|
一�、Active Directory操作主機(jī)角色概述 Active Directory 定義了五種操作主機(jī)角色(又稱FSMO): 架構(gòu)主機(jī) schema master、 域命名主機(jī) domain naming master 相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) RID master 主域控制器模擬器 (PDCE) 基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master 而每種操作主機(jī)角色負(fù)擔(dān)不同的工作�,具有不同的功能: 架構(gòu)主機(jī) 具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中���。 架構(gòu)主機(jī)是基于目錄林的����,整個(gè)目錄林中只有一個(gè)架構(gòu)主機(jī)�����。 域命名主機(jī) 具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC: 向目錄林中添加新域�。 從目錄林中刪除現(xiàn)有的域。 添加或刪除描述外部目錄的交叉引用對(duì)象����。 相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) 此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)�����。在創(chuàng)建安全主體(例如用戶���、 組或計(jì)算機(jī))時(shí)�����,需要將 RID 與域范圍內(nèi)的標(biāo)識(shí)符相結(jié)合�,以創(chuàng)建唯一的安全標(biāo)識(shí)符 (SID)�。 每一個(gè) Windows 2000 DC 都會(huì)收到用于創(chuàng)建對(duì)象的 RID 池(默認(rèn)為 512)�����。RID 主機(jī)通過(guò)分配不同的池來(lái)確保這 些 ID 在每一個(gè) DC 上都是唯一的���。通過(guò) RID 主機(jī),還可以在同一目錄林中的不同域之間移動(dòng)所有對(duì)象��。 域命名主機(jī)是基于目錄林的����,整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對(duì)標(biāo)識(shí)號(hào)(RID)主機(jī)是基于域的����,目錄林中的每個(gè)域都有自己的相對(duì)標(biāo)識(shí)號(hào)(RID)主機(jī) PDCE 主域控制器模擬器提供以下主要功能: 向后兼容低級(jí)客戶端和服務(wù)器,允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境�����。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE����。每當(dāng) DC 驗(yàn)證密碼失敗后,它會(huì)與 PDCE 取得聯(lián)系���,以查看該密碼是否可以在那里得到驗(yàn)證����,也許其原因在于密碼更改還沒(méi)有被復(fù)制到驗(yàn)證 DC 中����。 時(shí)間同步 — 目錄林中各個(gè)域的 PDCE 都會(huì)與目錄林的根域中的 PDCE 進(jìn)行同步。 PDCE是基于域的�����,目錄林中的每個(gè)域都有自己的PDCE��。 基礎(chǔ)結(jié)構(gòu)主機(jī) 基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對(duì)象的一致性���。當(dāng)引用另一個(gè)域中的對(duì)象時(shí)���,此引用包含該對(duì)象的 全局唯一標(biāo)識(shí)符 (GUID)、安全標(biāo)識(shí)符 (SID) 和可分辨的名稱 (DN)�。如果被引用的對(duì)象移動(dòng),則在域中擔(dān) 當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN����。 基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的��,目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī) 默認(rèn)��,這五種FMSO存在于目錄林根域的第一臺(tái)DC(主域控制器)上�����,而子域中的相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī)�����、PDCE ����、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺(tái)DC�����。 二��、RID主機(jī)及RID相關(guān)屬性的查詢 RID 有何用途呢��?當(dāng)域控制器內(nèi)添加了一個(gè)用戶����、組或計(jì)算機(jī)對(duì)象時(shí)����,域控制器必須指派一個(gè)唯一的安全識(shí)別碼(SID )給這個(gè)對(duì)象�,此對(duì)象的SID 是由域的SID 與RID 所組成的,也就是說(shuō)“對(duì)象的SID =域的SID + RID ”��,而RID 并不是由每一臺(tái)域控制器自己產(chǎn)生的����,它是由“RID 操作主機(jī)”來(lái)統(tǒng)一發(fā)放給其域內(nèi)的所有域控制器的�����。如果每一臺(tái)域控制器各自產(chǎn)生RID ��,可能出現(xiàn)不同的域控制器產(chǎn)生相同的RID �����,這將導(dǎo)致對(duì)象SID 沖突的情況發(fā)生��。 每一臺(tái)域控制器需要RID 時(shí)�,它會(huì)向“RID 主機(jī)”索取一些RID ,用完后再向“RID 操作主機(jī)”索取。當(dāng)需要移動(dòng)對(duì)象時(shí)���,無(wú)論目前所連接的域控制器是哪臺(tái)���,當(dāng)要將某個(gè)對(duì)象傳送到另外一個(gè)域時(shí),系統(tǒng)會(huì)移動(dòng)位于“RID 主機(jī)”內(nèi)的對(duì)象�,然后通知其他域控制器該對(duì)象已被轉(zhuǎn)移。這種做法可以避免位于不同域控制器的同一個(gè)對(duì)象���,被重復(fù)傳送到不同域的情況發(fā)生�。如果“RID 主機(jī)”出現(xiàn)故障或離線�,可能無(wú)法添加對(duì)象,也無(wú)法將對(duì)象轉(zhuǎn)移到其他域���。
首先���,查看RID主機(jī)是那一臺(tái)域控制器的方法如下圖所示:
或者,使用dsquery命令: 
再次運(yùn)行剛才的命令dcdisg /test:ridmanager /v得到如下結(jié)果: 
單擊確定����,并找到如下圖所示位置: 
把上圖紅色框框內(nèi)的數(shù)值復(fù)制到LDP工具中:、 打開(kāi)ldp工具的方法是運(yùn)行l(wèi)dp.exe 
打開(kāi)上圖中的“實(shí)用工具”——“大型整數(shù)轉(zhuǎn)換器(L)” 
其中上面的high part中顯示的就是RID池中沒(méi)有分配給域控的ID總數(shù)�����,而Low Part中的值便是己經(jīng)分配給域控的ID總數(shù)。 
打開(kāi)上圖位置的屬性 
RID主機(jī)每次為域控分配500個(gè)的ID���,其中High Part就是域控此次得到的最大ID���,最小ID便是1100,也就是說(shuō)�,當(dāng)前情況下,在此域控上創(chuàng)建的對(duì)象�,SID當(dāng)中RID部分的值便是在1100-1599之間的���。
|
