一、Fsmo五种操作主机及其作用

(一)概述
Active Directory 支持域中所有域控制器之间的目录数据存储的多和机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。
在每个林中,至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中,林范围的操作主机角色必须只出现一次。在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
操作主机角色有时称为 Flexible Single Master Operations (FSMO) 角色,他们分别为以下五种:
PDC模拟主机角色: PDC emulator
RID主机角色: RID pool master
域命名主机: Domain naming master
架构主机: Schema master
结构主机: Infrastructure master
(二)五种操作主机的作用
林范围内的操作主机角色
每个林必须具有以下角色:架构主机、域命名主机
在林中这些角色必须是唯一的。这意味着在整个林中,只能有一个架构主机和一个域命名主机。
架构主机
架构主机域控制器控制对架构的全部更新和修改。要更新林的架构,您必须拥有架构主机的访问权。在整个林中,只能有一个架构主机。
域命名主机
担当域命名主机角色的域控制器控制林中域的添加或删除。在整个林中只能有一个域命名主机。
注意
与设置成 Windows 2000 功能级别的林中的域命名主机不同,设置成 Windows Server 2003 功能级别的林中的域命名主机不要求作为全局编录来启用。
域范围内的操作主机角色,林中的每个域都必须有下列角色:
相对 ID (RID) 主机
主域控制器 (PDC) 仿真主机
结构主机
在每个域中这些角色都必须是唯一的。即林中的每个域都只能有一个相对 ID 主机、PDC 仿真主机以及结构主机。
RID主机
RID主机将系列相对ID(RID)分配给域中每个不同的域控制器。在任何时候,林中的每个域中只能有一个域控制器作为 RID主机。每次当域控制器创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID 包含一个“域”SID(它与域中创建的所有 SID 相同)和一个 RID(它对域中创建的每个 SID 是唯一的)。要在域之间移动对象(使用 Movetree.exe),必须由您启动在域控制器上的移动操作,而此域控制器必须是目前包含该对象的域的 RID主机。
PDC 仿真主机
如果此域包含在没有 Windows 2000 或 Windows XP Professional 客户端软件情况下运行的计算机,或者包含 Windows NT 备份域控制器 (BDC),则由PDC仿真主机担当Windows NT的主域控制器。它处理来自客户端的密码更改并将更新复制到 BDC。在任何时候,林中的每个域中只能有一个域控制器作为 PDC 仿真主机。在默认情况下,PDC 仿真主机还负责同步整个域内所有域控制器上的时间。域的 PDC 模拟器将其时钟设置为父域中任意域控制器上的时钟。父域中的 PDC 模拟器应配置为与外部时间源同步。您可以使用下列语法执行“net time”命令,同步 PDC 模拟器和外部服务器上的时间:
net time \\ServerName /setsntp:TimeSource
最终结果是整个林内所有运行 Windows Server 2003 或 Windows 2000 的计算机的时间相差都在几秒钟以内。PDC 模拟器接受域中其他域控制器执行的密码更改的首选复制。如果密码最近被更改,则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败,则该域控制器将在拒绝登录尝试前将验证请求转发给 PDC 模拟器。配置了 PDC 模拟器角色的域控制器支持两种身份验证协议:
Kerberos V5 协议
NTLM 协议
结构主机
在任何时候,每个域中只能有一个域控制器作为结构主机。结构主机负责更新从它所在的域中的对象到其他域中对象的引用。结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新,从而使全局编录的数据始终保持最新。如果结构主机发现数据过时,则它从全局编录申请更新的数据。结构主机然后将这些更新的数据复制到域中的其他域控制器。
要点
除非域中只有一个域控制器,否则不应将结构主机角色指派给维护全局编录的域控制器。如果结构主机和全局编录处于相同的域控制器中,则结构主机不会运行。结构主机从不查看过时的数据,也从不将任何更改复制到域中的其他域控制器。
如果域中的所有域控制器也都在承担全局编录,则所有域控制器都将拥有当前数据,并且无论哪个域控制器承担结构主机角色均不重要。
结构主机也负责在重新命名或更改组成员时更新“组到用户”的引用。当您重新命名或移动组成员(并且该成员常驻在与组不同的域中)时,则组中可能暂时不显示该成员。组所属的域的结构主机负责组的更新工作,所以它知道成员的新名称或位置。这样当重命名或删除用户帐户时,就可防止与该用户帐户关联的组成员身份的丢失。结构主机通过多主机复制的方法分发更新的内容。
在成员重命名和组更新期间,对安全性无危害。只有查看那个特定组成员身份的管理员才会注意到暂时的不一致性现象。
(三)FSMO的规划,在规划时,请大家按以下原则进行:
1. 占有Domain Naming Master角色的域控制器必须同时也是GC
2. 不能把Infrastructure Master和GC放在同一台DC上
3. 建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上
4. 建议将Schema Master和Domain Naming Master放在同一台域控制器上
5. 建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能好的域控制器上
6. 尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上
二、几个AD专用的控制台:
dsa.msc、domian.msc、dssite.msc、schmmgmt.msc、adsiedit.msc
RID,PDC,INF 三种角色在dsa.msc(AD用户和计算机控制台)中操作
Domain naming master 在domain.msc(AD域和信任关系控制台)中操作
Schema master 在schmmgmt.msc(AD架构管理单元控制台)中操作
三、关于schmmgmt.msc的安装
因为系统默认未安装此控制台,所以需手工安装,安装方法如下:
regsvr32 schmmgmt.dll
mmc /a
添加AD架构管理单元,并保存为c:\windows\system32\schmmgmt.msc
以后即可通过schmmgmt.msc调用此控制台.
