中存放的用户还是zhangs,此时权限设置会出现问题,如存在基础结构主机,当本域中出现用户重名命情况,域中基础结构主机会查找用户相关的组,将用户变化信息提交到相关基础结构主机并复制到相应的域控上。
1.查看及更改架构主机 (1).在森林根域的域控制器上开始--运行--regsvr32 schmmgmt.dll (2).打开mmc-添加AD架构-确定 (3).选择根节点,右键-操作主机即可查看 (4) 如需更改架构主机为其它域控,右键点AD架构-更改AD域控制器-选择其它域控--确定 (5)再次右键点击AD架构--操作主机,更改即可. 2.查看域命名主机(以下只说查看,更改与前面类似) (1). 在森林根域域控上开始--运行―domain.msc (2).根节点上右键--操作主机,即可查看 3.查看域内RID、pdc和基础结构主机。 (1).在dc上开始--运行―dsa.msc--打开AD用户和计算机 (2).选择域名--右键--操作主机进行查看 4.在命令行模式下传送(transfer)与占用(seize)操作主机角色 传送与占用的区别: 传送是指在域或森林内,原来的操作主机是工作正常的情况下,把原有操作主机功能传给额外的域控,不会有数据丢失的情况(可理解成公司内正常工作的交接) 占用是指在域或森林内,原有操作主机无法正常响应的情况下,为保证域内功能的正常使用,直接从额外域控上将原有主机的角色抢占过来,但由于无法联系原来的操作主机,原有信息将会丢失,所以不到万不得已,不要用抢占。 以架构主机为例进行传送操作: (1).打开cmd-输入ntdsutil―roles (2). 输入connections― connect to server 要传送的服务器名 (3).连接到服务器成功后,输入quit退回上级菜单,?后查看可执行的操作 (4).如需传送操作主机角色使用transfer,如占用使用seize,下例演示传送命名主机 在图中可看到,命名主机成功传送至win2k8这台域控,其它操作主机角色的传送和占用操作也与上面类似,不再赘述(注意不管是传送还是占用操作主机,一定要先连接到想要得到操作主机角色的域控后,再进行传送或是占用操作)。
本文出自 “天知道的技术博客” 博客,转载请与作者联系!
京公网安备 11010802041100号