域控制器之操作主机中应注意的一些常见问题
• 为什么在创建大量安全主体对象时R I D控制器必须是有效的?
当域控制器创建一个安全主体对象时,它赋予该对象一个唯一的Windows NT安全标识符
(S I D)。S I D由两部分组成,一部分是域S I D,它对该域中所有的S I D都是相同的;另一部分是相对标识符( R I D),该域中每个S I D都有一个不同的R I D。
域中的每个域控制器上都有一个R I D存储池,该池用来为它创建的安全主体对象分配R I D。
另外,每个域也都有一个R I D池,该池的R I D从不分配给域控制器。当一个域控制器的R I D池中的R I D数目小于某一阈值时,该域控制器在后台向域的R I D控制器申请额外的R I D,R I D控制器从域的R I D池中移出部分R I D,并将其分配给提出申请的域控制器。
• 为什么一个跨域对象的移动必须从R I D控制器上开始?
在活动目录中,用户可以把对象从一个域移动到另一个域里,但只能从一个域的R I D控制器
上将某个对象移出该域。这样做可防止活动目录在不同的域里创建两个具有相同标识符的对象
(如果一个对象被同时从两个域控制器移至两个不同的域,就会发生上述情况)。
• 为什么结构控制器一定不能是全局目录服务器?
当域控制器上的一个对象访问另一个不在该域控制器上的对象时,它用一个记录来表示这
种访问,该记录包括G U I D、S I D(为了访问一个安全主体)和被访问对象的区别名。如果移动被访问的对象,那么它的G U I D不变;如果移动是跨域的,那么它的S I D会发生改变;不管怎样,它的区别名总会发生改变。
一个域的结构控制器定期在它的目录数据副本中检查对不在该域控制器上的对象的访问。
它查询全局目录服务器以获得每个被访问对象的区别名和S I D的当前信息。若这些信息发生变化,则结构控制器在自己的本地副本中进行改变,并把新值复制给该域的其他域控制器。
如果在一个全局目录服务器上运行结构控制器,那么它将永远无法更新,因为它不包含任
何对不在它上面的对象的访问。这是由于在全局服务器上对森林里的每个对象都有一个部分拷
贝。
• 为什么域名控制器必须同时是全局目录服务器?
当域名控制器创建一个代表某个新域的对象时,它必须确保没有与其他对象(域对象或其
他的)的名称与之相同。域名控制器通过在一个全局目录服务器上运行来保证这一点,因为全
局目录服务器上对该森林里的每个对象都有一个部分拷贝。
• 在一个混合模式的域中进行角色设置有什么需要特别注意的问题?
在一个包含备份域控制器的混合模式域中,备用域操作控制器应该与主域控制器仿真器在
同一个节点内,这样系统可以在把P D C仿真器角色剥夺给备用域操作控制器时,避免执行与备份域控制器的完全同步。
• 如果一个角色转换过程没有正常完成,用户该怎么办?
当一个角色转换过程开始时,它在更新新的角色拥有者之前会先更新当前的角色拥有者。
如果想得到角色的域控制器在更新之前发生故障,那么它就不能担任该角色。使用下列方法,
可以使期望的新角色拥有者获得角色:
本文转自devilangel 51CTO博客,原文链接:http://blog.51cto.com/devliangel/150450,如需转载请自行联系原作者