活动目录操作主机角色(笔记)

 森林级别

架构主机（Schema Master）

功能：控制活动目录内所有对象/属性的定义

提示：Regsvr32 schmmgmt.dll

      Schema Admins组

故障影响：更新Schema受影响

  短期内一般看不到影响

      典型问题如：无法安装Exchange

故障处理：需确定原OM为永久性脱机才可抓取

      确保目标DC为具有最新更新的DC

域命名主机（Domain Naming Master）

         功能：控制森林内域的添加和删除

                     添加和删除对外部目录的交叉引用对象

         提示：建议与GC配置在一起

                     Enterprise Admins组

         故障影响：更改域结构受影响

                     短期内一般看不到影响

                     典型问题如：添加/删除域

         故障处理：需确定原OM为永久性脱机才可抓取

                     确保目标DC为具有最新更新的DC

域级别

RID主机（RID Master）

         功能：管理域中对象相对标识符（RID）池

         提示：对象安全标识符（SID）= 域安全标识符 + 相对标识符（RID）

                     * 形如：S-1-5-21-1343024091-879983540-3…

         故障影响：无法获得新的RID池分配

                     典型问题如：无法新建（大量）用户帐号

         故障处理：需确定原OM为永久性脱机才可抓取

                     确保目标DC为具有最新更新的DC

PDC模拟主机（PDC Emulator）

         功能：模拟Windows NT PDC

                     默认的域主浏览器

                     默认的域内权威的时间服务源

                     统一管理域帐号密码更新、验证及锁定

         提示：PDC模拟主机不仅仅是模拟NT PDC

                     一般负荷较大

         故障影响：底端客户不能访问AD

                     不能更改域帐号密码

                     浏览服务问题

                     时间同步问题

         故障处理：需要比较及时地恢复

                     可以临时抓取到其他DC

                     在原OM恢复后可以抓取回去

基础结构主机（Infrastructure Master）

         功能：负责对跨域对象引用进行更新

         提示：单域情况下基础结构主机不需要工作

                     不能同时和GC配置在一起（单域除外）

         故障影响：外域帐号不能识别，标记为SID

         故障处理：需要比较及时地恢复

                     可以临时抓取到其他DC

                     在原OM恢复后可以抓取回去

 

查看操作主机角色

         命令行工具：Ntdsutil Netdom Dcdiag

 

操作主机的放置

默认情况：架构主机在根域的第一台DC上

                     域命名主机在根域的第一台DC上

                     其他三个主机角色在各自域的第一台DC上

考虑问题：和GC的冲突

                     性能考虑

手工优化：基础结构主机与GC不放在一起

                     域命名主机与GC放在一起

                     架构主机与域命名主机可放在一起

                     PDC模拟主机建议单独放置

 

操作主机的转移

转移（Transfer）

         把OM角色平滑地传递给另一台DC

         操作可逆

抓取（Seize）

         把OM角色强制地赋予另一台DC

         操作不可逆

         抓取命令会自动先尝试转移

命令行：Ntdsutil

 

典型场景

场景：单域中的两台DC：DC1（第一台DC）和DC2

           其中DC1损坏，强行移除

           现欲让DC2 正常工作

处理：确保DC2上DNS已完好建立

           清理DC1 留下的残留数据

           http://support.microsoft.com/?id=216498

      抓取操作主机角色到DC2

           http://support.microsoft.com/?id=255504