活动目录操作主机角色及角色迁移与抢夺

 

1. 查看操作主机角色

> net accounts

> netdom query fsmo           #查看操作主机角色,最简单方式

 

 通过图形化界面查看操作主机:

> regsvr32  schmmgmt.dll     #注册林架构主机

 

2. 五种操作主机

2.1. 架构主机(Schema Master)---林范围

  • 负责林中活动目录架构更新(通俗的理解是对林中对象的属性进行扩展);
  • 在1个林中只有1台DC拥有架构主机成员,默认是林中第1台域控;
  • 具有Schema Admins成员才有权限更新架构Schema,Enterprise Admins组中成员对林中所有的对象和域具有管理员权限; 

2.2. 域命名主机(Domain Naming Master)---林范围

  • 负责林中域的添加和删除
  • 必须是Enterprise Admins成员才能完成添加和删除域 

2.3. PDC 仿真器(PDC Emulator)---域范围

  • 与NT域控制器兼容
  • 负责密码的快速更新
  • 时间服务器
  • 组策略汇总,并同步到域中所有的域控制器 

2.4. RID主机(RID Master)---域范围

  • 负责SID中的RID的分发,负责最后1位的生成,标红色部份,如下: 

  > whoami   /all                   #查看命令

 

  用户账户  S-1-5-21-1213532784-2329391759-3572629621-36338

  

2.5. 基础结构主机(Infrastructure Master)---域范围

  • 为GC提供服务,负责收收集域中对象索引信息的索引信息,提供给GC
  • 负责跨域对象引用的更新给GC
  • 基础机构主机不要和GC放置在一台计算机上(推荐)

每个林中,只有1台 架构主机和域命名主机;每个林的域中,只有1台 PDC仿真器和RID主机、基础结构主机! 

 

3. 活动目录FSMO角色转移---计划性

> ntdsutil

ntdsutil: Roles

 fsmo maintenance: Connections 

server connections:  Connect to Server WS-DC-02-P.ws.local           

server connections:  quit

 fsmo maintenance: trans

  

4. 活动目录FSMO角色抢夺---被动性(原主机无法开机启动情况下)

 

 

RODC 本地活动目录数据库和DNS是只读的

RODC和其它DC的复制是单向的

在RODC上可以进行凭据缓存

如果分支机构和公网链路发生断开,问RODC能否独立为分支机构的计算机提供身份验证?

 

 

 

在同一个域中,所有DC的数据库都是相互同步的

如果同一个域中2个DC在同一个站点中,默认15s复制1次;如果2个DC不在同一站点中,复制的频率取决于站点链路的频率;

在域中复制的类型有2种:多主复制和单主复制;

活动目录数据库有3个逻辑分区:Domain、Configuration、Schematic,在同一个域的DC,三个分区数据都同步;如果不是一个域中的DC,只同步Configration和Schema 分区。

 

 

 

 

 

posted on 2020-05-02 17:11  tengq  阅读(436)  评论(0编辑  收藏  举报

导航