在Active Directory内有一些数据的维护与管理是由所谓的“操作主机(operations master)”来负责的,系统管理员必须彻底了解它们,才能充分地掌握与维持域的正常运作。
Active Directory内总共定义了五个操作主机角色(operations master roles ):
架构主机(schema master )
域命名主机(domain naming master )
RID 主机(relative identifier master )
PDC 模拟主机(PDC emulator master )
基础结构主机(infrastructure master )
架构主机
扮演“架构主机”角色的域控制器,负责更新与修改Schema 内的对象与属性数据。只有schema Adminis 组内的成员,才有权利修改Schema 内的数据。同一个时间内,整个林中只能有一台“架构主机”
如果“架构主机”出现故障或离线,可能会影响某些软件的运作。例如某些服务器级的软件在安装时.会在schema 内添加对象,如果“架构主机”出现故障或离线,将无法安装这些软件。
域命名主机
扮演“域命名主机”角色的域控制器,负责管理林内域的添加与删除工作。同一个时间内,整个林中只能有一台“域命名主机”。
如果“域命名主机”出现故障或离线,将无法在林内添加或删除域。
说明:
如果“林功能”级别为“windows 2000”,请将“域名主机”与“全局编录”设为同一台域控制器;如果“林功能”级别为windows server 2003,“域命名主机”与“全局编录”可以不设在一台机器上。
RID主机
同一个时间内,每一个域内只能有一台域控制器扮演“RID 主机”的角色。“RID 主机所负责的工作有:
发放RID “RID主机”负责发放RID ( relative ID )给其域内的所有域控制器。RID 有何用途呢?当域控制器内添加了一个用户、组或计算机对象时,域控制器必须指派一个唯一的安全识别码(SID )给这个对象,此对象的SID 是由域的SID 与RID 所组成的,也就是说“对象的SID =域的SID 十RID ”,而RID 并不是由每一台域控制器自己产生的,它是由“RID 操作主机”来统一发放给其域内的所有域控制器的。如果每一台域控制器各自产生RID ,可能出现不同的域控制器产生相同的RID ,这将导致对象SID 冲突的情况发生。
每一台域控制器需要RID 时,它会向“RID 主机”索取一些RID ,用完后再向“RID 操作主机”索取。
移动对象 无论目前所连接的域控制器是哪台,当要将某个对象传送到另外一个域时,系统会移动位于“RID 主机”内的对象,然后通知其他域控制器该对象已被转移。这种做法可以避免位于不同域控制器的同一个对象,被重复传送到不同域的情况发生。
提示:
可以利用Movetree.exe 在不同域之间移动对象,此程序位于Windows Server 2003 安装光盘内/SUPPORT/TOOLS/SUPTOOLS.MSI 内。
如果“RID 主机”出现故障或离线,可能无法添加对象,也无法将对象转移到其他域。
PDC模拟主机
同一个时间内,每一个域内只能有一台域控制器扮演“PDC 模拟主机”的角色。“PDC 模拟主机”所负责的工作有:
支持旧客户端计算机 用户在域内的旧客户端计算机(例如Windows NT )上改变密码时,这个密码数据是会被更新在PDC 上,而Active Directory 可以通过“PDC模拟主机”来支持这个功能。
另外如果域内有Windows NT 的BDC ( backup domain controller ) ,也需要“PDC模拟主机”来扮演windows NT 的PDC 。
减少因为密码复制延迟所造成的问题 当用户的密码改变后,需要一段时间这个密码才会被复制到其他所有的域控制器,如果在这个密码还没有被复制到其他所有的域控制器之前,用户利用新的密码登录,则可能会因为负责检查用户密码的域控制器内还没有用户的新密码数据,而无法成功登录。
系统采用以下的方法来减少这个问题发生的机率。当用户的密码改变后,这个密码会优先被复制到“PDC 模拟主机”,而其他域控制器仍然是依照一般程序,也就是等一段时间后才会收到这个最新的密码。当用户登录时,负责验证用户身份的域控制器发现密码不对时,此台域控制器会将验证身份的工作转送给“PDC 模拟主机”,让用户可以登录成功。
负责整个域时间的同步 Windows Server 2003 域要求所有的计算机都必须要有正确的时间,否则会影响到验证用户身份的工作,造成用户无法登录的后果。“PDC 模拟主机”负责整个域内所有计算机的时间同步工作。Windows Server 2003 域的时间同步程序可参考下图,图中林根域abc.com 内的“PDC 模拟主机”DCI 扮演着非常重要的角色。
