艾銻知識—IT系統運維| Windows域環境的角色理解
2020-04-26 14:49 作者:艾銻無限 瀏覽量:
IT系統運維| Windows域環境的角色理解
在企業網絡架構中,很多都有部署Windows域環境進行IT資源管理。對域環境角色的理解有助于我們更好的進行IT運維管理,分配不同IT業務資源。提高IT運維效率。
能稱為“靈活單一主機操作”,常用FSMO來表示,擁有這些特殊功能執行能力的主機被稱為FSMO角色主機。AD域中,FSMO有五種角色,分成兩大類:
Forest 森林級別(在整個林中只能有一臺DC擁有訪問主機角色)
1:架構主機 (Schema Master)
2:域命名主機 (Domain Naming Master)
Domain域級別(在域中只有一臺DC擁有該角色)
3:PDC模擬器(PDC Emulator)
4:角色主機/RID主機 (RID Master)
5:基礎架構主機 (Infrastructure Master)
1:架構主機
控制活動目錄整個林中所有對象和屬性的定義,具有架構主機角色的DC是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。架構主機是基于目錄林的,整個目錄
林中只有一個架構主機。
2:域命名主機
向目錄林中添加新域。
從目錄林中刪除現有的域。
添加或刪除描述外部目錄的交叉引用對象.
3:PDC模擬器
向后兼容低級客戶端和服務器,擔任NT系統中PDC角色
時間同步服務源,作為本域權威時間服務器,為本域中其它DC以及客戶機提供時間同步服務,林中根域的PDC模擬器又為其它域PDC模擬器提供時間同步!
密碼最終驗證服務器,當一用戶在本地DC登錄,而本地DC驗證本地用戶輸入密碼無效時,本地DC會查詢PDC模擬器,詢問密碼是否正確。
首選的組策略存放位置,組策略對象(GPO)由兩部分構成:GPT和GPC,其中GPC存放在AD數據庫中,GPT默認存放PDC模擬器在\\windows\sysvol\sysvol\目錄下,然后通過DFS復制到本域其它DC中。name
域主機瀏覽器,提供通過網上鄰居查看域環境中所有主機的功能
4:主機角色:RID主機
Windows域環境中,所有的安全主體都有SID,SID由域SID+序列號組合而成,后者稱為“相對ID”(Relative ID,RID),在Windows 域環境中,由于任何DC都可以創建安全主體,為保證整個域中每個DC所創建的安全
主體對應的SID在整個域范圍唯一性,設立該主機角色,負責向其它DC分配RID池(默認一次性分配500個),所有非RID主機在創建安全實體時,都從分配給的RID池中分配RID,以保證SID不會發生沖突! 當非RID
主機中分配的RID池使用到80%時,會繼續RID主機,申請分配下一個RID地址池!
5:基礎架構主機
基礎結構主機的作用是負責對跨域對象引用進行更新,以確保所有域間操作對象的一致性。
基礎架構主機工作機制是定期會對沒有保存在本機的引用對象信息,而對于GC來說,會保存當前林中所有對象信息。如果基礎架構主機與GC在同一臺機,基礎架構主機就不會更新到任何對象。所以在多域情況
下,強烈建議不要將基礎架構主機設為GC。
二:操作主機角色放置優化配置建議
默認情況下,架構主機和域命名主機角色是在根域的第一臺DC上,而PDC模擬器,RID主機和基礎結構主機默認放置在當前域的第一臺DC上。特別是在單域環境中,按默認安裝,第一臺DC會同時擁有這五種
FSMO操作主機角色。萬一這臺DC損壞,會對域環境造成極大風險!
常見的操作主機角色放置建議如下:
1:架構主機:擁有架構主機角色的DC不需要高性能,因為在實際環境中不會經常對Schema進行操作的,除非是經常會對Schema進行擴展,不過這種情況非常的少。但要保證可用性,否則在安裝Exchange等
會擴展AD架構的軟件時會出錯。
2:域命名主機:對占有域命名主機的DC也不需要高性能,在實際環境中也不會經常在森林里添加或者刪除域的。但要保證高可用性是有必要的,以保證在添加刪除當前林中域時可以使用。
一般建議由同一臺DC承擔架構主機與域域命名主機角色,并由GC放置在同一臺DC中。
3:PDC模擬器:從上述PDC功能中可以看出,PDC模擬器是FSMO五種角色里任務最重的,必須保持擁有PDC的DC有高性能和高可用性。
4:RID主機:對于占有RID Master的域控制器,沒有必要一定要求高性能,因為給其它DC分配RID池的操作不是經常性發生,但要求高可用性,否則在添加用戶時出錯。
5:基礎架構主機:對于單域環境,基礎架構主機實際上不起作用,因為基礎架構主機主要作用是對跨域對象引用進行更新,對于單域,不存在跨域對象的更新。基礎架構主機對性能和可用性方面的要求較低。
PDC 和 RID不建議 和GC 放置在同一臺DC中
三:標準圖形界面查看和更改操作主機角色的方法
1:查看和更改架構Schema Master主機角色:
步驟:注冊:regsvr32 schmmgmt 在MMC中添加AD架構管理單元打開MMC控制臺,
選中“Active Directory架構”擊“右鍵”,選擇“操作主機”
打開更改架構頁面后,點擊"更改"就可以進行架構主機角色的更改
2.查看和更改PDC模擬器,RID主機以及基礎結構主機
步驟:開始-設置-控制面板-管理工具-Active Directory用戶和計算機 選定當前域名,右鍵單擊,選擇“操作主機”
在打開的頁面中,通過點擊“更改”按鈕就可以對RID主機,PDC模擬器以及基礎結構主機角色進行更改
3.查看和更改域命名主機角色
步驟:點擊“開始-設置-控制面板-管理工具-Active Directory域和信任關系”: 選中“Active Directory域和信任關系”,右鍵單擊,選擇“操作主機”
在打開的窗口中,點擊“更改”按鈕就可以實現對域命名主機角色進行更改
C:\Windows\System32>netdom query FSMO
Schema master root-dc1.teltong.corp
Domain naming master root-dc1.teltong.corp
PDC wx-dc2.sh.teltong.corp
RID pool manager wx-dc2.sh.teltong.corp
Infrastructure master wx-dc2.sh.teltong.corp
The command completed successfully.
修改之后
C:\Windows\System32>netdom query FSMO
Schema master root-dc1.teltong.corp
Domain naming master root-dc1.teltong.corp
PDC wx-dc1.sh.teltong.corp
RID pool manager wx-dc1.sh.teltong.corp
Infrastructure master wx-dc2.sh.teltong.corp
The command completed successfully.
附:GC(Global Catalog)是一臺DC,它是一臺特殊的DC,它存儲森林中所有對象部分只讀信息的特殊DC。在森林可以有多臺GC,全局編錄是一數據庫,它包含了在活動目錄中所有對象連續請求信息的子
集,例如用戶登錄的ID等。
GC的主要作用有:1、存儲森林對象的信息副本。2、存儲能用組成員身份信息。3、提高用戶主體(UPN)名稱身份驗證信息。4、驗證林內的對象參考。
GC正常工作時要用3268、3269(SSL),注意防火墻打開此端口。
以上內容由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