管理操作主机了解操作主机的角色及功能.PDF

管理操作主机 一、了解操作主机的角色及功能 3 AD 前面我们学习了管理站点，在管理站点中有 种冲突， 都有解决方案。但是还有的冲突是无法 解决的，如 SID冲突。为了避免产生这种无法解决的冲突，就有了操作主机的概念。 1、操作主机的介绍： *、多主控复制的过程中,如果对不同的DC上的相同数据同时更新,会造成复制冲突,为了避免冲突, 通常让单个DC迚行操作,这个DC 的角色称为操作主控角色 *、只有拥有特定角色的域控制器，才可以迚行相应的活劢目录更新 *、操作主机实施的更新将被复制到其它域控制器上 *、任何域控制器都可以是一操作主机 *、操作主机的角色可以被转移到其它域控制器上 操作主机（OperationMasters） 以前也叫flexiblesinglemasteroperations(FSMO) 2、操作主机种类及功能 架构主机 （整个林只有一台） 作用 控制对Schema 的所有更新,负责更新与修改架构内的对象与属性数据 将更新复制到目录林中的所有域控制器 只有SchemaAdmins成员可以对Schema 迚行修改 域命名主机 （整个林共用一台） 作用 控制在目录林中添加与删除域 防止创建相同名称,配置不同的新域 同一个时间内，整个林中只能有一台域命名主机 PDC 模拟主机 （每域一台） 作用 1、如果是混合windows,作为任何现存的BDC 的PDC （Windows2000 以前都是单主，PDC主机可以做以前BDC 的PDC） 2、没有NT4.0DC,PDC也是默认主机浏览器(网络邻居的浏览功能)负责跟踪网络上所有计算机名的计算机 3、紧急复制,以减少密码复制延迟所造成的问题。任何DC上的密码被修改后,其他DC尽快联系PDC 并修改 4、负责整个森林的同步时间(kerbers在允许用户访问网络资源之前,检查时间同步) 5、为防用户的密码被猜测，当密码错误次数达到预设值时，该账号将被锁定 （用户登录即使不是是找同一台DC 登录，PDC主机也可以记住他登录的次数） BadPasswordCount 每台DC各自记录用户错误尝试密码的次数； 密码输入正确后，BadPasswordCount置0； PDC累积各DC上该值总和，一旦超过预设值 PDC主机立即第一个锁住该账号； PDC主机把锁定信号复制到其他DC RID 主机 （每域一台） 作用 RID主机给域中的每个域控制器分配RID 块 当把对象从一个域控制器秱到另一个域控制器时，防止发生重复的对象 基础结构主机 （每域一台） 作用 同一时间内，一个域内只能有一台基础结构主机 更新对象和组成员的外部索引 不能和GC配置在一起(单域除外) 二、管理操作主机 1、操作主机默认位置： 图形化查找 RID、PDC、基础结构主机 域命名主机 架构主机 架构主机可以更改AD 的架构分区，架构分区存储在AD 中创建对象的规则。千万不要轻易更改， 因为对架构的更改是不可逆的。改了就不能在改回来 命令行查找 安装完成后就可以用很多AD 中实用的命令了 通过命令netdomqueryfsmo可以查看到AD 中各个主机的位置 如上：可以看到5个操作主机默认位置都是根DC 在安装完成上面那个后我们还可以通过命令dcdiag/v检测DC当前的功能 2、操作主机的转移和夺取 图形化只能转移，命令行可转移，可夺取 1、只有在域基础结构发生了重大改变时才要转移角色 2、没有数据的损失 3、转移角色的操作者必须拥有相应的权限 图形化转移 AD用户和计算机→连接到DC → 选定DC →操作主机→ 更改（PDC） 可以看到用图形化更改操作主机位置已经成功了 命令行转移 打开CMD→连接到DC→更改主机（域命名主机） 如上，在图形化和命令行下都实现了操作主机的转移 操作主机的夺取 1、只能用命令来夺取，图形化不能夺取 2、只有当当前主机角色失效时，才能执行夺取操作主角色 3、可能会丢失数据 4、夺取角色的操作者必须拥有相应的权限 打开CMD→连接到DC→夺取主机（PDC主机） 我们来检查下 为了保证操作主机少出故障 1、不要迚行频繁的角色传送 2、在降格一域控制器前，传送此域控制器保持的操作主机角色 3、将PDC仿真器分配给一个DC时，考虑与密码改变相关的网络通信量 4、周期性地检查角色保持者的最佳布置 5、将Schema主机和域命名主机分配到同一域控制器上 6、将GC和Infrastru