操作主机相关配置详解
-----冯刚
实验拓朴:
实验环境描述:
Michael公司组建了一个单域,域名为“michael.com.cn”,有两台DC。此域的第一台DC的硬件比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都要第一台DC上,如何将之转移到第二台DC 上呢?已知两台域控制器的计算机分别为DC1和DC2。
实验目标:
5个操作主机角色全部由第一台DC 转移到第二台DC上面去。
实验配置前相关知识简介:
1. 操作主机角色简述。
1)在每个林中只有5种操作主机,且这些操作主机角色可以指派给一个或多个域控制器。
2)在林范围内的操作主机角色有架构主机和域命名主机(在根域上),在每个林中这些角色都必须是唯一的。
3)在域范围内的操作主机角色有主域控制器仿真主机(PDC Emulator).相对ID(RID)。基础结构主机。在每个域中这些主机角色必须都是唯一的。
2. 架构主机(Schema Master).
作用:架构主机控制整个林的架构的全部更新。要整个林中,只能有一个架构主机。
显示:架构主机管理工具不是默认安装的。安装完DC后,是看不见的,如下图所示:
如何安装架构主机管理工具呢?如下图所示:
注册架构管理工具。
注册成功后安装。
保存架构主机管理工具。
3. 域命名主机(Domain Naming Master)
作用:域命名主机控制林中域的添加或删除。可以防止林中域名重复,在整个林中只能有一个域命名主机。
提示:任何运行windows server 2003的域控制器都可以担当域命名主机这一角色,如果运行Windows 2000 server 的域控制器担当域命名角色,则必须启用为全局编录服务器。
查看域命名主机的方法是:如下图所示。
4. PDC仿真主机(PDC Emulator Master)
定义:PDC仿真主机作为混合模式域中的windows NT PDC (主域控制器)。林中的每个域中只能有一个PDC仿真主机。
作用:1)管理来自客户端(windows NI/95/98)的密码更改。
2) 最小化密码变化的复制等待时间。(PDC仿真主机接受其他域控制器执行的密码更改的首选复制。如果密码最近被更改,则就要花费一定时间将此次更改复制到域中的每个域控制器,如要登录身份由于密码错误而在另一个域控制器中执行失败,则此域控制器将在拒绝登录尝试前将身份验证请求转发给PDC模拟器。)
3)在默认情况下,PDC仿真主机还负责同步整个域内所有域控制器上的时间。
显示方法:
5. RID主机(RID Master)
定义:RID主机将相对ID(RID)序列分配给域中第个域控制器.林中的每个域中只能有一个RID主机.
作用:每次当域控制器创建用户,组或计算机对象时,它就给此对象指派一个唯一的安全ID(SID),SID包含一个”域”SID(它和域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的).
查看:如下图所示.
6.基础结构主机(Infrastructure Master)
定义:基础结构主机负责更新从它所在的域中的对象到其它域中对象的引用.每个域中只能有一个基础结构主机.
原理:基础结构主机将其数据和全局编录的数据进行比较.全局编录通过复制操作接收所有域中对象的定期更新,从而使全局编录的数据始终保持最新.如果基础结构主机发现数据已过时,则它会从全局编录请求更新的数据.然后.基础结构主机再将这些更新的数据复制到域中的其它域控制器.
要点:
1).除非域中只有一个域控制器.否则不要将基础结构主机角色和全局编录放在同一个域控制器.如果它们俩个处于同一个域控制器中,则基础结构主机将不会运行.基础结构从不查看过时的数据,也从不将任何更新复制到域中其它域控制器.
2).如果域中的所有域控制器都存在有全局编录.则所有域控制器都将拥有最新数据.因而无论哪个域控制器负责承担基础结构角色均不重要.
3).基础结构主机还负责在重命名或更改组成员时更新”组到用户”的引用.
查看:
7.备份域控制器(BDC),也就是辅肋域控制器.(DC2为BDC)
条件:1)必须在完成主域控制器之后才能创建.
2)被提升为辅助域控制器的计算机可以是主域中的成员也可以是一个独立计算机.但是,操作是必须要有管理员帐户登录.
作用;对主域控器起备份和辅助的作用.
实验步骤:
1. 安装主域控制器 “michael.com.cn”(详解略)
2. 安装BDC(辅助域控制器.)
配置IP:
配置BDC
注意: 图形界面中的黄色警告信息:非域控制器有一个本地的SAM帐号和数据库,而域控制器有一个活动目录数据库NTDS.DIT.向导程序会在提升成功后删除本地的SAM帐号和数据库.
