AD实施域管理手册
深圳市海格物流股份有限公司操作主机与AD DB管理
文档编号:SXD-HGWL- 0901-01 版本:VERSION1.6
编写:索信达运维服务部
最后修订: 09月22日
深圳市索信达实业有限公司
目录
第一章管理域中的操作主机角色 (4)
(一)操作主机介绍 (4)
(二)角色迁移 (6)
(三)角色抢夺 (7)
第二章管理活动目录数据库 (9)
(一)活动目录数据库介绍 (9)
(二)活动目录数据库的移动 (10)
(三)活动目录数据库的压缩 (13)
(四)活动目录数据库的备份和还原 (15)
(五)活动目录回收站 (15)
第一章管理域中的操作主机角色
(一)操作主机介绍
Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。可是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机能够保证一致性并消除AD DS数据库中出现冲突的项目的可能性。
AD DS中的五个操作主机角色分别是:架构主机(Schema Master)、域命名主机(Domain Naming Master)、RID主机(RID Master)、PDC仿真器(PDC Emulator)、基础结构主机(Infrastructure Master)
架构主机和域命名主机是林范围角色,即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范围角色,这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创立第一台域控制器时,它会拥有所有5个角色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得每域的操作主机角色。
架构主机(Schema Master)
宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其它域控制器则只包含架构的只读副本。要更新或修改林的
架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其它域控制器。在整个林中,架构主机是唯一的,只能有一个架构主机。
域命名主机(Domain Naming Master)
域命名主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名主机不可用,则无法向林中添加域或从林中删除域。在整个林中,架构主机是唯一的,只能有一个架构主机。
RID主机(RID Master)
RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器,每个域只有一个RID操作主机角色,用于管理RID池,从而在整个域范围内创立的新的安全主体,如:用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何域控制器上的RID池中的可用RID的数量较少时(小于100),就会从RID主机请求一些RID。每次收到这样的请求,RID主机都会向域控制器再颁发大约500个RID的RID池。
PDC仿真器(PDC Emulator)
PDC仿真器负责执行很多与域有关的关键功能,主要有:为Windows 提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。
