Angelo Lee's Blog
This is my kingdom .If i don't fight for it ,who will ?

  Active Directory 操作主机详解

 
在前面的博文中,我们已经了解到每个域控制器都能自主修改 Active Directory ,而且修改后的结果会被其他的域控制器所承认。从这个角度讲,域控制器之间的地位是平等的,但我们决不能认为域控制器之间是没有区别的!事实上,域中的第一个域控制器往往比其他的域控制器承担了更多的任务。
有些企业中部署了多个域控制器之后,就开始忽略第一个域控制器的作用,有时甚至可能会一不经意间把第一个域控制器给处理掉了。但这些企业的用户很快就会发现域中会出现一些异常现象,例如无法创建域用户账号,无法安装 Exchange , 无法部署子域等等。原因很简单,第一个域控制器承担的任务并没有被转嫁到其他的域控制器上,而这些任务对一个域来说又是不可或缺的,因此我们才会面临如此 多的问题。那么,究竟第一个域控制器和其他的域控制器相比承担了哪些更多的任务呢?这就是我们今天要讨论的话题,操作主机!
操作主机是由域控制器来扮演的一种角色,操作主机角色共有五种,分别是 PDC 主机, RID 主机,结构主机,域命名主机和架构主机 ,今天的这篇博文将分别介绍五种操作主机的用途。
我们先来介绍 PDC 主机, PDC 是主域控制器的缩写,在 NT4 时代,域控制器被分别 PDC (主域控制器)和 BDC (备份域控制器),只有 PDC 才可以修改目录数据库, BDC 的数据库是从 PDC 复制而来的。从 Win2000 开始,所有的域控制器都可以修改 Active Directory 了,那为什么 Win2003 的操作主机中还有 PDC 主机这个角色呢?原因是这样的,微软为了保护用户的前期投资,允许 NT4 服务器称为 Win2003 域中的额外域控制器,但 NT4 充当域控制器时一定要和域中的 PDC 联系,这种情况下 PDC 主机就要挺身而出,以主域控制器的身份和 NT4 的域控制器通讯。这就是 PDC 主机的第一个用途,兼容 NT4 服务器。
PDC 主 机的第二个用途是可以优先成为主浏览器,这里说的浏览器可不是上网冲浪用的浏览器,而是网络中的一种计算机角色。我们都知道打开网上邻居后可以看到当前网 络中有多少台计算机,双击计算机名还可以看到这台计算机提供的共享资源。这些网络资源列表是由谁来提供呢,在微软网络中被一种称为主浏览器的计算机来提 供。那么哪些计算机可以成为主浏览器呢?只要操作系统的版本在 Windows workgroup 3.1 以上的计算机都有机会成为主浏览器。如果一个网络中的多台计算机都希望成为主浏览器,那么这些计算机就会通过“选举”来解决问题,我们有时用抓包工具可以抓到电子选举包就和这个过程有关。每台计算机选举时首先比较操作系统版本,版本新的优先成为主浏览器,例如 Win2003 优于 Win2000 。如果操作系统版本相同,再比较谁是域控制器,域控制器比普通的计算机优先。如果参与选举的有多个域控制器,那么 PDC 主机会优先。最后再多说一句,如果一个广播域内有多个域,而且有多个 PDC 操作主机,那么它们之间又如何进行主浏览器的选举呢?它们之间会通过 GUID 来选出最后的胜利者。
PDC 主机的第三个用途就是 Active Directory 的优先复制权,正常情况下, Active Directory 的复制周期是 5 分钟,但如果 Active Directory 中发生了一些紧急事件,例如修改了用户口令。这种情况下源域控制器就会在最短时间内通知 PDC 主机,由 PDC 主机来统一管理这些 Active Directory 的紧急事件。如果一台域控制器发现用户输入的口令和 Active Directory 中存储的口令不一致,域控制器考虑到有两种可能性,一种可能是用户输入错误,一种可能是用户输入的口令是正确的,但是自己的 Active Directory 还没有接收到最新的变化。域控制器为了避免自己判断错误,就会向 PDC 主机发出查询,请 PDC 主机来验证口令的正确与否,因为前面已经提到,任意一个域控制器修改了用户口令,都会在最短时间内通知 PDC 主机。
PDC 主机除了上述的几种用途,还可用于充当域内的权威时间源,同时 PDC 主机也是组策略的首选存储地点。顺便提一下, PDC 主机的作用级别是域级别,也就是说,在一个域中只能有一台域控制器充当 PDC 主机。
介绍完 PDC 主机的作用后,我们来介绍 RID 主机。 RID SID 的一部分,什么是 SID 呢? SID 是安全标识符( S ecurity Id entify )的缩写,当我们在域中创建用户账号或计算机账号时,操作系统会为被创建的账号建立一个对应的 SID ,也就是说, SID 真正对应了用户账号或计算机账号。一个域用户对应的 SID 格式是这样的, S-1-5-21-D1-D2-D3-RID S SID 的缩写, 1 SID 的版本号, 5 代表授权机构, 21 代表子授权, D1-D2-D3 是三个数字,代表对象所在的域或计算机, RID 是对象在域中或计算机中的相对号码。以大家熟悉的管理员账号为例,管理员的 SID 就是 S-1-5-21-3855104193-3464347045-3256418734-500 ,其中的 RID 500
RID SID 的组成部分, RID 主机的作用就是为 Active Directory 提供一个可用的 RID 池(默认 500 个),而且当池中的 RID 被消耗到一定程度后再自动补充满。如果 RID 主机出现故障,显然会对我们创建大量的用户账号造成麻烦。和 PDC 主机类似, RID 主机的作用级别也是域级别。
结构主机的作用是负责对跨域对象的引用进行更新,假如 A 域的一个用户加入了 B 域的一个组, B 域的结构主机就会负责关注 A 域的这个用户是否发生了什么变化,例如是否被删除了,结构主机的工作可以确保域间对象引用的可操作性。如果是一个单域,基本上用不着结构主机做什么工作。如果在一个多域的林环境,有一点要切记,结构主机不要和 GC (全局编录)放在同一台域控制器上,否则结构主机无法正常工作。结构主机的作用级别也是域级别。
下 一个要介绍的操作主机是域命名主机,这个操作主机的作用级别是林级别的!域命名主机主要负责控制域林内域的添加或删除,也就是说如果在域林内添加一个新 域,必须由域命名主机判断域名合法,操作才可以继续。如果域命名主机不在线,我们就无法完成域林内新域的创建。除了对域名做出诠释,域命名主机还要负责 添加或删除描述外部目录的交叉引用对象
最后我们要介绍的是架构主机,架构主机的作用级别同样是林级别。架构主机的作用非常重要,如果要修改 Active Directory 的架构,我们只能从架构主机上进行操作。微软的很多高级服务器产品在部署时都需要修改 Active Directory 的架构,例如 Exchange Office Communications Server SMS 等。以最著名的 Exchange 为例,如果我们在域中部署 Exchange 时无法在线联系上架构主机,那 Exchange 的部署就无法继续, MCSE 的考题中曾经考过这个知识点。
从上面的介绍中我们可以看出,操作主机都有各自的职能,一旦操作主机有问题我们就会遇到种种麻烦,因此我们在下篇博文中将介绍如何转移操作主机角色以及如何夺取操作系统角色,敬请期待。
posted on 2010-03-25 19:11  Angelo Lee  阅读(218)  评论(0编辑  收藏  举报