四、几个重要的AD操作命令:
dnsmgmt.msc DNS管理单元
domain.msc AD域和信任控制台
dcpromo.exe AD安装向导,用于升级或降级域控制器
schmmgmt.msc AD架构管理单元
dsa.msc AD用户和计算机管理单元
dssite.msc AD站点和服务管理单元
adsiedit.msc Adsi编辑管理单元
eventvwr.msc 事件查看器管理单元
ldp.exe 用于查看存储于AD中的对象及其元数据。
net.exe 一套用于多种任务的命令,如管理用户帐户和计算机帐户、发送信息以及管理共享资源
nltest.exe 帮助得到域控制器列表,强制进行远程关机以及查询信任关系状态
netdom.exe 使管理员通过命令行能够管理 Windows 2000 和Windows Server 2003 域和信任关系
ntdsutil.exe 用于执行AD数据库维护,管理和控制单一主服务器操作,及删除没有正确卸载而从网络中删除的域控制器遗留下来的元数据
registe.exe 注册表编辑器
repadmin.exe 帮助管理员诊断域控制器间复制问题的命令行工具。
secedit.exe 通过将当前配置与至少一个安全模板相比较,配置并分析系统安全。
services.msc 服务管理单元
W32tm.exe 用于诊断关于 Windows 时间问题的工具
dcdiag.exe 此命令行工具分析在林或企业中的域控制器状态并报告任何有助于疑难解答的问题(support tools)
netdiag.exe 通过执行一系列测试帮助隔离网络和连通性问题,以确定网络客户端的状态(support tools)
Ultrasound 允许管理员监视文件复制服务 (FRS) 状况的工具(需下载安装)
五、FSMO角色维护管理
执行以下步骤
1. 打开命令提示符
2. 执行ntdsutil命令
3. 在 ntdsutil 命令提示符下,键入: roles
4. 在 fsmo maintenance 命令提示符下,键入: connections
5. 在 server connections 命令提示符下,键入:connect to server DomainController
6. 在 server connections 提示符下,键入:quit
(一) 占用(夺取)五种操作主机角色(无法使用图形界面进行此操作)
注意:如果可以转移主机角色,则不要占用它。占用 PDC 模拟器是激烈举措,只有在当前操作主机绝不再可用时方可考虑!
1. 占用(夺取)PDC 模拟器角色
在 fsmo maintenance 命令提示符下,键入:seize PDC
2. 占用(夺取)RID 主机角色
在 fsmo maintenance 命令提示符下,键入:seize RID master
3. 占用(夺取)域命名主机角色
在 fsmo maintenance 命令提示符下,键入:seize domain naming master
4. 占用架构主机角色
在 fsmo maintenance 命令提示符下,键入:seize schema master
5. 占用结构主机角色
在 fsmo maintenance 命令提示符下,键入:seize infrastructure master
(二) 转移操作主机角色
1. 转移 PDC 模拟器角色
在 fsmo maintenance 命令提示符下,键入:transfer PDC
2. 转移 RID 主机角色
在 fsmo maintenance 命令提示符下,键入:transfer RID master
3. 转移域命名主机角色
在 fsmo maintenance 命令提示符下,键入:transfer domain naming master
4. 转移架构主机角色
在 fsmo maintenance 命令提示符下,键入:transfer schema master
5. 转移结构主机角色
在 fsmo maintenance 命令提示符下,键入:transfer infrastructure master
六、Netdom的一些操作
语法
NetDom Operation [Computer] [{/d: | /domain:}Domain] [Options]
NetDom help Operation
Netdom add
Netdom computername
Netdom join
Netdom move
Netdom query
Netdom remove
Netdom movent4bdc
Netdom renamecomputer
Netdom reset
Netdom resetpwd
Netdom trust
Netdom virify
一些例子
1. Add an alternate name for a Windows Server 2003 domain controller
To give an alternate name for the domain controller DC in the example.com domain, use the following syntax:
netdom computername dc /add:altDC.example.com
A name must first exist as an alternate before it can be made the primary name of a computer.
