在 Acitive Directory中大部分数据时采用”多主模式”进行复制,域内的属于每个域控制器中的ActiveDirectory内容均可以发生变化,并且可复制到其他的域控制器中,域内的DC在地位上是平等的,但是在平时任务承担的过程中确实不一样的哦!
下面我们就来谈谈操作主机这几个角色!
首先我先说一下今天的实验部署:如图:
在weipengfei.net 这个域环境中,Perth 作 DC Server DNS Server ip 为 192.168.18.1 Istanbul 作额外的DC Server ip 为192.168.18.2 两台机器都安装 windows Server 2003 的 企业版的操作系统!
在介绍weipengfei.net域中DC所扮演的角色时,我们先谈谈几个角色的功能吧!
Active Directory 中一共有了五个操作主机角色,(operations master roles)
Ø 架构主机
Ø 域命名主机
Ø PDC主机
Ø RID 主机
Ø 结构主机
在整个域林中同一时间内只能有一台“架构主机”和“域命名主机”,每个域中同一时间内只能有一台“RID主机”、“PDC主机”和“结构主机”
1、 架构主机
架构主机负责更新和修改架构(比如添加一些对象或者是一些属性),假如在安装 LCS (live communications Server) 或者是 exchange 时,架构主机离线的话,就无法安装这些软件!
2、域命名主机
域命名主机负责管理域林中内的名称空间,可以防止域名重复如果“域命名主机”离线,无法完成林中添加或是删除域的工作!
3、PDC主机
PDC主机主要有以下几个优点:
⑴、兼容NT4
当NT4 客户端发生数据变化时,如更改密码这个最新的数据首先会被复制到PDC 主机上,否则的话,这个用户将不能登录!
⑵、优先称为主浏览器
在命令提示符下 输入 nbtstat –n 我们可以查看机器所扮演的服务器的角色。(此处的角色并不是操作主机的角色)
⑶、Active Directory 优先复制
Active Directory 优先复制 这种情况只是适用于AD的紧急事件,例如:在一个域里面有A 、B、C、D四台 域控制器,其中一个用户更改密码,当这个更新的数据传到A 这个域控制器但还没有复制B 这个DC时,由于用户登录是随机寻找一台DC 来验证,所以当用户在B 这个DC 上做验证时,则会造成用户登录失败!而PDC 主机正好可以解决这个问题,当B域控制器没有这个用户的数据时,B 域控制器会到PDC 主机上来查询这个用户的信息,以方便用户能够正常登录!
4、RID主机
计算机中的任何对象都有他们自己的SID(安全识别码),例如其中一个用户SID:
S-1-5-21-
1790971530-247190114-136752233-500 红色部分为固定值,绿色部分代表用户所在域或计算机,最后是用户在域或是计算机中的序列号。这个SID是由RID主机来分配。如果“RID主机”离线,可能无法添加对象!
5、结构主机
其实结构主机只是适用于单域的情况,当存在多个域的时候,user1 从A域调到B 域中,当user1 被删除的时候,结构主机会发出报警,并更新B域的信息!
现在我们对操作主机有了一定的了解!那么今天我们看看这个实验吧:
一、
查看操作主机角色
打开“开始”—“程序”—“管理工具”--“Active Directory用户和计算机” 右键 “weipengfei.net”单击“操作主机”
如图我们可以看到RID主机是由Perth.weipengfei.net 这台计算机扮演,同样我们可以看到PDC主机 和 结构主机 的扮演者都是Perth.weipengfei.net 来扮演!如图:
在“开始”—“程序”—“管理工具”—“Active Directory 域和信任关系”中 右键 “Active Directory域和信任关系”单击 “操作主机” 我们可以看到扮演域命名的主机
如图:
Perth.weipengfei.net 是域命名主机
对于架构主机,我们似乎可以在 “mmc”管理控制台来寻找,但是经过寻找后我们发现根本就没有类似“Active Directory 架构”的选项啊! 其实我们需要手动注册动态链接库!
在“开始”—“运行”中 输入“regsvr32 schmmgmt.dll”
如图我们已经添加成功
打开“MMC”管理控制台,在“文件”—“添加/删除管理单元”—“添加”,我们选择“Active Directory架构” 如图
如图右键“Active Directory架构”单击 “操作主机”,可以看到此时的结构主机是:Perth.weipengfei.net
二、 操作主机角色的转移
在利用“dcpromo”将DC降级为成员服务器或者是独立服务器时,其操作主机的角色会自动转移到其他域控制器上!再一种就是利用“MMC”管理控制台转移操作主机的角色!
今天我将在命令提示符下进行角色的转移!
我们将 Perth.weipengfei.net 的五个角色全部转移到 Istanbul.weipengfei.net 上!
