Windows Server 2008 R2 的操作主控
前面我講了安裝輔助域控制器,安裝他的作用當然不言而明,那就是當主域控制器失效時(比如突然當機),他是不是能夠完成承擔起域控制器的作用,這里就是一個操作主控的概念了,下面我們看看什么是操作主控概述:
操作主控(FSMO)也稱作操作主機(OM),它是指在AD中一個或多個特殊的DC,用來執(zhí)行某些特殊的功能(資源標識符SID分配、架構修改、PDC選擇等)。
1、操作主控的分類
基于森林的操作主控:(在每個林中,每個林的操作主控只出現一次)
架構主控(Schema Master)
域命名主控(Domain Naming Master)
基于域范圍的主控:(在林中的每個域只出現一次)
PDC仿真器(PDC Emunlator)
RID主控(RID Master)
基礎結構主控(Infrastructure Master)
2、操作主控的作用
架構主控(Schema Master):它主要負責修改活動目錄的數據源。具備架構主控的DC,由于很少架構進行拓展(但安裝Exchange,lcs需要對其進行修改),所以只需保證可性用性。同時,要拓展架構,用戶必須具有Schema Admins組的權限。
域命名主控(Domain Naming Master):主要負責森林中域的增加或者刪除。對于具備域命名主控的主機不需要高性能,但是要保證高可用性。
PDC仿真器(PDC Emunlator):主要負責處理密碼驗證要求、統一域內時間、向域內的NT4 BDC提供復制數據源、修改組策略模板、提供對老版本(Windows 2000)的支持。由于PDC仿真器是五種主控中任務最繁重的,所以具有PDC仿真器的DC必須要有高性能和高可用性。
RID主控(RID Master):主要作用是分配RID池給域內的DC和防止安全主體的SID的重復。每次當DC創(chuàng)建用戶、組或計算機對對象時,就會給該對象產生一個唯一的安全ID(SID)。SID包括一個域的SID和一個RID。對于運行RID主控的DC,性能沒有太高的要求同,但必須保證其高可用性。
基礎結構主控(Infrastructure Master):負責更新從它所在的域中的對象到其他域中對象的引用。在活動目錄中,有可能一些用戶從一個OU轉移到另外一個OU,那么用戶的DNS名就會發(fā)生變化,這時其他域中對這個用戶的引用也會發(fā)生變化。這種變化就是基礎結構主控來完成。在活目錄森林中只一個域或者森林中的所有DC都是GC的情況下,基礎結構主控將會不起作用。對于基礎結構主控的DC,可以忽略性能和高可用性的要求。
3、FSMO規(guī)劃
如果域中只有一臺DC,那么該DC將包含所有操作主控
將RID操作主控和PDC仿真器放在一臺DC上。
一般來說,基礎結構主控應該位于非GC的DC上。
在目錄森級別上,架構主控和域命名主控應該放在同一臺DC上。
PDC仿真器建議建議單獨放在一臺DC上。
我們在輔助域控上運行這個命令,netdom query fsmo,看到如下信息:
從上圖可以看到,目前這個域的所有角色都是主域控制器在承擔,正常情況下我們可以將這些角色轉移到輔助域控制器,下面我們來看如何將操作主控轉移,在圖形狀態(tài)查看架構主機,必須先運行regsvr32 schmmgmt進行注冊。然后運行mmc,在文件菜單中選擇添加刪除管理單元,添加AD架構,如下圖:
點“添加/刪除管理單元”,在里面面找到哪下圖,這里注意,如果不是操作主機,是找不到這一項的。
點擊是,那么操作主機將傳送到輔助域控制器。注意:
操作主控的轉移包括兩種狀況:自動轉移和手動轉移
自動轉移:將DC降為成員服務器或獨立服務器時,會將FSMO轉移到一臺并行的DC上
手動轉移:可以手動將某一FSMO轉移到某一臺并行的DC。轉移是可逆的。
使用Ntdsutil命令行進行轉移(這個是即可轉移,又可強制轉移,強制轉移只能在命令行進行)
在命令行狀態(tài)運行Ntdsutil,輸入?顯示幫助(如果是普通轉移在原主控上,強制在輔域上運行)
輸入roles命令回車。(在下圖的幫助中,Seize開始的命令表示強占操作主控,Transfer開始的命令表示轉移操作主控)
輸入 Connections
輸入 Connect to server win-adserver2.gsradio.com,先連接到輔域控制器
輸入 QUIT
輸入Transfer Schema Master,回車。出現確認對話框,選擇是完成操作
操作主控就這樣被遷移了。
更改其它角色相關控制臺操作:
不管是更改什么角色,一定要記住先改變連接,要不然會有下面的提示(比如要更改操作主機):
