1.在AD林范圍內，有哪幾個操作主機角色

架構主機（Schema Master）

• 功能：負責整個AD林中所有對象和屬性的定義，是唯一可以更新目錄架構的DC。架構更新會從架構主機復制到目錄林中的所有其他域控制器。

• 作用范圍：整個AD林中只能有一臺架構主機。

域命名主機（Domain Naming Master）

• 功能：負責向目錄林中添加新域、刪除現有域，以及添加或刪除描述外部目錄的交叉引用對象。

• 作用范圍：在整個AD林中只能有一臺域命名主機。

2.在AD域范圍內，有哪幾個操作主機角色

1. PDC模擬器（PDC Emulator）

   • 功能：向后兼容低級客戶端和服務器，擔任NT系統中PDC角色；作為域內權威的時間服務源，為域內其他DC和客戶機提供時間同步服務；負責密碼最終驗證，當本地DC驗證失敗時，會查詢PDC模擬器；作為首選的組策略存放位置。

   • 作用范圍：在域中只有一臺DC擁有該角色。

   • 對網絡可靠性要求：需要網絡可靠性較高，以確保時間同步和密碼驗證的及時性。

2. RID主機（RID Master）

   • 功能：管理域中對象相對標識符（RID）池；對象安全標識符（SID）由域安全標識符和相對標識符（RID）組成，RID主機負責向其他DC分配RID池，以確保在域中創建的所有安全主體都具有唯一標識符。

   • 作用范圍：在域中只有一臺DC擁有該角色。

   • 對網絡可靠性要求：要求網絡可靠性較高，以確保RID池的分配和更新能夠及時進行。

3. 基礎架構主機（Infrastructure Master）

   • 功能：負責對跨域對象引用進行更新；在單域情況下，基礎架構主機實際上不起作用，因為不存在跨域對象的更新。

   • 作用范圍：在域中只有一臺DC擁有該角色。

   • 對網絡可靠性要求：對網絡可靠性的要求相對較低，但在多域環境中需要確保網絡的可靠性，以保證跨域對象引用的更新能夠及時進行。

3.簡述如何轉移架構主機

準備工作

• 注冊架構管理單元：在運行欄中輸入regsvr32 schmmgmt.dll并回車，提示注冊成功。

• 添加管理單元到MMC控制臺：打開MMC控制臺，添加“Active Directory架構”管理單元。

轉移架構主機

1. 連接到目標域控制器：在“Active Directory架構”管理單元中，右鍵點擊“Active Directory架構”，選擇“更改域控制器”，輸入要成為新架構主機的域控制器名稱。

2. 進行架構主機角色轉移：右鍵點擊“Active Directory架構”，選擇“操作主機”，點擊“更改”，確認轉移操作。

驗證轉移

• 使用命令行驗證：在命令行中輸入netdom query fsmo，查看架構主機角色是否已成功轉移到新的域控制器上。

注意事項

• 在轉移架構主機角色之前，確保目標域控制器已經安裝了Active Directory，并且網絡連接正常。

• 轉移過程中，可能會出現提示信息，提醒您確認轉移操作，請仔細閱讀并確認。

• 轉移完成后，建議在舊的架構主機上檢查角色是否已成功移除，以確保整個轉移過程順利完成。

4.PDC仿真主機的主要作用是什么

1. 時間同步：

   • PDC仿真主機是域內所有域控制器和客戶端的時間服務器。它負責確保域內的所有計算機的時間同步，這對于域環境中的身份驗證和文件共享等操作至關重要。

2. 密碼驗證：

   • PDC仿真主機是域內密碼驗證的最終仲裁者。當用戶嘗試登錄域時，如果本地域控制器無法驗證密碼，它會將請求轉發到PDC仿真主機進行驗證。這確保了密碼策略的一致性。

