艾銻知識(shí)—IT系統(tǒng)運(yùn)維| Windows域環(huán)境的角色理解

2020-04-26 14:49 作者：艾銻無(wú)限 瀏覽量：

 
在企業(yè)網(wǎng)絡(luò)架構(gòu)中，很多都有部署Windows域環(huán)境進(jìn)行IT資源管理。對(duì)域環(huán)境角色的理解有助于我們更好的進(jìn)行IT運(yùn)維管理，分配不同IT業(yè)務(wù)資源。提高IT運(yùn)維效率。 在Windows域多主機(jī)復(fù)制環(huán)境中，任何域控制器理論上都可以更改Active Directory中的任何對(duì)象。但實(shí)際上并非如此，某些AD功能不允許在多臺(tái)DC上完成，否則可能會(huì)造成AD數(shù)據(jù)庫(kù)一致性錯(cuò)誤，這些特殊的功

能稱為“靈活單一主機(jī)操作”，常用FSMO來(lái)表示，擁有這些特殊功能執(zhí)行能力的主機(jī)被稱為FSMO角色主機(jī)。AD域中，F(xiàn)SMO有五種角色,分成兩大類:

Forest 森林級(jí)別(在整個(gè)林中只能有一臺(tái)DC擁有訪問(wèn)主機(jī)角色)

1：架構(gòu)主機(jī) (Schema Master)

2：域命名主機(jī) (Domain Naming Master)

Domain域級(jí)別(在域中只有一臺(tái)DC擁有該角色)

3：PDC模擬器(PDC Emulator)

4：角色主機(jī)/RID主機(jī) (RID Master)

5：基礎(chǔ)架構(gòu)主機(jī) (Infrastructure Master)

1：架構(gòu)主機(jī)

控制活動(dòng)目錄整個(gè)林中所有對(duì)象和屬性的定義，具有架構(gòu)主機(jī)角色的DC是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。架構(gòu)主機(jī)是基于目錄林的，整個(gè)目錄
林中只有一個(gè)架構(gòu)主機(jī)。

2：域命名主機(jī)
向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對(duì)象.

3：PDC模擬器

向后兼容低級(jí)客戶端和服務(wù)器，擔(dān)任NT系統(tǒng)中PDC角色

時(shí)間同步服務(wù)源，作為本域權(quán)威時(shí)間服務(wù)器，為本域中其它DC以及客戶機(jī)提供時(shí)間同步服務(wù)，林中根域的PDC模擬器又為其它域PDC模擬器提供時(shí)間同步!

密碼最終驗(yàn)證服務(wù)器，當(dāng)一用戶在本地DC登錄，而本地DC驗(yàn)證本地用戶輸入密碼無(wú)效時(shí)，本地DC會(huì)查詢PDC模擬器，詢問(wèn)密碼是否正確。

首選的組策略存放位置，組策略對(duì)象(GPO)由兩部分構(gòu)成：GPT和GPC，其中GPC存放在AD數(shù)據(jù)庫(kù)中，GPT默認(rèn)存放PDC模擬器在\\windows\sysvol\sysvol\目錄下，然后通過(guò)DFS復(fù)制到本域其它DC中。name
域主機(jī)瀏覽器，提供通過(guò)網(wǎng)上鄰居查看域環(huán)境中所有主機(jī)的功能

4：主機(jī)角色：RID主機(jī)

Windows域環(huán)境中，所有的安全主體都有SID，SID由域SID+序列號(hào)組合而成，后者稱為“相對(duì)ID”(Relative ID,RID),在Windows 域環(huán)境中，由于任何DC都可以創(chuàng)建安全主體，為保證整個(gè)域中每個(gè)DC所創(chuàng)建的安全

主體對(duì)應(yīng)的SID在整個(gè)域范圍唯一性，設(shè)立該主機(jī)角色，負(fù)責(zé)向其它DC分配RID池(默認(rèn)一次性分配500個(gè))，所有非RID主機(jī)在創(chuàng)建安全實(shí)體時(shí)，都從分配給的RID池中分配RID，以保證SID不會(huì)發(fā)生沖突! 當(dāng)非RID

主機(jī)中分配的RID池使用到80%時(shí)，會(huì)繼續(xù)RID主機(jī)，申請(qǐng)分配下一個(gè)RID地址池!

5：基礎(chǔ)架構(gòu)主機(jī)

基礎(chǔ)結(jié)構(gòu)主機(jī)的作用是負(fù)責(zé)對(duì)跨域?qū)ο笠眠M(jìn)行更新，以確保所有域間操作對(duì)象的一致性。

基礎(chǔ)架構(gòu)主機(jī)工作機(jī)制是定期會(huì)對(duì)沒(méi)有保存在本機(jī)的引用對(duì)象信息，而對(duì)于GC來(lái)說(shuō)，會(huì)保存當(dāng)前林中所有對(duì)象信息。如果基礎(chǔ)架構(gòu)主機(jī)與GC在同一臺(tái)機(jī)，基礎(chǔ)架構(gòu)主機(jī)就不會(huì)更新到任何對(duì)象。所以在多域情況
下，強(qiáng)烈建議不要將基礎(chǔ)架構(gòu)主機(jī)設(shè)為GC。


二：操作主機(jī)角色放置優(yōu)化配置建議

默認(rèn)情況下，架構(gòu)主機(jī)和域命名主機(jī)角色是在根域的第一臺(tái)DC上，而PDC模擬器，RID主機(jī)和基礎(chǔ)結(jié)構(gòu)主機(jī)默認(rèn)放置在當(dāng)前域的第一臺(tái)DC上。特別是在單域環(huán)境中，按默認(rèn)安裝，第一臺(tái)DC會(huì)同時(shí)擁有這五種
FSMO操作主機(jī)角色。萬(wàn)一這臺(tái)DC損壞，會(huì)對(duì)域環(huán)境造成極大風(fēng)險(xiǎn)!

