操作主機

在 Acitive Directory中大部分資料時采用”多主模式”進行複制,域内的屬于每個域控制器中的ActiveDirectory内容均可以發生變化，并且可複制到其他的域控制器中，域内的DC在地位上是平等的，但是在平時任務承擔的過程中确實不一樣的哦！

下面我們就來談談操作主機這幾個角色！

首先我先說一下今天的實驗部署：如圖：                

<a href="http://blog.51cto.com/attachment/201006/120454174.jpg" target="_blank"></a>

在weipengfei.net 這個域環境中，Perth 作 DC Server DNS Server ip 為 192.168.18.1 Istanbul 作額外的DC Server ip 為192.168.18.2 兩台機器都安裝 windows Server 2003 的 企業版的作業系統！

在介紹weipengfei.net域中DC所扮演的角色時，我們先談談幾個角色的功能吧！

Active Directory 中一共有了五個操作主機角色，（operations master roles）

Ø      架構主機

Ø      域命名主機

Ø      PDC主機

Ø      RID 主機

Ø      結構主機

在整個域林中同一時間内隻能有一台“架構主機”和“域命名主機”，每個域中同一時間内隻能有一台“RID主機”、“PDC主機”和“結構主機”

1、         架構主機

架構主機負責更新和修改架構（比如添加一些對象或者是一些屬性），假如在安裝 LCS （live communications Server） 或者是 exchange 時，架構主機離線的話，就無法安裝這些軟體！

2、域命名主機

域命名主機負責管理域林中内的名稱空間，可以防止域名重複如果“域命名主機”離線，無法完成林中添加或是删除域的工作！

3、PDC主機

PDC主機主要有以下幾個優點：

⑴、相容NT4

當NT4 用戶端發生資料變化時，如更改密碼這個最新的資料首先會被複制到PDC 主機上，否則的話，這個使用者将不能登入！

⑵、優先稱為主浏覽器

在指令提示符下 輸入 nbtstat –n 我們可以檢視機器所扮演的伺服器的角色。(此處的角色并不是操作主機的角色)

⑶、Active Directory 優先複制

Active Directory 優先複制 這種情況隻是适用于AD的緊急事件，例如：在一個域裡面有A 、B、C、D四台 域控制器，其中一個使用者更改密碼，當這個更新的資料傳到A 這個域控制器但還沒有複制B 這個DC時，由于使用者登入是随機尋找一台DC 來驗證，是以當使用者在B 這個DC 上做驗證時，則會造成使用者登入失敗！而PDC 主機正好可以解決這個問題，當B域控制器沒有這個使用者的資料時，B 域控制器會到PDC 主機上來查詢這個使用者的資訊，以友善使用者能夠正常登入！

4、RID主機

計算機中的任何對象都有他們自己的SID（安全識别碼），例如其中一個使用者SID：

S-1-5-21-1790971530-247190114-136752233-<b>500</b> 紅色部分為固定值，綠色部分代表使用者所在域或計算機，最後是使用者在域或是計算機中的序列号。這個SID是由RID主機來配置設定。如果“RID主機”離線，可能無法添加對象！

5、結構主機

其實結構主機隻是适用于單域的情況，當存在多個域的時候，user1 從A域調到B 域中，當user1 被删除的時候，結構主機會發出報警，并更新B域的資訊！

現在我們對操作主機有了一定的了解！那麼今天我們看看這個實驗吧：

<b>一、   </b><b>檢視操作主機角色</b>

打開“開始”—“程式”—“管理工具”--“Active Directory使用者和計算機” 右鍵 “weipengfei.net”單擊“操作主機”                  

如圖我們可以看到RID主機是由Perth.weipengfei.net 這台計算機扮演，同樣我們可以看到PDC主機 和 結構主機 的扮演者都是Perth.weipengfei.net 來扮演！如圖：                      

<a href="http://blog.51cto.com/attachment/201006/120659139.jpg" target="_blank"></a>

在“開始”—“程式”—“管理工具”—“Active Directory 域和信任關系”中 右鍵 “Active Directory域和信任關系”單擊 “操作主機” 我們可以看到扮演域命名的主機

