操作主机相关配置详解

-----冯刚

实验拓朴:

clip_image002

实验环境描述

Michael公司组建了一个单域,域名为“michael.com.cn,有两台DC。此域的第一台DC的硬件比较低,第二台DC的硬件配置较高,目前的5个操作主机角色都要第一台DC上,如何将之转移到第二台DC 上呢?已知两台域控制器的计算机分别为DC1和DC2。

实验目标:

5个操作主机角色全部由第一台DC 转移到第二台DC上面去。

实验配置前相关知识简介:

1. 操作主机角色简述。

1)在每个林中只有5种操作主机,且这些操作主机角色可以指派给一个或多个域控制器。

2)在林范围内的操作主机角色有架构主机和域命名主机(在根域上),在每个林中这些角色都必须是唯一的。

3)在域范围内的操作主机角色有主域控制器仿真主机(PDC Emulator).相对ID(RID)。基础结构主机。在每个域中这些主机角色必须都是唯一的。

2. 架构主机(Schema Master).

作用:架构主机控制整个林的架构的全部更新。要整个林中,只能有一个架构主机。

显示:架构主机管理工具不是默认安装的。安装完DC后,是看不见的,如下图所示:

clip_image004

如何安装架构主机管理工具呢?如下图所示:

注册架构管理工具。

clip_image006

clip_image008

注册成功后安装

clip_image010

clip_image012

clip_image014

clip_image016

保存架构主机管理工具。

clip_image018

clip_image020

clip_image022

3. 域命名主机(Domain Naming Master)

作用:域命名主机控制林中域的添加或删除。可以防止林中域名重复,在整个林中只能有一个域命名主机。

提示:任何运行windows server 2003的域控制器都可以担当域命名主机这一角色,如果运行Windows 2000 server 的域控制器担当域命名角色,则必须启用为全局编录服务器。

查看域命名主机的方法是:如下图所示

clip_image024

clip_image026

clip_image028

4. PDC仿真主机(PDC Emulator Master)

定义:PDC仿真主机作为混合模式域中的windows NT PDC (主域控制器)。林中的每个域中只能有一个PDC仿真主机。

作用:1)管理来自客户端(windows NI/95/98)的密码更改。

2) 最小化密码变化的复制等待时间。(PDC仿真主机接受其他域控制器执行的密码更改的首选复制。如果密码最近被更改,则就要花费一定时间将此次更改复制到域中的每个域控制器,如要登录身份由于密码错误而在另一个域控制器中执行失败,则此域控制器将在拒绝登录尝试前将身份验证请求转发给PDC模拟器。)

3)在默认情况下,PDC仿真主机还负责同步整个域内所有域控制器上的时间。

显示方法:

clip_image030

clip_image032

clip_image034

5. RID主机(RID Master)

定义:RID主机将相对ID(RID)序列分配给域中第个域控制器.林中的每个域中只能有一个RID主机.

作用:每次当域控制器创建用户,组或计算机对象时,它就给此对象指派一个唯一的安全ID(SID),SID包含一个SID(它和域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的).

查看:如下图所示.

clip_image036

6.基础结构主机(Infrastructure Master)

定义:基础结构主机负责更新从它所在的域中的对象到其它域中对象的引用.每个域中只能有一个基础结构主机.

原理:基础结构主机将其数据和全局编录的数据进行比较.全局编录通过复制操作接收所有域中对象的定期更新,从而使全局编录的数据始终保持最新.如果基础结构主机发现数据已过时,则它会从全局编录请求更新的数据.然后.基础结构主机再将这些更新的数据复制到域中的其它域控制器.

要点:

1).除非域中只有一个域控制器.否则不要将基础结构主机角色和全局编录放在同一个域控制器.如果它们俩个处于同一个域控制器中,则基础结构主机将不会运行.基础结构从不查看过时的数据,也从不将任何更新复制到域中其它域控制器.

2).如果域中的所有域控制器都存在有全局编录.则所有域控制器都将拥有最新数据.因而无论哪个域控制器负责承担基础结构角色均不重要.

3).基础结构主机还负责在重命名或更改组成员时更新组到用户的引用.

查看:

clip_image038

clip_image040

7.备份域控制器(BDC),也就是辅肋域控制器.(DC2为BDC)

条件:1)必须在完成主域控制器之后才能创建.

2)被提升为辅助域控制器的计算机可以是主域中的成员也可以是一个独立计算机.但是,操作是必须要有管理员帐户登录.

作用;对主域控器起备份和辅助的作用.

实验步骤:

1. 安装主域控制器 michael.com.cn(详解略)

2. 安装BDC(辅助域控制器.)

配置IP:

clip_image042

配置BDC

clip_image044

clip_image046

注意: 图形界面中的×××警告信息:非域控制器有一个本地的SAM帐号和数据库,而域控制器有一个活动目录数据库NTDS.DIT.向导程序会在提升成功后删除本地的SAM帐号和数据库.

提示: 将所有的Windows server 2003都设置成域控制器,是不是很好呢? 答案:不是.让一台成员服务器提升为域控制器会占用大量的CPU 处理能力和内存资源.过多的域控制器会增强局域网内的通信量.

clip_image048

clip_image050

clip_image052

注意:

1) AD数据库文件应存放在NTFS格式的分区中,以获得更好的性能.

