艾銻知識—IT系統(tǒng)運維| Windows域環(huán)境的角色理解

2020-04-26 14:49 作者：艾銻無限 瀏覽量：

 
在企業(yè)網(wǎng)絡(luò)架構(gòu)中，很多都有部署Windows域環(huán)境進行IT資源管理。對域環(huán)境角色的理解有助于我們更好的進行IT運維管理，分配不同IT業(yè)務(wù)資源。提高IT運維效率。 在Windows域多主機復(fù)制環(huán)境中，任何域控制器理論上都可以更改Active Directory中的任何對象。但實際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數(shù)據(jù)庫一致性錯誤，這些特殊的功

能稱為“靈活單一主機操作”，常用FSMO來表示，擁有這些特殊功能執(zhí)行能力的主機被稱為FSMO角色主機。AD域中，F(xiàn)SMO有五種角色,分成兩大類:

Forest 森林級別(在整個林中只能有一臺DC擁有訪問主機角色)

1：架構(gòu)主機 (Schema Master)

2：域命名主機 (Domain Naming Master)

Domain域級別(在域中只有一臺DC擁有該角色)

3：PDC模擬器(PDC Emulator)

4：角色主機/RID主機 (RID Master)

5：基礎(chǔ)架構(gòu)主機 (Infrastructure Master)

1：架構(gòu)主機

控制活動目錄整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會從架構(gòu)主機復(fù)制到目錄林中的所有其它域控制器中。架構(gòu)主機是基于目錄林的，整個目錄
林中只有一個架構(gòu)主機。

2：域命名主機
向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象.

3：PDC模擬器

向后兼容低級客戶端和服務(wù)器，擔(dān)任NT系統(tǒng)中PDC角色

時間同步服務(wù)源，作為本域權(quán)威時間服務(wù)器，為本域中其它DC以及客戶機提供時間同步服務(wù)，林中根域的PDC模擬器又為其它域PDC模擬器提供時間同步!

密碼最終驗證服務(wù)器，當(dāng)一用戶在本地DC登錄，而本地DC驗證本地用戶輸入密碼無效時，本地DC會查詢PDC模擬器，詢問密碼是否正確。

首選的組策略存放位置，組策略對象(GPO)由兩部分構(gòu)成：GPT和GPC，其中GPC存放在AD數(shù)據(jù)庫中，GPT默認存放PDC模擬器在\\windows\sysvol\sysvol\目錄下，然后通過DFS復(fù)制到本域其它DC中。name
域主機瀏覽器，提供通過網(wǎng)上鄰居查看域環(huán)境中所有主機的功能

4：主機角色：RID主機

Windows域環(huán)境中，所有的安全主體都有SID，SID由域SID+序列號組合而成，后者稱為“相對ID”(Relative ID,RID),在Windows 域環(huán)境中，由于任何DC都可以創(chuàng)建安全主體，為保證整個域中每個DC所創(chuàng)建的安全

主體對應(yīng)的SID在整個域范圍唯一性，設(shè)立該主機角色，負責(zé)向其它DC分配RID池(默認一次性分配500個)，所有非RID主機在創(chuàng)建安全實體時，都從分配給的RID池中分配RID，以保證SID不會發(fā)生沖突! 當(dāng)非RID

主機中分配的RID池使用到80%時，會繼續(xù)RID主機，申請分配下一個RID地址池!

5：基礎(chǔ)架構(gòu)主機

基礎(chǔ)結(jié)構(gòu)主機的作用是負責(zé)對跨域?qū)ο笠眠M行更新，以確保所有域間操作對象的一致性。

基礎(chǔ)架構(gòu)主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC來說，會保存當(dāng)前林中所有對象信息。如果基礎(chǔ)架構(gòu)主機與GC在同一臺機，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況
下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC。


二：操作主機角色放置優(yōu)化配置建議

默認情況下，架構(gòu)主機和域命名主機角色是在根域的第一臺DC上，而PDC模擬器，RID主機和基礎(chǔ)結(jié)構(gòu)主機默認放置在當(dāng)前域的第一臺DC上。特別是在單域環(huán)境中，按默認安裝，第一臺DC會同時擁有這五種
FSMO操作主機角色。萬一這臺DC損壞，會對域環(huán)境造成極大風(fēng)險!