提示: 将所有的Windows server 2003都设置成域控制器,是不是很好呢? 答案:不是.让一台成员服务器提升为域控制器会占用大量的CPU 处理能力和内存资源.过多的域控制器会增强局域网内的通信量.
注意:
1) AD数据库文件应存放在NTFS格式的分区中,以获得更好的性能.
2) 将事务日志放在和数据库文件不同的物理硬盘上.这意味着系统可以对AD数据库日志文件同步更新.从而提高系统的性能.
注意;
在企业环境中部署Windows 2003 AD的时侯,强烈建议同是新建辅助域控制器,一旦系统出现故障.不影响网络用户登录和身分验证.
配置DNS (由于我们主域控制器和DNS安装在了同一台计算机上,所以我们也要在BDC上面安装DNS)如下所示:
注意:如果服务器的性能强劲,DNS可以和域控制器安装在同一台计算机上,建议DNS不要和域控制器安装在同一台计算机上。
3.转移操作主机。
方法1:图形界面下转换操作主机。
1)转换RID主机为例,PDC。基础结构主机同法)
DC1:
先要在主域控制器上能通BDC那么计算机。
以上图示表明转换成。
注意: 操作主机转移到BDC上面去之后,也可以再转回来,转移主机角色是可逆的。
从BDC转回主域控制器时,先在BDC上面连接到主域控制器,之后才行,如下所示:
2)域命名主机角色转移
注意:
所有执行此程的帖号必须是AD中Domain Admins (指定的域管理员)J或Enterprise Admins(企业指定系统管理员)组成员。或者必须委派适当的权限,
5种操作主机角色都是可逆的,下面以域命名主机角色为例说明:如下图
成功。
注意:
所有执行此程的帖号必须是AD中Domain Admins (指定的域管理员)J或Enterprise Admins(企业指定系统管理员)组成员。或者必须委派适当的权限,
3.架构主机角色转移。
成功。
注意:
执行此过程的帐号必须是AD中scheme Admins组(架构指定系统管理体员)的成员,或者被委派适当的权限。
要想在控制台中添加AD架构管理单元,要运行“regsvr32 shmmgmt.dll”注册此管理单元。
方法2:以RID为例介绍一下在命令行下进行操作主机角色转移。
查看结果。
成功。
注意:
如果要转移其他主机角色,可以在”fsmo maintenance”命令提示符下。输入有关转移的命令,如下表所示:
表-1 转移主机角色的命令
命令 |
意义 |
Transfer PDC |
转移PDC仿真主机 |
Transfer RID master |
转移RID主机 |
Transfer infrastructure master |
转移基础结构主机 |
Transfer domian naming master |
转移域命名主机 |
Transfer schema master |
转移架构主机 |
总结以上结果:
1) 在转移主机角色的过程中,相关DC要始终保持联机,没有数据损失。
2) 在转移过程中要注意执行者是否有权限。
4.占用操作主机角色。
知识简介:以上介绍的转移操作主机角色的前提条件是操作主机联机,如果操作主机角色所在的域控制器出了故障,且无法恢复,这是就不能通过转移的方法产生出新的操作主机角色,那么通过什么方法才能完成呢?下面介绍占用操作主机角色的方法(有时也称之为强制传送)
环境介绍: 目前5台操作主机角色都在DC1 “michael.com.cn”上面,且DC1上面的网卡出现地故障,并无法恢复,此计算机也不能联网了,DC2也就联系不上操作主机了,如下图所示:,
现在如何让DC1向面的操作主机角色转移到DC2上面去。方法如下所示:
只能用命令行下进行占用:以PDC主机角色为例。
DC2上面配置:
查看结果:
注意: 如果要转移其它主机角色,可以在fsmo maintenance 命令提示符下输入以下所示命令:
命令 |
意义 |
Seize PDC |
占用PDC仿真主机 |
Seize RID master |
占用RID主机 |
Seize infrastructure master |
占用基础结构主机 |
Seize domain naming master |
占用域命名主机 |
Seize schema master |
占用架构主机。 |
总结以上结果,可以看出:
1) 由于操作主机角色所在的DC1出故障,因此占用操作主机角色可能会有数据损失。
2) 在占用主机角色过程中要注意执行者是否有权限。
5,转移全局编录,(主域控制器-----BDC域控制器)。
原因:如果基础结构主机和全局编录处于相同域控制器中,则基础结构主机不会行。因此,要转移。方法如下:
BDC上面全局编录选项打勾:
DC1上面去掉勾.
测试结果:
DC2:
成功.