我们在Istanbul.weipengfei.net 上做操作,在“开始”—“运行”中 输入“cmd”,在“命令提示符”中一次输入以下命令
Ntdsutil
-- 调用ntdsutil 这个工具
Roles
--对域中的操作主机进行操作
Connections --连接到服务器
Connect to Server –连接到即将继承角色的Server
Quit --退出上一级菜单
Transfer PDC ---将已经连接的服务器定为PDC
Transfer RID master --将已经连接的服务器定为 RID
Transfer schema master ---将已连接的服务器定为架构主机
Transfer domain naming master ---将以连接的服务器定为 域命名主机
Transfer infrastructure master --将已经连接的服务器定为结构主机
-----这么多的命令谁能记的住啊,嘿嘿
打个” ? “ 不就什么都出来了嘛!
如图:我们进行角色的转移:
我们选择“是”,下面是转移的过程
我们继续输入:“transfer RID master” –转移RID 角色!
如图我们选择“是”, 下面是 转移的过程:
同样的步骤,我们可以把 其他几个角色 全部转移到Istanbul.weipengfei.net
三、 再次查看操作主机的角色
在 “Active Directory 用户和计算机”中,右键“weipengfei.net”单击“操作主机” 如图我们可以看到:RID . PDC. 结构主机都已经是 Istanbul.weipengfei.net 这台机器,
在“Active Directory 域和信任关系”右键“Active Directory 域和信任关系” 单击“操作主机” 我们可以看到 域命名主机为 Istanbul.weipengfei.net 是域命名主机,如图:
架构主机同样是:Istanbul.weipengfei.net
在 “Active Directory 架构” 中
如图:
四、 占用角色
当安全转移操作主机角色的时候,扮演几个角色的域控制器必须全部在线,假如那个域控制器离线,那么安全转移角色将会是失败!因为现在 Istanbul.weipengfei.net扮演者全部的操作主机角色!现在我们来模拟 Istanbul.weipengfei.net 这台域控制器永远的坏掉!这种情况下 如何占用操作主机角色!(直接将Istanbul关机就可以啦!)
在Perth.weipengfei.net 上
“开始”—“运行”中 输入“cmd”
与上面不一样的就是 将 “transfer” – 全部替换为“seize”
表示进行强行占用!
如图:
我们选择“是”,在强行占用之前,Perth 会先尝试进行安全转移,如果失败的话,在进行强行占用!下面是占用的过程!
同样的方式,我们可以把其他几个角色全部“抢”过来,
下面是 占用“rid”主机过程:
下面占用的其他几个角色的过程我就不一一列举。。。。。。
当几个角色全部占用完成后我们可以好好休息一下啦!
其实做到这里我们已经,足可以能够应付现在的工作情况,但是由于,Istanbul突然的离线造成,其他域控制器(Perth)的Active Directory 并没有得到更新,kcc 进行复制拓扑计算时,还是会把
Istanbul 计算在内,可能造成复制拓扑的断路情况,又因为,用户作身份验证的时候,是随便找一台域控制器进行验证,可能造成用户验证失败!。。。。。。
既然有可能出现上面的情况,我们需要手动更新Perth 上的 Active Directory 上的内容!
在“开始”—“运行”—“cmd” 输入
Ntdsutl --- 调用ntdsutil 工具
Metadata cleanup ---清理不使用的服务器对象
Connections
Connect to Server
--连接到特定的服务器
Select operation target --- 选择站点、服务器、域、角色
List sites -- 列出站点
Select site %D 将%d 站点定为所选站点
List domains in site -- 列出当前站点中的域
Select domain %d ==将%d 域定为所选域
List Servers for domain in site 列出所选域和站点中的服务器
Select Server %d --将 %d服务器定为所选服务器
Quit --退到上一级菜单
Remove selected Server ---从所选的服务器上删除ds 对象!
命令我们大致了解后,现在我们就手动更新Active Directory吧!
我们选择”是”
图中已经提示:我们已经手动更新了”Istanbul中的Active Directory”
剩下的我们在 “Active Directory用户和计算机”删除”Perth”
选择”这台域控制器永远并且不再能用Active Directory 安装 向导将其降级”
这是警告信息,直接单击”是”
呀呀呀!由于一时疏忽,“DNS”被毁啦,幸好不是在生产环境下!!!!(其实应该模拟Istanbul这个DC的故障,)还是在Istanbul中建立一个吧,在”控制面板”—“添加删除程序”--“添加/删除组件”—“网络服务”中选择“域名系统(DNS)”进行安装,安装完成后,打开“管理工具”—“DNS”,右键正向区域,建立区域 “weipengfei.net”(与Active Directory中的域的域名必须相同),并支持动态更新,Istanbul
IP参数中的首选DNS 指向自己(192.168.18.2/127.0.0.1),重新启动“netlogon”服务即可!!!(切莫大意!)
转到”DNS”中,我们可以看到 “dns”中的SRV记录!
SRV记录中只有 Istanbul.weipengfei.net这个记录!
总结:五个操作主机的角色都非常重要,当某一个出现问题时,必须及时的去更正,此时就涉及到:操作主机角色的转移和占用,Active Directory 内容的更新,DNS中SRV记录!把握住这三点,基本上能够满足日常的生产环境!
本文转自 位鹏飞 51CTO博客,原文链接:http://blog.51cto.com/weipengfei/327543,如需转载请自行联系原作者