2. Rename a domain controller in a Windows Server 2003 domain
To rename the domain controller DC to altDC in the example.com domain use the following syntax:
netdom computername dc /makeprimary:altdc.example.comTo rename a member server you must choose one of the existing alternate names for the computer and make it the new primary name.
3. Rename a Member Server
To rename the member server member to member1, type the following at the command prompt:
netdom renamecomputer member /newname:member1.example.com /userd:administrator
4. Join a Workstation or Member Server to a Domain
To join mywksta to the dev.example.com domain in the Dsys/workstations organizational unit, type the following at the command prompt:
Netdom join /d:dev.example.com mywksta /OU:OU=Dsys,OU=Workstations,DC=microsoft,DC=com
5. Besides adding the computer account to the domain, the workstation is modified to contain the appropriate shared secret to complete the join operation
To remove mywksta from the mydomain domain and make the workstation a part of a workgroup, type the following at the command prompt:
netdom remove /d:mydomain mywksta /ud:mydomain\admin /pd:password
To move mywksta from its current domain into the mydomain domain, type the following at the command prompt:
netdom move /d:mydomain mywksta /ud:mydomain\admin /pd:password
If the destination is a Windows 2000 domain, the Security ID history (SIDHistory) for the workstation is updated, retaining the security permissions that the computer account had previously.
6. Establish a One-Way Trust Relationship
When used with the trust operation, the /d: Domain parameter always refers to the trusted domain.To set the Windows NT 4.0 resource domain Chicago to trust the Windows NT 4.0 account domain Namerica, type the following at the command prompt:
netdom trust /d:Namerica Chicago /add /Ud:Namerica\admin /Pd:* /Uo: Chicago\admin /Po:*
Press Enter and the following prompt is displayed:
Password for Northamerica\admin:
Enter the password for Northamerica\admin and press Enter. The following prompt is displayed:
Password for USA-Chicago\admin:
Enter the password for USA-Chicago\admin and press Enter.The user must have credentials for both domains. The /pd parameter can be used to specify the password for Northamerica\admin and the /po parameter can be used to specify the password for USA-Chicago\admin. If passwords are not provided on the command line, the user is prompted for both.
If you then want to specify a two-way trust, type the following at the command prompt
netdom trust /d:marketing.example.com engineering.example.com /add /twoway /Uo:admin@engineering.example.com /Ud:admin@marketing.example.com:
7. Break a One-Way Trust Relationship
To undo the trust that USA-Chicago has for Northamerica, type the following at the command prompt:
netdom trust /d:Northamerica USA-Chicago /remove
8. To break a two-way trust relationship, type the following at the command prompt:
netdom trust /d:marketing.example.com Engineering.example.com /remove /twoway /Uo:admin@engineering.example.com /Ud:admin@marketing.example.com
To reset the secure channel for the one-way trust between Northamerica and USA-Chicago, type the following at the command prompt:
netdom trust /d:Northamerica USA-Chicago /Ud:Northamerica\admin /reset
The /reset parameter synchronizes the appropriate shared secrets if they are not already synchronized.
9. List the Primary Domain Controller Member in a Domain
To list the PDC for Northamerica, type the following at the command prompt:
netdom query /d:Northamerica PDC
10. List the Primary Domain Controller Emulator in a Domain
To list the current PDC emulator for devgroup.example.com, type the following at the command prompt:
netdom query /d:devgroup.example.com FSMO
11. View Domain Trusts
To view all the direct trust relationships for the domain Northamerica, type the following at the command prompt:
netdom query /d:Northamerica /Ud:Northamerica\admin DOMAIN /Direct
To view all the direct and indirect trust relationships for the domain Northamerica, type the following at the command prompt:
netdom query /d:Northamerica /Ud:Northamerica\admin DOMAIN
To view all trust relationships and check their status, type the following at the command prompt:
netdom query /d:devgroup.example.com DOMAIN /verify
  • 收藏
  • 评论
  • 举报

上一篇:RIS应答文件配置

下一篇:陪你到天亮

提问和评论都可以,用心的回复会被更多人看到 评论
发布评论
相关文章