・图中所有其他域的“PDC 模拟主机”的计算机时间都会自动与林根域abc.com 内的“PDC 模拟主机”同步,例如图中的DC2、DC4 、DC5、DC6 会与DC1同步。
・各域的其他域控制器都会自动与该域的“PDC 模拟主机”时间同步,例如DC3 会与DC2同步。
・域内的成员计算机会与验证其身份的域控制器同步,例如图中的Windows XP Professional 计算机会与DC3 同步。
基础结构主机
同一个时间内,每一个域内只能有一台域控制器扮演“基础结构主机”的角色。
如果域内有对象参考到其他域的对象时,“基础结构主机”会负责更新这些参考对象的数据,例如本域内有一个组的成员包含另外一个域的用户账户,则当这个用户账户有变动时(例如被删除或转移), “基础结构主机”就负责更新这个组的内容,并将其复制到同一个域内的其他域控制器。
“基础结构主机”是通过“全局编录”来得到这些参考数据的最新版本,因为“全局编录”会收到由每一个域所复制来的最新变动资料。
如果整个林中只有一个域,则“基础结构主机”就没有作用了,因为没有其他域的对象可供参考。
占用操作主机角色的实例
如果扮演操作主机角色的域控制器出现故障或者网络有问题时,您可能需要采用“占用(Seize ) ”操作主机角色的方法,来将操作主机的角色强迫传送到另外一台域控制器。
注意:只要能利用安全传送的方法,就不要用“占用”的方法。
操作主机故障所造成的影响
某些操作主机出现故障时,短时间内就能对网络造成明显的影响,但有的却不会,一般来说,只有在原操作主机永远无法再提供服务时,才需要执行占用的步骤。
“架构主机”发生故障时
“架构主机”暂时无法提供服务,对网络用户并没有影响,而对系统管理员来说,除非他们要安装一个将修改Schema 的软件,否则也不会察觉到“架构主机”已经故障,所以暂时可以不执行占用的步骤。
如果“架构主机”发生故障的时间太久,则应该占用操作主机角色,改由另外一合域控制器来扮演。由于占用是非正常的手段,因此请先确定“架构主机”是否永久故障,再执行占用的步骤。
注意:
一旦“架构主机”角色被占用后,请永远不要将原来扮演“架构主机”角色的域控制器再连接到网络上。建议将这台域控制器的硬盘格式化。
“域命名主机”发生故障时
“域命名主机”暂时无法提供服务,对网络用户并没有影响,而对系统管理员来说,除非他们要添加或删除域,否则也不会察觉到“域命名主机”己经发生故障,所以暂时可以不执行占用的步骤。
如果“域命名主机”发生故障的时间太久,则应该占用操作主机角色,改由另外一台域控制器来扮演。由于占用是非正常的手段,因此请确定“域命名主机”是水久性的故障后,再执行占用的步骤。
注意:
一旦“域命名主机”角色被占用后,请永远不要将原来扮演“域命名主机”角色的域控制器再连接到网络上。建议将这台域控制器的硬盘格式化。
“RID 主机”故障时
“RID主机”暂时无法提供服务,对网络用户并没有影响,而对系统管理员来说,除非他们要在域内添加对象,或先前所索取的RID 己经用完,否则也不会察觉到“RID主机”己经故障,所以暂时可以不执行占用的步骤。
如果“RID主机”发生故障的时间太久,则应该占用操作主机角色,改由另外一台域控制器来扮演。由于占用是非正常的手段,因此请确定“RID 主机”是永久性的故障,再执行占用的步骤。
注意:
一旦“RID主机”角色被占用后,请永远不要将原来扮演“RID主机”角色的域控制器再连接到网络上。建议将这台域控制器的硬盘格式化。
“PDC 模拟主机”发生故障时
当“PDC 模拟主机”无法提供服务时,网络用户会很快地察觉到,例如计算机时间无法同步、密码更新的延迟时间会拉长、旧客户端无法改变密码等,因此您需要立刻执行占用的步骤。
“PDC 模拟主机”的角色被占用后,原来扮演“PDC 模拟主机”的域控制器正常后,还是可以连接到网络上,在与新的操作主机复制Active Directory 后,察觉到角色已经被占用,并自动放弃“PDC 模拟主机”的角色,不过还是可以将角色再传送回原来的域控制器。
“基础结构主机”发生故障时
“基础结构主机”暂时无法提供服务,对网络用户并没有影响,而对系统管理员来说,除非最近转移大量账户或改变大量账户的名称,否则也不会察觉到“基础结构主机”已经发生故障,所以暂时可以不执行占用的步骤。
如果“基础结构主机”发生故障的时间太久,则应该占用操作主机角色,改由另外一台未启用“全局编录”功能的域控制器来扮演。
“基础结构主机”的角色被占用后,原来扮演“基础结构主机”的域控制器正常后,还可以连接到网络上,在与新的操作主机复制Active Directory 后,察觉到角色已经被占用,并自动放弃“基础结构主机”角色,不过还是可以将角色再传送回原来的域控制器。