活动目录操作主机角色及角色迁移与抢夺

 

1. 查看操作主机角色

> net accounts

> netdom query fsmo           #查看操作主机角色，最简单方式

 

 通过图形化界面查看操作主机：

> regsvr32  schmmgmt.dll     #注册林架构主机

 

2. 五种操作主机

2.1. 架构主机（Schema Master）---林范围

• 负责林中活动目录架构更新（通俗的理解是对林中对象的属性进行扩展）；
• 在1个林中只有1台DC拥有架构主机成员，默认是林中第1台域控；
• 具有Schema Admins成员才有权限更新架构Schema，Enterprise Admins组中成员对林中所有的对象和域具有管理员权限；　

2.2. 域命名主机（Domain Naming Master）---林范围

• 负责林中域的添加和删除
• 必须是Enterprise Admins成员才能完成添加和删除域 

2.3. PDC 仿真器（PDC Emulator）---域范围

• 与NT域控制器兼容
• 负责密码的快速更新
• 时间服务器
• 组策略汇总，并同步到域中所有的域控制器 

2.4. RID主机（RID Master）---域范围

• 负责SID中的RID的分发，负责最后1位的生成，标红色部份，如下： 

　　> whoami   /all                   #查看命令

 

　　用户账户　　S-1-5-21-1213532784-2329391759-3572629621-36338

  

2.5. 基础结构主机（Infrastructure Master）---域范围

• 为GC提供服务，负责收收集域中对象索引信息的索引信息，提供给GC
• 负责跨域对象引用的更新给GC
• 基础机构主机不要和GC放置在一台计算机上(推荐)

每个林中，只有1台 架构主机和域命名主机；每个林的域中，只有1台 PDC仿真器和RID主机、基础结构主机！ 

 

3. 活动目录FSMO角色转移---计划性

> ntdsutil

ntdsutil: Roles

 fsmo maintenance: Connections 

server connections:  Connect to Server WS-DC-02-P.ws.local           

server connections:  quit

 fsmo maintenance: trans

  

4. 活动目录FSMO角色抢夺---被动性（原主机无法开机启动情况下）

 

 

RODC 本地活动目录数据库和DNS是只读的

RODC和其它DC的复制是单向的

在RODC上可以进行凭据缓存

如果分支机构和公网链路发生断开，问RODC能否独立为分支机构的计算机提供身份验证？

 

 

 

在同一个域中，所有DC的数据库都是相互同步的

如果同一个域中2个DC在同一个站点中，默认15s复制1次；如果2个DC不在同一站点中，复制的频率取决于站点链路的频率；

在域中复制的类型有2种：多主复制和单主复制；

活动目录数据库有3个逻辑分区：Domain、Configuration、Schematic，在同一个域的DC，三个分区数据都同步；如果不是一个域中的DC，只同步Configration和Schema 分区。