windows server 操作主机

操作主机概述

AD DS数据库内绝大部分数据的复制是采用多主机复制(multi-master replication model),也就是可以直接更新任何一台域控制器内绝大部分的AD DS对象,之后这个对象会被自动复制到其它域控制器

然而有少部分数据的复制是采用单主机复制(single-master replication model),在此模式下,当提出变更对象的请求时,只会由其中一台被称为操作主机的域控制器负责接收与处理请求,也就是说该对象是先被更新在这台操作主机内,再由它将其复制到其它域控制器

Active Directory域服务(AD DS)内总共有5个操作主机角色

  • 架构操作主机(schema operations master)
  • 域命名操作主机(domain naming operations master)
  • RID操作主机(relative identifier operations master),相对标识符操作主机
  • PDC模拟器操作主机(PDC emulator operations master),PDC(primary domain controller)主域控制器
  • 基础结构操作主机(infrastructure operations master)

林级别角色:

一个林中只有一台架构操作主机与一台域命名操作主机。这两个林级别的角色默认都是林根域内的第一台域控制器所扮演。

域级别角色:

一个域拥有自己的RID操作主机、PDC模拟器操作主机与基础结构操作主机,这三个域级别的角色默认是由该域内的第一台域控制器所扮演。

每个角色每个域中只有一台域控制器来扮演

注意点:

  1. 操作主机角色(operations master roles)也被称为flexible single master operations(FSMO)roles
  2. 只读域控制器(RODC)无法扮演操作主机的角色

架构操作主机

扮演架构操作主机角色的域控制器,负责更新与修改架构(schema)内的对象种类与属性数据隶属于Schema Admins组内的用户才有权限修改架构。

域命名操作主机

扮演域命名操作主机角色的域控制器,负责林内域目录分区的新建和删除,也就是负责林内的域新建与删除工作。也负责应用程序目录分区的新建与删除

PID操作主机

每一个域内只可以有一台域控制器来扮演PID(相对标识符)操作主机角色,其主要的工作就是发放RID(relative ID)给域内的所有域控制器。

RID标识符

当域控制器内新建一个用户、组或计算机等对象时,域控制器需要分配一个唯一的安全标识符(SID)给这个对象,此对象的SID是由域SID与RID所组成的,也就是说对象SID = 域SID + RID

RID是由RID操作主机来统一发放给其域内的所有域控制器。每一台域控制器需要PID时,它会向RID操作主机索取一些RID,这些RID用完后再向RID操作主机索取

由于是由RID操作主机来统一发放RID,因此不会有RID重复的情况发生。因此对象的SID也是唯一的

PDC模拟器操作主机

每一个域内只可以有一台域控制器来扮演PDC模拟器操作主机角色,而它所负责的工作有:

  • 支持旧客户端计算机

    例如用户在域内的旧客户端计算机(例如Windows NT 4.0)上更改密码时,这个密码信息会被更新在PDC(primary domain controller)上,而AD DS通过PDC模拟器操作主机来扮演PDC的角色

  • 减少因为密码复制延迟所造成的问题

    当用户的密码更改后,需要一点时间这个密码才会被复制到其它所有的域控制器。如果在这个密码还没有被复制到其它所有域控制器之前,用户利用新密码登录,则可能会因为负责检查用户密码的域控制器内还没有用户的新密码数据,因而无法成功登录

    AD DS采用以下方法来减少这个问题发生的概率:当用户的密码更改后,这个密码会优先被复制到PDC模拟器操作主机,而其它域控制器依然是依照常规复制程序,也就是需要等一段时间后才会收到这个最新的密码,如果用户登录时,负责验证用户身份的域控制器发现密码不对时,它会将验证身份的工作转发给拥有新密码的PDC模拟操作主机,以便让用户可以成功登录

  • 负责整个域时间的同步

    域用户登录时,如果其计算机时间与域控制器不一致的话,将无法登录,而PDC模拟器操作主机就是负责整个域内所有计算机时间的同步工作

    • 所有其它域的PDC模拟器操作主机的计算机会自动与林根域内的PDC模拟器操作主机同步
    • 各域内的其它域控制器都会自动与该域的PDC模拟器操作主机时间同步
    • 域内的成员计算机会与验证其身份的域控制器同步

