windows 2008 AD 操做主機徹底攻略

     在windows 2003 和windows 2008的域環境下,Active Directory 支持域中全部域控制器之間的目錄數據存儲的多主機複製，所以域中的全部域控制器實質上都是對等的,並無主域控與輔助域控之分。可是，有些更改不適合使用多主機複製執行，所以對於這種類型的更改，都有一個稱爲「操做主機(FSMO)」的域控制器接收此類更改的請求。對應於處理請求內容的不一樣,AD內操做主機有如下五種角色:
   1.架構主機 schema master
   2.域命名主機 domain naming master
   3.相對標識號 (RID) 主機 RID master
   4.主域控制器仿真主機 (PDCE)
   5.基礎結構主機 infrastructure master

   下面咱們就這五種操做主機的做用範圍、功能、查看、傳送及佔用操做主機的方法來進行了解：

1、做用範圍：

林範圍內操做主機有：架構主機和域命名主機，這兩種操做主機森林範圍內惟一，也就是說若是一個森林內有10個域，那麼這總共10個域只會有一個架構主機和域命名主機，一般這兩種操做主機角色默認存在於森林根域的第一臺域控內。

域範圍內操做主機有：RID主機、PDC仿真主機、基礎結構主機，這三種主機域範圍惟一，若是森林範圍內有10個域，那每一個域中都會存在這三種主機。每一個域中的這三種操做主機角色默認存在於該域的第一臺域控內。

2、功能：

1.架構主機：負責森林範圍內對架構的更新和修改。簡單來摔UB擔褪歉涸餉D中對象的增長、刪除以及屬性的修改。

好比林中常見對象有用戶、組、打印機等，經過對AD架構的修改，能夠去刪除一個已經存在的對象，如將打印機從AD架構中刪除，那麼用戶在AD中將沒法看到打印機對象。

2.域命名主機：負責林中域的添加和刪除。

在森林內建立新域時，會向域命名主機提交請求，查看是否在林中已有同名對象，如沒有同名對象才能建立該域，並在域命名主機內作相應記錄。

3.RID主機：負責將相對ID號分配給域中每一個域控制器。

在域中建立用戶、組或計算機帳戶時須要有一個惟一的sid,若是存在sid主機，sid主機每次向域內全部域控分發一批徹底不一樣的sid號，再由域控器將本身獲得的sid號分配給在該域控上建立的對象，以此來控制域內建立對象不會出現sid重複的狀況，若是沒有sid主機的話,對象sid出現重複將是沒法避免的現象。

4.PDC仿真主機：負責處理來自客戶端的密碼更改，及負責同步整個域內全部域控上的時間。

若是域內存在多臺域控，管理員在其中一臺域控上對用戶密碼作了修改，那密碼的修改會第一時間複製到PDC仿真主機上，該用戶使用新密碼登陸時，若是驗證的dc密碼修改信息還未複製過來，會認爲該用戶密碼錯誤，可是不會立刻拒絕，會馬上將驗證信息發往pdc仿真主機，因爲密碼的修改已經複製到pdc,該用戶身份驗證會經過。

一個域或森林內全部主機時間相差不能超過五分鐘，如超過該時限，複製機制會出錯， 父域pdc主機與外部時間服務器同步，子域pdc主機與父域pdc時間同步，子域全部主機與子域pdc時間同步，以此實現森林內全部主機時間均爲同步。

5.基礎結構主機：負責更新從它所在域中對象到其它域中對象的引用，以及負責在重命名或更改組成員關係時更新組到用戶的引用。

基礎結構主機將其數據與全局編錄的數據進行比較，全局編錄經過複製接收全部域中對象的按期更新，使全局編錄的數據始終保持最新，若是基礎結構主機發現數據已過期，則會從全局編錄請求更新的數據，基礎結構主機再將這些更新的數據複製到域中的其它域控制器。

如本地有用戶zhangs屬於其它域的groups組，當本域將用戶zhangs的用戶名改成lis後，在其它域的groups組中存放的用戶仍是zhangs,此時權限設置會出現問題，如存在基礎結構主機，當本域中出現用戶重名命狀況，域中基礎結構主機會查找用戶相關的組，將用戶變化信息提交到相關基礎結構主機並複製到相應的域控上。

3、如何使用圖形界面查看及傳送操做主機(佔用只能在命令行下完成)

1.查看及更改架構主機

(1).在森林根域的域控制器上開始--運行--regsvr32 schmmgmt.dll

 

(2).打開mmc-添加AD架構-肯定

(3).選擇根節點，右鍵-操做主機便可查看

(4) 如需更改架構主機爲其它域控，右鍵點AD架構-更改AD域控制器-選擇其它域控--肯定

（5）再次右鍵點擊AD架構--操做主機，更改便可.

 

2.查看域命名主機（如下只說查看，更改與前面相似）

(1). 在森林根域域控上開始--運行—domain.msc

(2).根節點上右鍵--操做主機，便可查看

3.查看域內RID、pdc和基礎結構主機。

(1).在dc上開始--運行—dsa.msc--打開AD用戶和計算機

(2).選擇域名--右鍵--操做主機進行查看

4.在命令行模式下傳送(transfer)與佔用(seize)操做主機角色

傳送與佔用的區別：

傳送是指在域或森林內，原來的操做主機是工做正常的狀況下，把原有操做主機功能傳給額外的域控，不會有數據丟失的狀況（可理解成公司內正常工做的交接）

佔用是指在域或森林內，原有操做主機沒法正常響應的狀況下，爲保證域內功能的正常使用，直接從額外域控上將原有主機的角色搶佔過來，但因爲沒法聯繫原來的操做主機，原有信息將會丟失，因此不到萬不得已，不要用搶佔。

以架構主機爲例進行傳送操做：

（1）.打開cmd-輸入ntdsutil—roles

(2). 輸入connections— connect to server  要傳送的服務器名

(3).鏈接到服務器成功後，輸入quit退回上級菜單，?後查看可執行的操做

(4).如需傳送操做主機角色使用transfer,如佔用使用seize,下例演示傳送命名主機

在圖中可看到，命名主機成功傳送至win2k8這臺域控，其它操做主機角色的傳送和佔用操做也與上面相似，再也不贅述（注意不論是傳送仍是佔用操做主機，必定要先鏈接到想要獲得操做主機角色的域控後，再進行傳送或是佔用操做）。