常見(jiàn)的操作主機(jī)角色放置建議如下：

1：架構(gòu)主機(jī)：擁有架構(gòu)主機(jī)角色的DC不需要高性能，因?yàn)樵趯?shí)際環(huán)境中不會(huì)經(jīng)常對(duì)Schema進(jìn)行操作的，除非是經(jīng)常會(huì)對(duì)Schema進(jìn)行擴(kuò)展，不過(guò)這種情況非常的少。但要保證可用性，否則在安裝Exchange等
會(huì)擴(kuò)展AD架構(gòu)的軟件時(shí)會(huì)出錯(cuò)。

2：域命名主機(jī)：對(duì)占有域命名主機(jī)的DC也不需要高性能，在實(shí)際環(huán)境中也不會(huì)經(jīng)常在森林里添加或者刪除域的。但要保證高可用性是有必要的，以保證在添加刪除當(dāng)前林中域時(shí)可以使用。
一般建議由同一臺(tái)DC承擔(dān)架構(gòu)主機(jī)與域域命名主機(jī)角色，并由GC放置在同一臺(tái)DC中。

3：PDC模擬器：從上述PDC功能中可以看出，PDC模擬器是FSMO五種角色里任務(wù)最重的，必須保持擁有PDC的DC有高性能和高可用性。

4：RID主機(jī)：對(duì)于占有RID Master的域控制器，沒(méi)有必要一定要求高性能，因?yàn)榻o其它DC分配RID池的操作不是經(jīng)常性發(fā)生，但要求高可用性，否則在添加用戶時(shí)出錯(cuò)。

5：基礎(chǔ)架構(gòu)主機(jī)：對(duì)于單域環(huán)境，基礎(chǔ)架構(gòu)主機(jī)實(shí)際上不起作用，因?yàn)榛A(chǔ)架構(gòu)主機(jī)主要作用是對(duì)跨域?qū)ο笠眠M(jìn)行更新，對(duì)于單域，不存在跨域?qū)ο蟮母隆；A(chǔ)架構(gòu)主機(jī)對(duì)性能和可用性方面的要求較低。 

PDC 和 RID不建議 和GC 放置在同一臺(tái)DC中

三：標(biāo)準(zhǔn)圖形界面查看和更改操作主機(jī)角色的方法

1：查看和更改架構(gòu)Schema Master主機(jī)角色：
步驟：注冊(cè)：regsvr32 schmmgmt 在MMC中添加AD架構(gòu)管理單元打開MMC控制臺(tái)，

選中“Active Directory架構(gòu)”擊“右鍵”，選擇“操作主機(jī)”

打開更改架構(gòu)頁(yè)面后,點(diǎn)擊"更改"就可以進(jìn)行架構(gòu)主機(jī)角色的更改

2.查看和更改PDC模擬器,RID主機(jī)以及基礎(chǔ)結(jié)構(gòu)主機(jī)
步驟：開始-設(shè)置-控制面板-管理工具-Active Directory用戶和計(jì)算機(jī) 選定當(dāng)前域名，右鍵單擊，選擇“操作主機(jī)”

在打開的頁(yè)面中，通過(guò)點(diǎn)擊“更改”按鈕就可以對(duì)RID主機(jī)，PDC模擬器以及基礎(chǔ)結(jié)構(gòu)主機(jī)角色進(jìn)行更改

3.查看和更改域命名主機(jī)角色

步驟：點(diǎn)擊“開始-設(shè)置-控制面板-管理工具-Active Directory域和信任關(guān)系”: 選中“Active Directory域和信任關(guān)系”，右鍵單擊，選擇“操作主機(jī)”

在打開的窗口中，點(diǎn)擊“更改”按鈕就可以實(shí)現(xiàn)對(duì)域命名主機(jī)角色進(jìn)行更改
C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc2.sh.teltong.corp

RID pool manager            wx-dc2.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.


修改之后

C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc1.sh.teltong.corp
RID pool manager            wx-dc1.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.

附：GC（Global Catalog）是一臺(tái)DC，它是一臺(tái)特殊的DC，它存儲(chǔ)森林中所有對(duì)象部分只讀信息的特殊DC。在森林可以有多臺(tái)GC，全局編錄是一數(shù)據(jù)庫(kù)，它包含了在活動(dòng)目錄中所有對(duì)象連續(xù)請(qǐng)求信息的子
集，例如用戶登錄的ID等。

GC的主要作用有：1、存儲(chǔ)森林對(duì)象的信息副本。2、存儲(chǔ)能用組成員身份信息。3、提高用戶主體（UPN）名稱身份驗(yàn)證信息。4、驗(yàn)證林內(nèi)的對(duì)象參考。

GC正常工作時(shí)要用3268、3269（SSL），注意防火墻打開此端口。

 以上內(nèi)容由北京艾銻無(wú)限科技發(fā)展有限公司整理