第10章 操作主机的管理

第十章操作主机的管理单主模式与多主模式单主模式只能对其中某一节点进行修改其他节点都以该节点为准进行复制多主模式可以对任一节点修改复制机制冲突解决机制概述操作主机（操作主控）是执行Windows2008活动目录服务中一个指定角色的控制器，可以控制一组特定的目录变化。只有拥有相应的角色的域控制器才能进行相关的目录改变。为什么要有操作主机在WindowsNT域中PDCBDC从Windows2000域开始DC操作主机*2000beta版叫FSMO（FlexiblesingleMasterOperations）操作主机类型森林级别架构操作主机域命名操作主机域级别RID操作主机PDC模拟操作主机基础结构操作主机操作主机的默认位置第一个域控制器成为林的GC域范围角色RID主控PDC模拟器基础结构主机目录林范围角色架构主机域名命主机域范围角色RID主机PDC模拟器基础结构主机架构主机控制活动目录中所有的对象、属性的定义必须schemaadmin组用户才有权限操作regsvr32schmmgmt.dll8域命名主机控制林内域的增加与删除建议与GC放在一起只有EnterpriseAdmin权限才能够操作新域域命名主机9RID操作主机统一分发RID块防止对象冲突RID主控移动RID分发对象SID=域SID+RIDBlockofRIDs10SID=域安全标识符+相对标识符如：S-1-54329587282-45832……PDC模拟主机模拟WindowsNT的PDC默认域的主浏览器默认域内权威的时间服务源统一管理域账号密码的更新、验证与锁定不仅仅是模拟WindowsNT的PDC负载较大，建议单独放置12PDC模拟主机—域账号锁定防止用户密码被猜测，当错误数到达一定值时，账号将锁定每台DC各自记录用户密码尝试的错误次数PDC累计各DC上该值的总和，一旦超过预设值，PDC主机立即锁定账号，并将锁定信号复制到其他DC。基础结构操作主机移动全局组被嵌套在域本地组基础结构主机负责对跨域对象引用进行更新不能和GC放在一起故障影响：不能识别域外账号，只标记为SID15管理操作主机角色创建域时，Win2008将自动配置所有的操作主机角色确定一个操作主机角色的保持者传送一个操作主机角色夺取一个操作主机角色如何查找谁拥有相应的操作主机角色使用ActiveDirectory用户和计算机RID主控PDC模拟器基础结构主机使用ActiveDirectory域和信任域名命主控使用ActiveDirectory架构控制台Regsvr32schmmgmt.dll架构主控使用命令行：netdomqueryfsmo操作主机放置优化默认情况下：林级别主机在根域第一台DC上域级别主机在本域第一台DC上问题：与GC冲突性能考虑手工放置建议基础结构主机不跟GC放一起域命名主机和GC放在一起PDC模拟主机建议单独放置，不要有大应用架构主机和域命名主机放在一起（*林级别、修改少，负荷小，需要权限高）操作主机转移自动隐式转移相同站点的DC---RPC链接的DC----SMTP异步传输服务器手工转移平滑转移，操作可逆抓取，操作不可逆会自动尝试平滑转移能转移尽量不要抓取能还原尽量不要抓取转移操作主机转移图形化界面命令行：ntdsutil抓取：Ntdsutilntdsutil----roles----connection------？操作主机故障——架构主机影响更新schema受到影响短期内一般看不到典型问题：无法安装Exchange处理确定原操作主机永久性脱机才可以抓取确保目标DC为最新更新的DC操作主机故障——域命名主机影响更改域结构受到影响。短期内一般看不到影响典型问题：添加/删除域、新建/删除信任关系处理确定原操作主机永久性脱机才可抓取确保目标DC为最新更新的DC操作主机故障——RID主机影响无法获得新的RID池分配典型问题：无法新建大量用户账户处理确定原操作主机永久性脱机方可抓取确保目标DC是最新更新的DC操作主机故障——PDC模拟主机影响Pre-2000客户不能访问AD不能修改账号密码浏览服务问题时间同步问