3. 組策略應用：

   • PDC仿真主機是組策略的首選應用位置。當組策略更新時，PDC仿真主機會首先應用這些更新，然后將更新傳播到其他域控制器。

4. 事件日志記錄：

   • PDC仿真主機記錄域內的關鍵事件，如用戶登錄、密碼更改等。這些事件日志對于安全審計和故障排查非常重要。

5. NT兼容性：

   • PDC仿真主機提供了與Windows NT域控制器的向后兼容性。它允許舊的NT客戶端和服務器與新的Active Directory環境進行交互。

這些作用確保了域環境的穩定性和安全性，使得PDC仿真主機在Active Directory架構中扮演著不可或缺的角色。

5.架構主機和域命名主機的作用分別是什么

架構主機（Schema Master）

• 定義：架構主機是整個AD林中唯一可以更新目錄架構的域控制器。

• 功能：

  • 負責定義和管理整個AD林中所有對象和屬性的定義。

  • 架構更新會從架構主機復制到目錄林中的所有其他域控制器。

• 作用范圍：整個AD林中只能有一臺架構主機。

• 對網絡可靠性要求：要求網絡可靠性較高，因為架構更新需要及時復制到所有域控制器。

域命名主機（Domain Naming Master）

• 定義：域命名主機負責管理AD林中的域結構。

• 功能：

  • 負責向目錄林中添加新域、刪除現有域。

  • 負責添加或刪除描述外部目錄的交叉引用對象。

• 作用范圍：在整個AD林中只能有一臺域命名主機。

• 對網絡可靠性要求：需要網絡可靠性較高，以確保域結構的變更能夠及時同步到所有域控制器。

這兩個角色在AD林中起著至關重要的作用，確保了整個目錄服務的結構和架構的一致性和穩定性。

6.解釋名詞PDC，BDC和FSMO

PDC（Primary Domain Controller，主域控制器）

• 定義：PDC是Windows NT域環境中的核心角色，負責管理域內的用戶賬戶、組策略和安全策略。

• 功能：

  • 用戶認證：負責驗證用戶登錄請求。

  • 密碼管理：管理用戶密碼的更改和驗證。

  • 組策略應用：應用和管理組策略。

  • 事件日志記錄：記錄域內的關鍵事件。

• 作用范圍：整個域中只能有一臺PDC。

• 局限性：在Windows 2000及以后版本中，PDC的角色被PDC仿真主機取代，但PDC的概念仍然存在。

BDC（Backup Domain Controller，備份域控制器）

• 定義：BDC是Windows NT域環境中的輔助角色，用于提供冗余和負載均衡。

• 功能：

  • 用戶認證：在PDC不可用時，BDC可以處理用戶登錄請求。

  • 數據備份：定期從PDC復制用戶賬戶和安全信息。

  • 負載均衡：分擔PDC的認證負載。

• 作用范圍：一個域中可以有多個BDC。

• 局限性：BDC不能進行架構或域結構的更改，只能復制PDC的數據。

FSMO（Flexible Single Master Operation，靈活單主操作）

• 定義：FSMO是Windows 2000及以后版本中引入的角色模型，用于管理Active Directory（AD）中的關鍵操作。

• 功能：

  • 將關鍵操作分散到多個域控制器上，避免單點故障。

  • 包括以下五種角色：

    1. 架構主機（Schema Master）：負責管理AD架構的更新。

    2. 域命名主機（Domain Naming Master）：負責管理域結構的更改。

    3. PDC仿真主機（PDC Emulator）：負責時間同步、密碼驗證、組策略應用等。

    4. RID主機（RID Master）：負責管理RID池的分配。

    5. 基礎架構主機（Infrastructure Master）：負責跨域對象引用的更新。

• 作用范圍：每個角色在AD林或域中只能有一個所有者。

• 靈活性：FSMO角色可以在不同的域控制器之間轉移，以適應不同的網絡環境和需求。

總結

• PDC：Windows NT域中的核心角色，負責用戶認證和管理。

• BDC：Windows NT域中的輔助角色，提供冗余和負載均衡。

• FSMO：Windows 2000及以后版本中引入的角色模型，將關鍵操作分散到多個域控制器上，增強AD的可靠性和靈活性。

7.注冊架構管理工具的命令是什么

注冊架構管理工具的命令是regsvr32 schmmgmt.dll。以下是具體的操作步驟：

1. 以管理員身份打開命令提示符。