如圖：       

Perth.weipengfei.net 是域命名主機

對于架構主機，我們似乎可以在 “mmc”管理控制台來尋找，但是經過尋找後我們發現根本就沒有類似“Active Directory 架構”的選項啊！ 其實我們需要手動注冊動态連結庫！

在“開始”—“運作”中 輸入“regsvr32 schmmgmt.dll”

如圖我們已經添加成功 

<a href="http://blog.51cto.com/attachment/201006/121045647.jpg" target="_blank"></a>

打開“MMC”管理控制台，在“檔案”—“添加/删除管理單元”—“添加”，我們選擇“Active Directory架構” 如圖

<a href="http://blog.51cto.com/attachment/201006/121124345.jpg" target="_blank"></a>

如圖右鍵“Active Directory架構”單擊 “操作主機”，可以看到此時的結構主機是：Perth.weipengfei.net  

<a href="http://blog.51cto.com/attachment/201006/121317907.jpg" target="_blank"></a>

二、    操作主機角色的轉移

在利用“dcpromo”将DC降級為成員伺服器或者是獨立伺服器時，其操作主機的角色會自動轉移到其他域控制器上！再一種就是利用“MMC”管理控制台轉移操作主機的角色！

今天我将在指令提示符下進行角色的轉移！

我們将 Perth.weipengfei.net 的五個角色全部轉移到 Istanbul.weipengfei.net 上！

我們在Istanbul.weipengfei.net 上做操作，在“開始”—“運作”中 輸入“cmd”，在“指令提示符”中一次輸入以下指令

Ntdsutil   -- 調用ntdsutil 這個工具

Roles    --對域中的操作主機進行操作

Connections --連接配接到伺服器

Connect to Server –連接配接到即将繼承角色的Server

Quit --退出上一級菜單

Transfer PDC ---将已經連接配接的伺服器定為PDC

Transfer RID master --将已經連接配接的伺服器定為 RID

Transfer schema master ---将已連接配接的伺服器定為架構主機

Transfer domain naming master ---将以連接配接的伺服器定為 域命名主機

Transfer infrastructure master --将已經連接配接的伺服器定為結構主機

-----這麼多的指令誰能記的住啊，嘿嘿  打個” ？ “ 不就什麼都出來了嘛！

如圖：我們進行角色的轉移： 

<a href="http://blog.51cto.com/attachment/201006/121357600.jpg" target="_blank"></a>

我們選擇“是”，下面是轉移的過程

我們繼續輸入：“transfer RID master” –轉移RID 角色！

<a href="http://blog.51cto.com/attachment/201006/121447147.jpg" target="_blank"></a>

如圖我們選擇“是”， 下面是 轉移的過程：

同樣的步驟，我們可以把 其他幾個角色 全部轉移到Istanbul.weipengfei.net

三、    再次檢視操作主機的角色

在 “Active Directory 使用者和計算機”中，右鍵“weipengfei.net”單擊“操作主機” 如圖我們可以看到：RID . PDC. 結構主機都已經是 Istanbul.weipengfei.net 這台機器，

在“Active Directory 域和信任關系”右鍵“Active Directory 域和信任關系” 單擊“操作主機” 我們可以看到 域命名主機為 Istanbul.weipengfei.net 是域命名主機，如圖：     

架構主機同樣是：Istanbul.weipengfei.net

在 “Active Directory 架構” 中  如圖：     

<a href="http://blog.51cto.com/attachment/201006/121732257.jpg" target="_blank"></a>

四、    占用角色

當安全轉移操作主機角色的時候，扮演幾個角色的域控制器必須全部線上，假如那個域控制器離線，那麼安全轉移角色将會是失敗！因為現在 Istanbul.weipengfei.net扮演者全部的操作主機角色！現在我們來模拟 Istanbul.weipengfei.net 這台域控制器永遠的壞掉！這種情況下 如何占用操作主機角色！（直接将Istanbul關機就可以啦！）

在Perth.weipengfei.net 上  “開始”—“運作”中 輸入“cmd”

