AD操作主机说明

AD定义了五种操作主控角色(FSMO)分别为:

架构主控 schema master                    作用于林级别(一个林中只能有一个架构主控)

域命名主控 domain naming master            作用于林级别

相对标识号 (RID) 主控 RID master            作用于域级别(一个域中只能有一个架构主控)

主域控制器模拟器 (PDC)                    作用于域级别

基础结构主控 infrastructure master        作用于域级别

架构主控(Schema Master)作用于林级别

功能:控制活动目录内所有对象/属性的定义

提示:Regsvr32 schmmgmt.dll(注册架构主控)     属于Schema Admins组

故障影响:更新Schema受影响、短期内一般看不到影响

典型问题如:无法安装Exchange

故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用

若修改AD的架构,只能从架构主机上进行操作。很多高级服务器产品在部署时都需修改AD的架构,如Exchange。若在域中部署Exchange时无法在线联系架构主机,则Exchange的部署就无法继续。MCSE考题曾考过此知识点

域命名主控(Domain Naming Master)作用于林级别

功能:控制森林内域的添加和删除、添加和删除对外部目录的交叉引用对象

提示:建议与GC配置在一起     属于Enterprise Admins组

故障影响:更改域结构受影响、短期内一般看不到影响

典型问题如:添加/删除域

故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用

主要负责控制域林内域的添加或删除,即若在林域内添加一个新域,必须由域命名主控判断域名合法,操作才可以继续。如果域命名主控不在线,就无法完成林域内的新域创建。除了对域名做诠释。

还负责添加或删除描述外部目录的交叉引用对象。

RID主控(RID Master)作用于域级别

功能:管理域中对象相对标识符(RID)池

对象安全标识符(SID)=域安全标识符+相对标识符(RID)*

如:S-1-5-21-1343024091-879983540-3…

S-1-5-21-D1-D2-D3-RID,S是SID的缩写,1是SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。管理员的SID为S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。

故障影响:无法获得新的RID池分配

典型问题如:无法新建(大量)用户帐号
故障处理:只能使用夺取操作,且不可逆向转移,确保原PDC宕机情况下才可使用

RID是SID的一部分, 作用即为AD提供一个可用的RID池(默认500个)而且当池中的RID被消耗到一定程度后再自动补充满。如果RID主机出现故障,显然会对我们创建大量的用户账号造成麻烦。

PDC模拟主控(PDC Emulator)作用于域级别
功能:模拟Windows NT PDC、默认的域主浏览器、默认的域内权威的时间服务源、统一管理域帐号密码更新、验证及锁定

提示:PDC模拟主控不仅是模拟NT PDC、一般负荷较大

故障影响:底端客户不能访问AD、不能更改域帐号密码、浏览服务问题、时间同步问题。

故障处理:需要及时地恢复,可以使用转移操作,PDC在线情况下转移到其他主机上。

兼容NT4服务器;优先成为主浏览器(即网络中的一种计算机角色:维护网上邻居中计算机列表);AD的优先复制权(AD内容发生变化时优先复制到PDC中);充当域内的权威时间源;组策略的首选存储地点。

基础结构主控(Infrastructure Master)作用于域级别

功能:负责对跨域对象引用进行更新

提示:单域情况下基础结构主机不需要工作、不能同时和GC配置在一起(单DC除外)
故障影响:外域帐号不能识别,标记为SID

故障处理:需要比较及时地恢复,可以使用转移操作,PDC在线情况下转移到其他主机上。

结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主控就会负责关注A域的这个用户是否发生了什么变化,如是否被删除了,结构主控的工作可以确保域间对象引用的可操作性。

如为一个单域,基本上用不着结构主控做什么工作。

如果在一个多域的林环境,结构主控不要和GC(全局编录)放在同一台DC上,否则结构主控无法正常工作。

操作主控的放置建议
默认情况:架构主控在根域的第一台DC上、域命名主控在根域的第一台DC上、其他三个主控(RID主控、PDC模拟主控、基础结构主控)角色在各自域的第一台DC上

考虑问题:和GC的冲突、性能考虑

手工优化:基础结构主控与GC不放在一起;域命名主控与GC放在一起;架构主控与域命名主控可放在一起;PDC模拟主控建议单独放置。

(0)

相关推荐

  • AD操作主机说明

    AD定义了五种操作主控角色(FSMO)分别为: 架构主控 schema master                    作用于林级别(一个林中只能有一个架构主控) 域命名主控 domain naming master            作用于林级别 相对标识号 (RID) 主控 RID master            作用于域级别(一个域中只能有一个架构主控) 主域控制器模拟器 (PDC)                    作用于域级别 基础结构主控 infrastructure

