AD_07_管理操作主机.pptVIP

管理操作主机 MCSE2003活动目录管理 内容回顾 介绍活动目录复制 建立和配置站点 管理站点拓扑结构 排除复制故障 本章内容 操作主机的角色及功能 管理操作主机角色 管理操作主机故障 最佳方案 本章目标 理解操作主机的功能 了解操作主机的角色 能够管理操作主机角色 管理操作主机故障 熟悉最佳方案 操作主机的引入 Windows NT 域 PDC BDC Windows 2000/2003 活动目录域 DC 操作主机（Operation Masters） 以前也叫flexible single master operations(FSMO) 介绍操作主机 操作主机的角色 操作主机的默认位置 Schema (架构)主机 域命名主机 PDC 模拟主机 RID 主机 Infrastructure(基础结构) 主机 netdom query fsmo /domain:name 操作主机的默认位置 Schema(架构) 主机 控制对 Schema 的所有更新,负责更新与修改架构内的对象与属性数据 将更新复制到目录林中的所有域控制器 只有 Schema Admins 成员可以对 Schema 进行修改 域命名主机 控制在目录林中添加与删除域 防止创建相同名称,配置不同的新域 同一个时间内，整个林中只能有一台域命名主机 PDC 模拟主机 PDC Emulator—同步时间 PDC模拟主机—域账号锁定 目的 为防用户的密码被猜测，当密码错误次数达到预设值时，该账号将被锁定。 BadPasswordCount 每台DC各自记录用户错误尝试密码的次数； 密码输入正确后，BadPasswordCount置0； PDC累积各DC上该值总和，一旦超过预设值： PDC主机立即第一个锁住该账号； PDC主机把锁定信号复制到其他DC PDC模拟主机—域账号锁定(续) RID主机 Infrastructure (基础结构)主机 操作主机的放置 手工优化： 基础结构主机与GC不放在一起 域命名主机与GC放在一起 架构主机与域命名主机可放在一起 PDC模拟主机建议单独放置 管理操作主机角色 确定一个操作主机的保持者 传送一个操作主机的角色 夺取一个操作主机的角色 确定一个操作主机的保持者 传送一个操作主机的角色 只有在域基础结构发生了重大改变时才要传送角色 没有数据的损失 传送角色的操作者必须拥有相应的权限 开始→管理工具→ AD用户和计算机→连接到 DC → 选定DC →操作主机→ 更改（PDC） 传送一个操作主机的角色 自动隐式转移 何时发生：在DC退出域的时候，在DC降级的时候。如 果转移失败时，可能会降级失败 优先顺序：相同站点中的服务器--RPC连接--SMTP传输 最佳做法：手工 转移(Transfer) 把操作主机角色平滑地传递给另一台域控制器 操作可逆 配置架构主机 配置域命名主机 配置域范围内的操作主机角色 夺取一个操作主机的角色 只有当当前主机角色失效时，才执行夺取操作主角色 可能会丢失数据 夺取角色的操作者必须拥有相应的权限 夺取一个操作主机的角色 抓取(Seize) 把OM角色强制地赋予另一台DC 操作不可逆 抓取命令会自动先尝试转移 最佳实践 要连到最更新的DC 能转移尽量不要用抓取 能还原则尽量还原原OM而不要抓取到其他DC NTDSUTIL ntdsutil ntdsutil:roles fsmo maintenance:connections server connections:connect to server server connections:quit fsmo maintenance:seize schema master fsmo maintenance:seize domain naming master fsmo maintenance:seize pdc fsmo maintenance:seize rid master fsmo maintenance:seize infrastructure master 管理操作主机故障 操作主机故障所造成的影响 占用操作主机角色 操作主机故障——架构主机 影响 更新Schema受影响