常見的操作主機角色放置建議如下：

1：架構(gòu)主機：擁有架構(gòu)主機角色的DC不需要高性能，因為在實際環(huán)境中不會經(jīng)常對Schema進行操作的，除非是經(jīng)常會對Schema進行擴展，不過這種情況非常的少。但要保證可用性，否則在安裝Exchange等
會擴展AD架構(gòu)的軟件時會出錯。

2：域命名主機：對占有域命名主機的DC也不需要高性能，在實際環(huán)境中也不會經(jīng)常在森林里添加或者刪除域的。但要保證高可用性是有必要的，以保證在添加刪除當(dāng)前林中域時可以使用。
一般建議由同一臺DC承擔(dān)架構(gòu)主機與域域命名主機角色，并由GC放置在同一臺DC中。

3：PDC模擬器：從上述PDC功能中可以看出，PDC模擬器是FSMO五種角色里任務(wù)最重的，必須保持擁有PDC的DC有高性能和高可用性。

4：RID主機：對于占有RID Master的域控制器，沒有必要一定要求高性能，因為給其它DC分配RID池的操作不是經(jīng)常性發(fā)生，但要求高可用性，否則在添加用戶時出錯。

5：基礎(chǔ)架構(gòu)主機：對于單域環(huán)境，基礎(chǔ)架構(gòu)主機實際上不起作用，因為基礎(chǔ)架構(gòu)主機主要作用是對跨域?qū)ο笠眠M行更新，對于單域，不存在跨域?qū)ο蟮母?。基礎(chǔ)架構(gòu)主機對性能和可用性方面的要求較低。 

PDC 和 RID不建議 和GC 放置在同一臺DC中

三：標準圖形界面查看和更改操作主機角色的方法

1：查看和更改架構(gòu)Schema Master主機角色：
步驟：注冊：regsvr32 schmmgmt 在MMC中添加AD架構(gòu)管理單元打開MMC控制臺，

選中“Active Directory架構(gòu)”擊“右鍵”，選擇“操作主機”

打開更改架構(gòu)頁面后,點擊"更改"就可以進行架構(gòu)主機角色的更改

2.查看和更改PDC模擬器,RID主機以及基礎(chǔ)結(jié)構(gòu)主機
步驟：開始-設(shè)置-控制面板-管理工具-Active Directory用戶和計算機 選定當(dāng)前域名，右鍵單擊，選擇“操作主機”

在打開的頁面中，通過點擊“更改”按鈕就可以對RID主機，PDC模擬器以及基礎(chǔ)結(jié)構(gòu)主機角色進行更改

3.查看和更改域命名主機角色

步驟：點擊“開始-設(shè)置-控制面板-管理工具-Active Directory域和信任關(guān)系”: 選中“Active Directory域和信任關(guān)系”，右鍵單擊，選擇“操作主機”

在打開的窗口中，點擊“更改”按鈕就可以實現(xiàn)對域命名主機角色進行更改
C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc2.sh.teltong.corp

RID pool manager            wx-dc2.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.


修改之后

C:\Windows\System32>netdom query FSMO

Schema master               root-dc1.teltong.corp

Domain naming master        root-dc1.teltong.corp

PDC                         wx-dc1.sh.teltong.corp
RID pool manager            wx-dc1.sh.teltong.corp

Infrastructure master       wx-dc2.sh.teltong.corp

The command completed successfully.

附：GC（Global Catalog）是一臺DC，它是一臺特殊的DC，它存儲森林中所有對象部分只讀信息的特殊DC。在森林可以有多臺GC，全局編錄是一數(shù)據(jù)庫，它包含了在活動目錄中所有對象連續(xù)請求信息的子
集，例如用戶登錄的ID等。

GC的主要作用有：1、存儲森林對象的信息副本。2、存儲能用組成員身份信息。3、提高用戶主體（UPN）名稱身份驗證信息。4、驗證林內(nèi)的對象參考。

GC正常工作時要用3268、3269（SSL），注意防火墻打開此端口。

 以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理