  • win sever 2022如何占用操作主机角色

    win sever 2022如何占用操作主机角色

    准备工作:准备两台服务器,一台为主域控,另一台作为额外域. 案列:某公司有两台域控制器(win2022r2)20222-1和2022-2,2022-1承担五种操作主机角色.2022-1突然宕机,无法启动,在2022-2上打开“操作主机”对话框,会显示操作主机错误,角色不能被传送,此时我们需要用额外域输入命令去占用主域控中的操作主机角色. 1.打开额外域的运行窗口(win+R),输入cmd,进入命令提示符,再次输入ntdsutil并回车,接着输入以下命令: ①roles ②connection ③

  • 详解python之简单主机批量管理工具

    详解python之简单主机批量管理工具

    今天做了一个很简单的小项目,感受到了paramiko模块的强大,也深感自己Linux的功力不行~~ 一.需求 二.简单需求分析及流程图 需求很少,我就简单地说下: 1. 主机分组可以配置文件实现(我用字典存数据的). 2. 登陆功能不做.选择分组后可查看组内对应主机的主机名和IP地址. 3. >>>cmd: df(输入命令则起多个线程(视组内有多少个主机而定)同时执行) 输出: -------------h1------------ --(命令返回的数据) -------------h2

  • WIN2008 R2 Active Directory 之一 部署企业中第一台Windows Server 2008 R2域控制器

    WIN2008 R2 Active Directory 之一 部署企业中第一台Windows Server 2008 R2域控制器

    前言 对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步.在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术.希望能一直坚持写完! --胖哥 通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域.域树.域林.OU和站点,还有域控制器(DC)等.那

  • WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器

    WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器

    题外话--谨以此文纪念"痛苦"的交规考试以98分通过.小弟准备考驾照,最近被交规,就把博文之事放下了.哈哈哈,今天刚一通过就马上来码字儿了! 通过<部署企业中第一台Windows Server 2008 R2域控制器>(http://www.jb51.net/article/38401.htm)已经完成了企业中Windows网络域森林的建立.但是,在企业中对于AD来讲,为了保证安全稳定运行,至少需要两台以上的物理域控制器. 在早期的Windows中可以部署备份域控制器(BD

  • windows server2008 R2 角色迁移问题详解

    windows server2008 R2 角色迁移问题详解

    目录 操作背景: 环境: 林级别 域级别 转移操作主机角色: 占用操作主机角色: 占用操作主机权限成功 注意: 操作背景: 在Master和slave节点都存活的状态下,将Master的五个角色转移给slave服务 环境: 主域控:                名称192.168.1.64           test-zhuad.zhanghao.com192.168.1.65           WIN-ceshibei.zhanghao.com 林级别 1.架构主机(Schema Mas

  • IDEA使用code with me来进行多人远程编程的实现

    IDEA使用code with me来进行多人远程编程的实现

    目录 前置条件 一.code with me是什么? 二.使用步骤 提示:本文IDEA版本为:IDEA2021.1 前置条件 主机必需:IntelliJ IDEA 2020.2.1及更高版本,已下载并启用Code With Me插件 访客必需:无需下载IDEA,只需要下载一个code with me程序(600kb左右) 一.code with me是什么? Code With Me是一款功能强大的工具,可让您协同工作以处理代码.直接多人协调gayhub 二.使用步骤 1.主机开启邀请链接 安装

  • JAVA使用Ldap操作AD域的方法示例

    项目上遇到的需要在集成 操作域用户的信息的功能,第一次接触ad域,因为不了解而且网上其他介绍不明确,比较费时,这里记录下. 说明: (1). 特别注意:Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异(同一个意思的表示字段,两者可能不同). (2). 连接ad域有两个地址: ldap://XXXXX.com:389 和 ldap://XXXXX.com:636(SSL). (3). 端口389用于一般的连接,例如登录,查询等非密码操作,端口636安全性较高,用

  • Python自动化运维之Ansible定义主机与组规则操作详解

    Python自动化运维之Ansible定义主机与组规则操作详解

    本文实例讲述了Python自动化运维之Ansible定义主机与组规则操作.分享给大家供大家参考,具体如下: 一 点睛 Ansible通过定义好的主机与组规则(Inventory)对匹配的目标主机进行远程操作,配置规则文件默认是/etc/ansible/hosts. 二 定义主机与组 所有定义的主机与组规则都在/etc/Ansible/hosts文件中,为ini文件格式,主机可以用域名.IP.别名进行标识,其中webservers.dbservers 为组名,紧跟着的主机为其成员.格式如下: ma

  • Django 允许局域网中的机器访问你的主机操作

    1. 关闭主机电脑上的防火墙(不用关闭,加一个端口号就行) 2.在你的settings.py文件中,找到ALLOWED_HOSTS=[ ],在中括号中加入你在局域网中的IP.如我在局域网中的IP为192.168.1.72,所以设置ALLOWED_HOSTS = [ '192.168.1.72']. 如果允许所有主机都可以访问,则可以改为:ALLOWED_HOSTS = ['*',],注意不要漏掉",". 3.输入指令: python manage.py runserver 0.0.0.

随机推荐