2. 輸入regsvr32 schmmgmt.dll命令并回車，這將注冊架構管理單元。

3. 注冊成功后，打開MMC控制臺（可以通過輸入mmc命令）。

4. 在MMC中，選擇“文件”菜單，然后選擇“添加/刪除管理單元”。

5. 在“可用的管理單元”列表中，選擇“Active Directory架構”，然后點擊“添加”。

6. 點擊“確定”后，架構管理單元將被添加到MMC中，現在可以開始管理架構了。

這個命令的作用是將架構管理單元注冊到MMC中，以便能夠管理和修改Active Directory架構。

8.使用圖示法表示在林根域和子域中，各操作主機角色的所屬范圍

Active Directory林
├── 林根域
│ ? ├── 架構主機（Schema Master）
│ ? └── 域命名主機（Domain Naming Master）
└── 子域
? ? ├── PDC仿真主機（PDC Emulator）
? ? ├── RID主機（RID Master）
? ? └── 基礎架構主機（Infrastructure Master）

說明

• 架構主機（Schema Master）：位于林根域，負責管理整個林的架構更新。

• 域命名主機（Domain Naming Master）：位于林根域，負責管理林中的域結構。

• PDC仿真主機（PDC Emulator）：位于子域，負責時間同步、密碼驗證等。

• RID主機（RID Master）：位于子域，負責管理RID池的分配。

• 基礎架構主機（Infrastructure Master）：位于子域，負責跨域對象引用的更新。

這種結構確保了整個林的架構和域結構的管理集中在林根域，而子域中的操作主機角色則負責各自域內的具體管理任務。

9.解釋“seize rid master”命令的作用

seize rid master命令的作用

seize rid master命令用于在Active Directory域環境中強制將RID主機角色轉移到另一臺域控制器上。這個命令通常在以下情況下使用：

1. 原RID主機不可用：當原RID主機發生故障或無法恢復時，需要使用此命令將RID主機角色轉移到其他可用的域控制器上。

2. 緊急情況下：在某些緊急情況下，需要立即確保RID主機角色的正常運行，以避免安全標識符（SID）重復的問題。

使用步驟

1. 打開命令提示符：以管理員身份打開命令提示符。

2. 進入ntdsutil工具：輸入ntdsutil并回車。

3. 進入角色管理：輸入roles并回車。

4. 連接到目標域控制器：輸入connections，然后輸入connect to server <DomainController>（將<DomainController>替換為目標域控制器的名稱）。

5. 退出連接模式：輸入quit并回車。

6. 強制奪取RID主機角色：輸入seize rid master并回車。

7. 確認操作：根據提示確認操作。

注意事項

• 風險提示：使用seize rid master命令可能會導致RID池的浪費，因為系統會自動增加下一個RID池的起始值。因此，只有在確定原RID主機無法恢復時才使用此命令。

• 權限要求：執行此命令需要具有相應的管理員權限。

• 網絡可靠性：確保網絡連接穩定，以避免在角色轉移過程中出現問題。

通過以上步驟，可以成功將RID主機角色轉移到新的域控制器上，確保域環境的正常運行。

10.請說明轉移和奪取操作主機角色的應用場合

轉移操作主機角色的應用場合

• 計劃內的維護：當需要對原角色持有者進行硬件升級、軟件更新等維護操作時，可提前將角色轉移到其他健康的域控制器上，確保在維護期間系統仍能正常運行。

• 優化角色分布：為了提高系統性能或簡化管理，可能需要將某些角色轉移到更合適的域控制器上。例如，將架構主機角色轉移到一個性能更強的域控制器上，以更好地處理架構更新任務。

• 正常降級域控制器：當需要降級一個擁有操作主機角色的域控制器時，應先將角色轉移到其他域控制器上，以確保角色不會丟失。

奪取操作主機角色的應用場合

• 原角色持有者故障：當原角色持有者出現硬件故障、系統崩潰等無法恢復的情況時，需要使用奪取操作來確保角色能夠繼續在其他健康的域控制器上運行。

• 強制降級域控制器：在某些情況下，可能需要強制降級一個擁有操作主機角色的域控制器。此時，必須先奪取角色，以避免角色丟失。

• 角色持有者無法響應：如果原角色持有者因網絡問題或其他原因無法響應，導致操作無法正常進行，可使用奪取操作來確保系統的正常運行。