艾銻知識—IT系統運維| Windows域環境的角色理解

2020-04-26 14:49 作者：艾銻無限 瀏覽量：

 
在企業網絡架構中，很多都有部署Windows域環境進行IT資源管理。對域環境角色的理解有助于我們更好的進行IT運維管理，分配不同IT業務資源。提高IT運維效率。 在Windows域多主機復制環境中，任何域控制器理論上都可以更改Active Directory中的任何對象。但實際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數據庫一致性錯誤，這些特殊的功

能稱為“靈活單一主機操作”，常用FSMO來表示，擁有這些特殊功能執行能力的主機被稱為FSMO角色主機。AD域中，FSMO有五種角色,分成兩大類:

Forest 森林級別(在整個林中只能有一臺DC擁有訪問主機角色)

1：架構主機 (Schema Master)

2：域命名主機 (Domain Naming Master)

Domain域級別(在域中只有一臺DC擁有該角色)

3：PDC模擬器(PDC Emulator)

4：角色主機/RID主機 (RID Master)

5：基礎架構主機 (Infrastructure Master)

1：架構主機

控制活動目錄整個林中所有對象和屬性的定義，具有架構主機角色的DC是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。架構主機是基于目錄林的，整個目錄
林中只有一個架構主機。

2：域命名主機
向目錄林中添加新域。

從目錄林中刪除現有的域。

添加或刪除描述外部目錄的交叉引用對象.

3：PDC模擬器

向后兼容低級客戶端和服務器，擔任NT系統中PDC角色

時間同步服務源，作為本域權威時間服務器，為本域中其它DC以及客戶機提供時間同步服務，林中根域的PDC模擬器又為其它域PDC模擬器提供時間同步!

密碼最終驗證服務器，當一用戶在本地DC登錄，而本地DC驗證本地用戶輸入密碼無效時，本地DC會查詢PDC模擬器，詢問密碼是否正確。

首選的組策略存放位置，組策略對象(GPO)由兩部分構成：GPT和GPC，其中GPC存放在AD數據庫中，GPT默認存放PDC模擬器在\\windows\sysvol\sysvol\目錄下，然后通過DFS復制到本域其它DC中。name
域主機瀏覽器，提供通過網上鄰居查看域環境中所有主機的功能

4：主機角色：RID主機

Windows域環境中，所有的安全主體都有SID，SID由域SID+序列號組合而成，后者稱為“相對ID”(Relative ID,RID),在Windows 域環境中，由于任何DC都可以創建安全主體，為保證整個域中每個DC所創建的安全

主體對應的SID在整個域范圍唯一性，設立該主機角色，負責向其它DC分配RID池(默認一次性分配500個)，所有非RID主機在創建安全實體時，都從分配給的RID池中分配RID，以保證SID不會發生沖突! 當非RID

主機中分配的RID池使用到80%時，會繼續RID主機，申請分配下一個RID地址池!

5：基礎架構主機

基礎結構主機的作用是負責對跨域對象引用進行更新，以確保所有域間操作對象的一致性。

基礎架構主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC來說，會保存當前林中所有對象信息。如果基礎架構主機與GC在同一臺機，基礎架構主機就不會更新到任何對象。所以在多域情況
下，強烈建議不要將基礎架構主機設為GC。


二：操作主機角色放置優化配置建議

默認情況下，架構主機和域命名主機角色是在根域的第一臺DC上，而PDC模擬器，RID主機和基礎結構主機默認放置在當前域的第一臺DC上。特別是在單域環境中，按默認安裝，第一臺DC會同時擁有這五種
FSMO操作主機角色。萬一這臺DC損壞，會對域環境造成極大風險!

常見的操作主機角色放置建議如下：

1：架構主機：擁有架構主機角色的DC不需要高性能，因為在實際環境中不會經常對Schema進行操作的，除非是經常會對Schema進行擴展，不過這種情況非常的少。但要保證可用性，否則在安裝Exchange等
會擴展AD架構的軟件時會出錯。

2：域命名主機：對占有域命名主機的DC也不需要高性能，在實際環境中也不會經常在森林里添加或者刪除域的。但要保證高可用性是有必要的，以保證在添加刪除當前林中域時可以使用。
一般建議由同一臺DC承擔架構主機與域域命名主機角色，并由GC放置在同一臺DC中。

3：PDC模擬器：從上述PDC功能中可以看出，PDC模擬器是FSMO五種角色里任務最重的，必須保持擁有PDC的DC有高性能和高可用性。

4：RID主機：對于占有RID Master的域控制器，沒有必要一定要求高性能，因為給其它DC分配RID池的操作不是經常性發生，但要求高可用性，否則在添加用戶時出錯。

5：基礎架構主機：對于單域環境，基礎架構主機實際上不起作用，因為基礎架構主機主要作用是對跨域對象引用進行更新，對于單域，不存在跨域對象的更新?；A架構主機對性能和可用性方面的要求較低。 

PDC 和 RID不建議 和GC 放置在同一臺DC中

三：標準圖形界面查看和更改操作主機角色的方法

1：查看和更改架構Schema Master主機角色：
步驟：注冊：regsvr32 schmmgmt 在MMC中添加AD架構管理單元打開MMC控制臺，

選中“Active Directory架構”擊“右鍵”，選擇“操作主機”

打開更改架構頁面后,點擊"更改"就可以進行架構主機角色的更改

2.查看和更改PDC模擬器,RID主機以及基礎結構主機
步驟：開始-設置-控制面板-管理工具-Active Directory用戶和計算機 選定當前域名，右鍵單擊，選擇“操作主機”

在打開的頁面中，通過點擊“更改”按鈕就可以對RID主機，PDC模擬器以及基礎結構主機角色進行更改

3.查看和更改域命名主機角色

步驟：點擊“開始-設置-控制面板-管理工具-Active Directory域和信任關系”: 選中“Active Directory域和信任關系”，右鍵單擊，選擇“操作主機”

在打開的窗口中，點擊“更改”按鈕就可以實現對域命名主機角色進行更改
C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc2.sh.teltong.corp

RID pool manager            wx-dc2.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.


修改之后

C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc1.sh.teltong.corp
RID pool manager            wx-dc1.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.

附：GC（Global Catalog）是一臺DC，它是一臺特殊的DC，它存儲森林中所有對象部分只讀信息的特殊DC。在森林可以有多臺GC，全局編錄是一數據庫，它包含了在活動目錄中所有對象連續請求信息的子
集，例如用戶登錄的ID等。

GC的主要作用有：1、存儲森林對象的信息副本。2、存儲能用組成員身份信息。3、提高用戶主體（UPN）名稱身份驗證信息。4、驗證林內的對象參考。

GC正常工作時要用3268、3269（SSL），注意防火墻打開此端口。

 以上內容由北京艾銻無限科技發展有限公司整理