2) 将事务日志放在和数据库文件不同的物理硬盘上.这意味着系统可以对AD数据库日志文件同步更新.从而提高系统的性能.

clip_image054

clip_image056

clip_image058

clip_image060

clip_image062

注意;

在企业环境中部署Windows 2003 AD的时侯,强烈建议同是新建辅助域控制器,一旦系统出现故障.不影响网络用户登录和身分验证.

配置DNS (由于我们主域控制器和DNS安装在了同一台计算机上,所以我们也要在BDC上面安装DNS)如下所示:

注意:如果服务器的性能强劲,DNS可以和域控制器安装在同一台计算机上,建议DNS不要和域控制器安装在同一台计算机上。

clip_image064

clip_image066

clip_image068

clip_image070

3.转移操作主机。

方法1:图形界面下转换操作主机。

1)转换RID主机为例,PDC。基础结构主机同法)

DC1

clip_image072

先要在主域控制器上能通BDC那么计算机。

clip_image074

clip_image076

clip_image078

clip_image080

clip_image082

clip_image084

clip_image086

clip_image088

以上图示表明转换成。

注意: 操作主机转移到BDC上面去之后,也可以再转回来,转移主机角色是可逆的。

从BDC转回主域控制器时,先在BDC上面连接到主域控制器,之后才行,如下所示:

clip_image090

2)域命名主机角色转移

clip_image092

clip_image094

clip_image096

clip_image098

clip_image100

clip_image102

clip_image104

clip_image106

注意:

所有执行此程的帖号必须是AD中Domain Admins (指定的域管理员)J或Enterprise Admins(企业指定系统管理员)组成员。或者必须委派适当的权限,

5种操作主机角色都是可逆的,下面以域命名主机角色为例说明:如下图

clip_image108

clip_image110

clip_image112

clip_image114

clip_image116

clip_image118

clip_image120

成功。

注意:

所有执行此程的帖号必须是AD中Domain Admins (指定的域管理员)J或Enterprise Admins(企业指定系统管理员)组成员。或者必须委派适当的权限,

3.架构主机角色转移。

clip_image122

clip_image124

clip_image126

clip_image128

clip_image130

clip_image132

clip_image134

clip_image136

clip_image138

成功。

注意:

执行此过程的帐号必须是AD中scheme Admins组(架构指定系统管理体员)的成员,或者被委派适当的权限。

要想在控制台中添加AD架构管理单元,要运行“regsvr32 shmmgmt.dll注册此管理单元。

方法2:以RID为例介绍一下在命令行下进行操作主机角色转移。

clip_image140

clip_image142

clip_image144

clip_image146

clip_image148

clip_image150

clip_image152

clip_image154

clip_image156

查看结果。

clip_image158

clip_image160

成功。

注意:

如果要转移其他主机角色,可以在fsmo maintenance命令提示符下。输入有关转移的命令,如下表所示:

表-1 转移主机角色的命令

命令

意义

Transfer PDC

转移PDC仿真主机

Transfer RID master

转移RID主机

Transfer infrastructure master

转移基础结构主机

Transfer domian naming master

转移域命名主机

Transfer schema master

转移架构主机

总结以上结果:

1) 在转移主机角色的过程中,相关DC要始终保持联机,没有数据损失。

2) 在转移过程中要注意执行者是否有权限。

4.占用操作主机角色。

知识简介:以上介绍的转移操作主机角色的前提条件是操作主机联机,如果操作主机角色所在的域控制器出了故障,且无法恢复,这是就不能通过转移的方法产生出新的操作主机角色,那么通过什么方法才能完成呢?下面介绍占用操作主机角色的方法(有时也称之为强制传送)

环境介绍: 目前5台操作主机角色都在DC1 michael.com.cn上面,且DC1上面的网卡出现地故障,并无法恢复,此计算机也不能联网了,DC2也就联系不上操作主机了,如下图所示:,

clip_image162

现在如何让DC1向面的操作主机角色转移到DC2上面去。方法如下所示:

只能用命令行下进行占用:以PDC主机角色为例。

DC2上面配置:

clip_image164

clip_image166

clip_image168

clip_image170

查看结果:

clip_image172

注意: 如果要转移其它主机角色,可以在fsmo maintenance 命令提示符下输入以下所示命令:

命令

意义

Seize PDC

占用PDC仿真主机

Seize RID master

占用RID主机

Seize infrastructure master

占用基础结构主机

Seize domain naming master

占用域命名主机

Seize schema master

占用架构主机。

总结以上结果,可以看出:

1) 由于操作主机角色所在的DC1出故障,因此占用操作主机角色可能会有数据损失。

2) 在占用主机角色过程中要注意执行者是否有权限。

5,转移全局编录,(主域控制器-----BDC域控制器)。

原因:如果基础结构主机和全局编录处于相同域控制器中,则基础结构主机不会行。因此,要转移。方法如下:

BDC上面全局编录选项打勾:

clip_image174

clip_image176

clip_image178

clip_image180

DC1上面去掉勾.

clip_image182

clip_image184

clip_image180[1]

测试结果:

DC2:

clip_image186

clip_image188

成功.