與上面不一樣的就是 将 “transfer” – 全部替換為“seize”

表示進行強行占用！

如圖：

  我們選擇“是”，在強行占用之前，Perth 會先嘗試進行安全轉移，如果失敗的話，在進行強行占用！下面是占用的過程！

同樣的方式，我們可以把其他幾個角色全部“搶”過來，

下面是 占用“rid”主機過程：

<a href="http://blog.51cto.com/attachment/201006/121853245.jpg" target="_blank"></a>

下面占用的其他幾個角色的過程我就不一一列舉。。。。。。

當幾個角色全部占用完成後我們可以好好休息一下啦！

其實做到這裡我們已經，足可以能夠應付現在的工作情況，但是由于，Istanbul突然的離線造成，其他域控制器（Perth）的Active Directory 并沒有得到更新，kcc 進行複制拓撲計算時，還是會把

Istanbul 計算在内，可能造成複制拓撲的斷路情況，又因為，使用者作身份驗證的時候，是随便找一台域控制器進行驗證，可能造成使用者驗證失敗！。。。。。。

既然有可能出現上面的情況，我們需要手動更新Perth 上的 Active Directory 上的内容！

在“開始”—“運作”—“cmd” 輸入

Ntdsutl --- 調用ntdsutil 工具

Metadata cleanup ---清理不使用的伺服器對象

Connections

Connect to Server   --連接配接到特定的伺服器

Select operation target --- 選擇站點、伺服器、域、角色

List sites -- 列出站點

Select site %D 将%d 站點定為所選站點

List domains in site -- 列出目前站點中的域

Select domain %d ==将%d 域定為所選域

List Servers for domain in site 列出所選域和站點中的伺服器

Select Server %d --将 %d伺服器定為所選伺服器

Quit --退到上一級菜單

Remove selected Server ---從所選的伺服器上删除ds 對象！

指令我們大緻了解後，現在我們就手動更新Active Directory吧！

<a href="http://blog.51cto.com/attachment/201006/122024537.jpg" target="_blank"></a>

  我們選擇”是”

<a href="http://blog.51cto.com/attachment/201006/122053709.jpg" target="_blank"></a>

圖中已經提示:我們已經手動更新了”Istanbul中的Active Directory”

剩下的我們在 “Active Directory使用者和計算機”删除”Perth”

<a href="http://blog.51cto.com/attachment/201006/122158304.jpg" target="_blank"></a>

    選擇”這台域控制器永遠并且不再能用Active Directory 安裝 向導将其降級”

<a href="http://blog.51cto.com/attachment/201006/122241344.jpg" target="_blank"></a>

 這是警告資訊,直接單擊”是”

呀呀呀！由于一時疏忽，“DNS”被毀啦，幸好不是在生産環境下！！！！（其實應該模拟Istanbul這個DC的故障，）還是在Istanbul中建立一個吧，在”控制台”—“添加删除程式”--“添加/删除元件”—“網絡服務”中選擇“域名系統（DNS）”進行安裝，安裝完成後，打開“管理工具”—“DNS”,右鍵正向區域，建立區域 “weipengfei.net”（與Active Directory中的域的域名必須相同），并支援動态更新，Istanbul

IP參數中的首選DNS 指向自己（192.168.18.2/127.0.0.1），重新啟動“netlogon”服務即可!!!(切莫大意！)

轉到”DNS”中,我們可以看到 “dns”中的SRV記錄！

<a href="http://blog.51cto.com/attachment/201006/122338171.jpg" target="_blank"></a>

SRV記錄中隻有 Istanbul.weipengfei.net這個記錄！

總結：五個操作主機的角色都非常重要，當某一個出現問題時，必須及時的去更正，此時就涉及到：操作主機角色的轉移和占用，Active Directory 内容的更新，DNS中SRV記錄！把握住這三點，基本上能夠滿足日常的生産環境！

本文轉自 位鵬飛 51CTO部落格，原文連結：http://blog.51cto.com/weipengfei/327543，如需轉載請自行聯系原作者