活动目录操作主机角色及角色迁移与抢夺
1. 查看操作主机角色
> net accounts
> netdom query fsmo #查看操作主机角色,最简单方式
通过图形化界面查看操作主机:
> regsvr32 schmmgmt.dll #注册林架构主机
2. 五种操作主机
2.1. 架构主机(Schema Master)---林范围
- 负责林中活动目录架构更新(通俗的理解是对林中对象的属性进行扩展);
- 在1个林中只有1台DC拥有架构主机成员,默认是林中第1台域控;
- 具有Schema Admins成员才有权限更新架构Schema,Enterprise Admins组中成员对林中所有的对象和域具有管理员权限;
2.2. 域命名主机(Domain Naming Master)---林范围
- 负责林中域的添加和删除
- 必须是Enterprise Admins成员才能完成添加和删除域
2.3. PDC 仿真器(PDC Emulator)---域范围
- 与NT域控制器兼容
- 负责密码的快速更新
- 时间服务器
- 组策略汇总,并同步到域中所有的域控制器
2.4. RID主机(RID Master)---域范围
- 负责SID中的RID的分发,负责最后1位的生成,标红色部份,如下:
> whoami /all #查看命令
用户账户 S-1-5-21-1213532784-2329391759-3572629621-36338
2.5. 基础结构主机(Infrastructure Master)---域范围
- 为GC提供服务,负责收收集域中对象索引信息的索引信息,提供给GC
- 负责跨域对象引用的更新给GC
- 基础机构主机不要和GC放置在一台计算机上(推荐)
每个林中,只有1台 架构主机和域命名主机;每个林的域中,只有1台 PDC仿真器和RID主机、基础结构主机!
3. 活动目录FSMO角色转移---计划性
> ntdsutil
ntdsutil: Roles
fsmo maintenance: Connections
server connections: Connect to Server WS-DC-02-P.ws.local
server connections: quit
fsmo maintenance: trans
4. 活动目录FSMO角色抢夺---被动性(原主机无法开机启动情况下)
RODC 本地活动目录数据库和DNS是只读的
RODC和其它DC的复制是单向的
在RODC上可以进行凭据缓存
如果分支机构和公网链路发生断开,问RODC能否独立为分支机构的计算机提供身份验证?
在同一个域中,所有DC的数据库都是相互同步的
如果同一个域中2个DC在同一个站点中,默认15s复制1次;如果2个DC不在同一站点中,复制的频率取决于站点链路的频率;
在域中复制的类型有2种:多主复制和单主复制;
活动目录数据库有3个逻辑分区:Domain、Configuration、Schematic,在同一个域的DC,三个分区数据都同步;如果不是一个域中的DC,只同步Configration和Schema 分区。