时间同步设置

时间同步所使用的通信协议为SNTP(Simple Network Time Protocol),其端口号码为UDP 123

利用w32tm /query /source命令来查看当前所同步的时间服务器

  • Local CMOS Clock,默认使用本地计算机时间
  • VM IC Time Synchronization Provider,Hyper-V虚拟机显示的字段(除非取消虚拟机的集成服务中的事件同步)

更改为与外部事件服务器同步

w32tm /config /manualpeerlist:"time.windows.com time.nist.gov time-nw.nist.gov" /syncfromflags:manual /reliable:yes /update

通过w32tm /query /configuration命令来查看时间同步的设置

适用于Windows Vista(含)以后的系统,如果是旧版Windows操作系统,可用net time /querysntp命令,不过所显示的信息有限

未加入域的客户端计算机可能需要先启动Windows Time服务,再来执行上述程序,而且必须以系统管理员的身份来执行此程序。

image

  1. 运行 -> services.msc -> Windows Time -> 启动
  2. 以管理员的身份打开cmd -> w32tm /register -> net start w32time | net start "windows time"

image

image

通过Type字段来判断此客户端计算机时间的同步方式

  • NoSync:表示客户端不会同步时间
  • NTP:表示客户端会从外部的时间服务器来同步,而所同步的服务器会显示在NtpServer字段
  • NT5DS:表示客户端是通过域架构方式来同步时间
  • AllSync:表示客户端会选择所有可用的同步机制,包括外部时间服务器与域架构方式

手动同步

  • w32tm /resync命令手动同步

  • 运行 -> control -> 时间和区域 -> 日期和时间 -> Internet时间选项卡 -> 更改设置 -> 立即更新

基础结构操作主机

每一个域内只能有一台域控制器来扮演基础结构操作主机的角色。如果域内有对象参考到其它域的对象时基础结构操作主机会负责更新这些参考对象的数据,例如本域内有一个组的成员包含另外一个域的用户账户,当这个用户账户发生变动时,基础结构操作主机便会负责更新这个组的成员信息,并将其复制到同一个域内的其它域控制器。

基础结构操作主机是通过全局编录服务器来得到这些参考数据的最新版本,因为全局编录服务器会收到由每一个域所复制的最新变动信息

全局编录服务器

全局编录服务器(Global Catalog Server,GC)也是一台域控制器,其中全局编录存储着林中所有AD DS对象,一般域控制器内只会存储所属域内域目录分区的完整信息,但是全局编录服务器还会存储林中所有其它域之域目录分区对象的部分属性,让用户可以通过全局编录内的这些属性,很快速地找到位于其它域内的对象,系统默认会将用户常用来查找的属性加入到全局编录内,例如登录账户名称、UPN、电话号码等。

林中的第一台域控制器也是默认的全局编录服务器

操作主机的放置优化

为了提高运行效率、减轻系统管理的负担与减少问题发生的概率,因此如何适当地放置操作主机便成为不可忽视地课题

基础结构操作主机的放置

由于基础结构操作主机与全局编录并不兼容,因此请勿将基础操作主机放置到全局编录服务器上,除非是以下的情况:

  • 所有的域控制器都是"全局编录服务器"
  • 只有一个域

为了便于管理,建议将域级别的RID操作主机、PDC模拟器操作主机与基础结构操作主机都放置到同一台域控制器上

PDC模拟器操作主机的放置

PDC模拟器操作主机经常需要与网络上其它系统通信,它的负担比其它操作主机重,因此这台计算机的设备性能应该要最好、最稳定,以确保能够应付比较繁重的负担与提供比较高的可用性

降低PDC模拟器操作主机的负载

  • 可以在DNS服务器内调整它的权重(weight)。当客户端需要查看域控制器来验证用户身份时,客户端会向DNS服务器查询域控制器,而DNS服务器会将客户端导向(refer to)到指定的域控制器,由这台域控制器来负载验证用户身份,由于所有域控制器默认的权重值是相同的(100),因此每一台域控制器被导向的概率是相同的。

