[原创]windows server 2012 AD架构试验系列 – 12 配置操作主机

ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除ADDS数据库中出现冲突的项目的可能性。RODC无法扮演任何焦色,以后我会来讲这个RODC.

在每个林中，至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中，林范围的操作主机角色必须只出现一次。在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。

1操作主机介绍

ADDS中的五个操作主机角色分别是：架构主机、域命名主机、RID主机、PDC仿真器、基础结构主机。

架构主机和域命名主机是每林角色，即每个林只有一台架构主机和一台域命名主机。其余3个角色是每域角色，林中的每个域只有3种中的一种操作主机角色。当在林中安装ADDS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。

下面介绍分别介绍5个操作主机的作用：

架构主机(林级别 Schema Admins)

宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构主机。

域命名主机 (林级别 Enterprise Admins)

域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，域命名主机是唯一的，只能有一个域命名主机。

RID主机 (域级别 Domain Admins)

RID主机将相对标识符(RID)分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何域控制器上的RID池中的可用RID的数量较少时(小于100)，就会从RID主机请求一些RID。每次收到这样的请求，RID主机都会向域控制器再颁发大约500个RID的RID池。

PDC仿真器(域级别 Domain Admins)

PDC仿真器负责执行很多与域有关的关键功能，主要有：为Windows2000提供支持 (支持旧client)、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。

基础结构主机(域级别 Domain Admins)

基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用，域之间的组-用户引用就会过时。

2试验操作

试验环境嘛  就是我们上一节的环境

DC1 PDC, DC3,DC5 BDC

在命令提示符中输入：netdom query fsmo查询操作主机宿主的域控制器

在DC3 打开AD用户与计算机,选择操作主机, 可以更改RID,PDC,基础结构主机

可以看出这里可以操作域范围内的角色

接下来修改域名主机

打开AD域和信任关系

最后一个架构主机的更改:

首先我们是找不到这个AD架构管理工具的,我们需要run下这个命令: regsvr32 schmmgmt.dll

打开MMC,添加AD架构,里面察看操作主机,里面可以看到架构主机是谁了.

3使用命令来修改操作主机

下面介绍使用ntdsutil命令进行转移，将操作主机从DC3转移回DC1。使用命令方式进行转移相对方便一些。

1.打开命令提示符，输入：ntdsutil，进入ntdsutil提示符后，输入：roles。如果需要查到命令作用及用法可以输入：？，获取帮助信息。

2.这时需要连接到转移操作主机的目标域控制器，这里我们需要连接到DC1。输入：connections，然后输入：connect to server dc1。

连接成功后输入：quit退回到  fsmomaintenance:

3.这时就可以进行操作主机的转移了。分别使用下面5个命令转移相应的操作主机：

Transfer naming master转移域命名主机

Transfer infrastructure master转移基础结构主机

Transfer PDC转移PDC主机

Transfer RID master转移RID主机

Transfer schema ?master转移架构主机

还有5个命令是强制将操作主机转移到指定域控制器。一般只有在操作主机离线或者故障无法启动时才使用，操作方法相同。

Seizedomainnamingmaster /Seizeinfrastructuremaster/SeizePDC/SeizeRIDmaster/Seizeschemamaster

总结：本文介绍了操作主机的作用及转移方法。操作主机在ADDS中分别承担不同作用，了解操作主机的作用，在日常的故障排错能起到一定的作用。以及当宿主操作主机的DC故障时，怎么将操作主机转移到新的域控制器。

附注:

若架构主机关机的话,对用户是察觉不到的,但对管理员来说,如果要安装exchange 的话,会有直接影响.

若域名主机关机的话,用户是察觉不到的,但对管理员来说,添加或者删除域就有问题.

若RID主机关机的话,对网络用户是没影响的,但对管理员来说,若创建新的对象时候,同时DC之前所索取的RID已用完,则会对创建新的对象有影响

若PDC模拟操作主机关机的话,用户可能会很快察觉到,如旧的client将因无法与PDC操作主机通信而不能更改密码等.

若基础架构操作主机关机的话,若是单域没有什么影响,但多域的情况下,对管理员大量迁移用户或者修改大量帐户名称时有很大的影响.

切忌一点:微软建议永远不要把原来扮演这些操作主机角色的DC再连入网上(架构主机,域名主机,RID主机),微软建议格式化硬盘.

  本文转自 博客，原文bilinyee链接：  http://blog.51cto.com/ericfu/1625304      如需转载请自行联系原作者