.前言
1.FSMO--操作主控
2.单主复制:NT4.0里分PDC,BDC,只能从PDC向BDC进行复制
3.多主复制:2000之后,域控之间是平等的,但是每个域控承担的角色是不同的.域控之间可以相互复制
4.五大FSMO:
4.1森林级别
:
4.1.1schemamaster
用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是SchemaMaste,如果大家部署过Excahnge的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在SchemaMaste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在SchemaMaste上进行扩展的,要扩展Schema就必须具有SchemaAdmins组的权限才可以。

建议:在占有SchemaMaste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错
4.1.2domainnamingmaster
这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和DomainNamingMaster进行联系,如果DomainNamingMaster处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
建议:对占有DomainNamingMaster的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。

4.2域级别
4.2.1pdcemulator(pdc仿真器)

 在前面已经提过了,Windows2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows2000域里面怎么办呢?那就由PDCEmulator来完成,主要是以下操作:

⑴、处理密码验证要求;

  在默认情况下,Windows2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDCEmulator,然后由PDCEmulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。

⑵、统一域内的时间;

  微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式***。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDCEmulator来完成的。

⑶、向域内的NT4BDC提供复制数据源;

  对于一些新建的网络,不大会存在Windows2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows2000域却很可能存有这种情况,这种情况下要向NT4BDC复制,就需要PDCEmulator。

⑷、统一修改组策略的模板;

⑸、对Winodws2000以前的操作系统,如WIN98之类的计算机提供支持;

  对于Windows2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDCEmulator就会成为它们的联系对象!

  建议:从上面的介绍里大家应该看出来了,

4.2.2ridmaster

 在Windows2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=DomainSID+RID,那么如何避免这种情况?这就需要用到RIDMaster,RIDMaster的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
建议:对于占有RIDMaster的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了

4.2.3infrastructuremaster
FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由InfrastructureMaster来完成的。

建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,InfrastructureMaster根本不起作用,所以一般情况下对于占有InfrastructureMaster的域控制器往忽略性能和可能性。

5.察看五种架构
5.1gui
5.1.1schemamaster
查看
regsvr32schmmgmt
mmc
添加管理单元ad架构
操作主机-->
5.1.2ridmaster,inframaster,pdcemulator查看

点击“开始-设置-控制面板-管理工具-ActiveDirectory用户和计算机
操作主机
-->
5.1.3domainnamingmaster
点击“开始-设置-控制面板-管理工具-ActiveDirectory域和信任关系
”:
操作主机
-->
5.2cmd
netdomqueryfsmo
6.fmso规划原则

6.1、占有DomainNamingMaster角色的域控制器必须同时也是GC;

6.2、不能把InfrastructureMaster和GC放在同一台DC上;

6.3、建议将SchemaMaster和DomainNamingMaster放在森林根域的GC服务器上;

6.4、建议将SchemaMaster和DomainNamingMaster放在同一台域控制器上;

6.5、建议将PDCEmulator、RIDMaster及InfrastructureMaster放在同一台性能较好的域控制器上;

6.6、尽量不要把PDCEmulator、RIDMaster及InfrastructureMaster放置在GC服务器上;
7.确定gc的办法

要确认域名主机是全局编录服务器,请按照下列步骤操作:
7.1.单击“开始”,单击“运行”,键入cmd,然后单击“确定”。
7.2.键入nltest/dsgetdc:domain_name/server:server_name,然后按Enter键。
7.3.验证“GC”标志显示在服务器上。

二.常用分析工具

1.dcdiag
分析域控状态
对域控特定功能进行测试
2.netdom
管理和检查信任关系
确认数据库复制是否正常
3.netdiag
进行网络症断
4.nltest
修复dns
4.1netlogon
netstopnetlogon
netstartnetlogon
4.2nltest
nltest/dsregdns
5.log
5.1enablendsidiagnosticslog
hkey_local_machine\system\currentcontrolset\services\ntds\diagnostics
value:0-3(3详细)

三.dns问题
四.复制有关的问题
4.1.复制问题症断工具
4.1.1.adreplicationmonitor
4.1.2.repadmin
4.1.3.netlogon--
低版本
sysvol--2000之后为客户端提供组策略
4.1.4.ntfrsutl
4.1.5.ad
站点和服务
4.1.6.dsastat(检查复制状态是否一致)
4.2.复制错误类型