    如果将PDC模拟器操作主机的权重值降低的话,例如降为一半(50),则客户端被导向到这台PDC模拟器操作主机的概率就会降低一半,如此便可以降低它的负载。

    DNS管理控制台 -> 区域chinaskills.com -> _tcp文件夹 -> 双击,修改权重值

林级别操作主机的放置

林中每一台域控制器会自动扮演林级别的架构操作主机与域命名操作主机的角色,它同时也是全局编录服务器.这两个角色并不会对域控制器造成太大负担,它们与全局编录兼容,而且即使将这两个角色移动到其它域控制器也不会改善运行性能,因此为了便于管理与执行备份、还原工作,建议将这两个角色继续保留由这台域控制器来扮演

域级别操作主机的放置

每一个域内的第一台域控制器会自动扮演域级别的操作主机,而以林根域中的第一个域控制器来说,它同时扮演两个林级别与三个域级别的操作主机,同时也是全局编录服务器。不过因为其中的基础架构操作主机与全局编录并不兼容,因此除非所有域控制器都是全局编录服务器或林中只有一个域,否则请将基础结构操作主机的角色转移到其它域控制器,如上所述,为了便于管理起见,请将RID操作主机与PDC模拟器操作主机也一并转移到这台域控制器(有基础结构操作主机)

除了林根域之外,其他域请将三台域级别操作主机保留由第一台域控制器来扮演。除非工作负担太重

找出扮演操作主机角色的域控制器

在建立AD DS域时,系统会自动选择域控制器来扮演操作主机

利用管理控制台找出扮演操作主机的域控制器

角色 管理控制台
架构操作主机 Active Directory架构
域命名操作主机 Active Directory域和信任关系
RID操作主机 Active Directory用户和计算机
PDC模拟器操作主机 Active Directory用户和计算机
基础结构操作主机 Active Directory用户和计算机

找出架构操作主机

  • 域控制器上登录、注册schmmgmt.dll,才可使用Active Directory架构控制台

    regsvr32 schmmgmt.dll

  • 运行 -> MMC -> 文件 -> 添加/删除管理单元 -> Active Directory架构

  • 选中Active Directory -> 右击并点击操作主机

找出域命名操作主机

开始 -> windows管理工具 -> Active Directory域和信任关系 -> Actice Direcotry域和信任关系 -> 右击并点击操作主机

找出RID、PDC模拟器与基础结构操作主机

开始 -> windows管理工具 -> Active Directory用户和计算机 -> 右击并点击操作主机

利用命令找出扮演操作主机的域控制器

执行netdom query fsmo命令来查看扮演操作主机角色的域控制器

通过执行以下的Get-ADDomain命令来查看扮演域级别操作主机角色的域控制器

Get-ADDomain chinaskills.com | FT PDCEmulator,RIDMaster,InfrastructureMaster

通过执行以下的Get-ADForest命令来查看扮演林级别操作主机角色的域控制器

Get-ADForest chinaskills.com | FT SchemaMaster,DomainNamingMaster

🌟转移操作主机角色

在建立AD DS域时,系统会自动选择域控制器来扮演操作主机,而在要将扮演操作主机角色的域控制器降级为成员服务器时,系统也会自动将其操作主机角色转移到另外一台适当的域控制器,因此在大部分的情况下,并不需要自行转移操作主机角色。

转移操作主机的前提:

  • 可以相互通信,同时操作用户必须是隶属于相应的组或被委派权限,才有权限执行转移的工作

    角色 有权限的组
    架构操作主机 Schema Admins
    域命名操作主机 Enterprise Admins
    RID操作主机 Domain Admins
    PDC模拟器操作主机 Domain Admins
    基础结构操作主机 Domain Admins

转移操作之前的注意事项:

  • 转移角色的过程中并不会有数据丢失;
  • 可以将林级别的架构操作主机与域命名操作主机转移到同一个林中的任何一台域控制器;
  • 可以将域级别的RID操作主机与PDC模拟器操作主机转移到同一个域中的任何一台域控制器;
  • 不要将基础结构操作主机转移到兼具全局编录服务器的域控制器,除非所有域控制器都是全局编录服务器或林中只有一个域;

利用管理控制台转移操作主机

转移PDC模拟器操作主机、RID操作主机与基础结构操作主机都是使用Active Directory用户和计算机控制台,

转移架构操作主机是使用Active Directory架构控制台

转移域命名操作主机是使用Active Directory域及信任控制台

以转移PDC模拟器操作主机为例:

  • 在操作主机上转移

    选中Active Directory用户和计算机 -> 更改域控制器 -> 选择即将扮演操作主机角色的域控制器后单击确认按钮

  • 在即将扮演操作主机上转移

    选中域名,并右击选择操作主机 -> 单击PDC选项卡 -> 确认当前所连接的域控制器 -> 单击更改按钮 -> 单击是按钮 -> 单击确认

利用Windows PowerShell命令

通过执行命令Move-ADDirectoryServerOperationMasterRole来转移操作主机角色

例如要将PDC模拟器操作主机转移到dc2.chinaskills.com,执行以下命令后按Y键或A键

Move-ADDirectoryServerOperationMasterRole -Identity "DC2" -OperationMasterRole PDCEmulator

如果要转移其它角色的话,只要将PDCEmulator字样换成RIDMaster、InfrastructureMaster、SchemaMaster或DomainNamingMaster即可

如果要一次同时转移多个角色的话,角色名称之间以逗号隔开

角色使用数字代替

操作主机 代表号码
PDC模拟器操作主机 0
RID操作主机 1
基础结构操作主机 2
架构操作主机 3
域命名操作主机 4

夺取操作主机角色

通过执行命令Move-ADDirectoryServerOperationMasterRole,不过要增加-Force参数来夺取操作主机角色

Move-ADDirectoryServerOperationMasterRole -Identity "DC2" -OperationMasterRole PDCEmulator -Force

由于夺取方式是非常的手段,因此请确认有其必要性后,在执行夺取的步骤

操作主机停摆所造成的影响

由于新操作主机是根据其中的AD DS数据库来运作,因此为了减少数据丢失,请在执行夺取步骤之前等一段足够的时间(至少等所有域控制器之间完成一次AD DS复制所需的时间),让这台即将成为新操作主机的域控制器完整接收到从其它域控制器复制的异动数据

由于夺取操作主机时并未与原操作主机沟通协调,因此一旦夺取操作主机角色后,请不要再启动原扮演操作主机角色的域控制器,否则会出现两台域控制器都各自认为是操作主机,因而会影响到AD DS的运作

一旦域架构主机、域命名操作主机或RID操作主机角色被夺取后,请永远不要将原来扮演这些操作主机角色的域控制器再连接到网络上,否则严重的话,整个AD DS数据库可能会损毁。建议将这台域控制器的硬盘格式化

架构操作主机停止服务时

由于用户不直接与架构操作主机沟通,因此对用户并没有影响;对于系统管理员来说,除非需要存取架构内的数据,例如安装会修改架构的应用程序(例如Microsoft Exchange Server),否则也暂时不需要使用到架构操作主机,所以请等架构操作主机修复后重新上线即可,不需要执行夺取的步骤,除非操作主机影响到系统运作时

域命名操作主机停止服务时

对网络用户并没有影响;对于系统管理员来说,除非他们要添加或删除域,否则也暂时不需要使用到域命名操作主机,所以请等域命名操作主机修复后重新上线即可,不需要执行夺取的步骤,除非操作操作主机影响到系统运作时

RID操作主机停止服务时

对网络用户没有影响;对于系统管理员来说,除非他们要在域内新增对象,同时他们所连接的域控制器之前索取的RID已经用完,否则也暂时不需要使用到RID操作主机,所以请等RID操作主机修复后重新上线即可,不需要执行夺取的步骤,除非操作主机影响到系统运作时

PDC模拟器操作主机停止服务时🌟

由于PDC模拟器操作主机无法提供服务时,网络用户可能会比较快察觉到,因此应该尽快修复PDC模拟器操作主机,若无法在短时间内修复,则需尽快执行夺取步骤

基础结构操作主机停止服务时

对网络用户没有影响;对于系统管理员来说,除非他们最近搬移大量账户或改变大量账户的名称,否则也暂时不需要使用到基础结构操作主机,所以请等基础结构操作主机修复后重新上线即可,不需要执行夺取的步骤,除非操作主机影响到系统运作时

posted @ 2022-09-11 02:14  未来的你!  阅读(320)  评论(0)    收藏  举报