4.2.1.拒绝访问
4.2.2.dns查找故障,dsa操作无法继续
4.2.3.操作被排对或没有显示任何复制连接
4.2.4.复制访问被拒绝或正在删除名称上下文
4.2.5.站点之间存在重复的连接对象
4.2.6.多个域控制器中所应用的组策略不一致
4.2.7.目录服务因太忙而无法完成操作
4.3demo
4.3.1.
复制同步时间最小5分钟
4.3.2.dsastat
dsastat-s:bk-office-sh;sharepoint
5.operationmasterroles
5.1.
何时需要转移操作主机角色
5.2.决定操作主机角色拥有者
图形化
ntdsutil
5.3.
转移方式
transfer(在线转移)
何时使用
?
Seize(强制转移
)
何时使用

5.4.转移工具
图形工具
ad用户和计算机

ad域和信任关系
ad架构
命令行工具
ntdsutil
5.5.globalcatalog


五.典型案例
1.时间同步问题
根域的pdc:nettime/setsntp:time.windows.comor本机
netstopw32time
w32tm-once
netstartw32time

server:w32tm/resync

firewall:openudp123

如果手动修改pdc时间需要重起服务器
2.用户登录或访问服务器出现"由于时间差异,访问拒绝"的错误
客户机和pdc的时间不能操作45分钟,否则加密认证会过期
如果仍然有问题,请下载补丁http://support.microsoft.com/default.aspx?scid=kb;en-us;830092
3.客户机启动缓慢,长时间停在"正在准备网络连接"
客户虽然正确配置了dns服务器,但是在dns服务器上无dns记录,服务器的域名使用为traff。无".com"等形式。由于系统默认无法在顶级域上注册

解决方案:
1.修改注册表

xp:
hkey_local_machine\system\currentcontrolset\services\dnscache\parameters
条目:updatetopleveldomainzones
类型
:dword
:1
hkey_local_machine\system\currentcontrolset\services\netlogon\parameters
条目
:allowsinglelabeldnsdomain
类型
:dword
:1
windows2003
hkey_local_machine\software\policies\microsoft\windowsnt\dnsclient
条目
:updatetopleveldomainzones
类型
:dword
值:1

hkey_local_machine\system\currentcontrolset\services\netlogon\parameters
条目
:allowsinglelabeldnsdomain
类型
:dword
:1
2.使用组策略

本地计算机策略--计算机配置--管理模版--网络--dns客户端--更新顶级域区域
3.服务器上手动加载netlogon.dns
此文件是用户注册到dns服务器上之后,记录其信息的文件,可以手动把用户dns记录添加到此文件,而且全部域控制器的此文件都要粘贴

%systemroot%\system32\config\netlogon.dns内容复制到dns里.
复制办法如下
:
先把dns从ad集成中退出

找到dns资源记录文件%systemroot%\system32\dns
dns先停止

把复制的内容粘贴进来

4.服务器放在防火墙之后,客户机通过nat之后登入域进行访问
客户机无法登入域

原因:客户机登入域需要借助于netbios协议,而nat不进行netbios的包头转换
5.用户报告在注销时提示与网络上的某个共享文件夹进行同步,但是实际没启用共享文件夹,同时也没有任何登录和注销的相关脚本
管理人员曾经设过此策略(使用gpmc组策略的分析)

6.域控制器dns复制有问题,需要重装一台域控
1.将其中一台域控器卸载,然后重装
2.一台与另一台进行网络隔离,强制转移主机角色,然后卸载(如果正常卸载失败还可以考虑修伽注册表)
3.在保留的域控制器上,使用ntdsutil工具清除已卸载的域控制器记录信息(如果不是使用dcprom进行卸载,一定要使用此工具来清除信息
)
4.正确配置dns服务

5.重新安装域控制器
7.修改注册表的方法卸载域控制器
local_machine\system\currentcontrolset\control\productoption\producttype
如果值是LanmanNT那么就说明此机是域控制器
修改成ServerNT
重起,此机就不再是域控.intersitemessage关闭


8.
使用ntdsutil清除残余的域控制器信息
ntdsutil
Metadatacleanup
connecttoserver
需要保留的服务器的IP
selectoperationtarget
list
selectitem
quit
移除