「Windows」- 域控

  CREATED BY JENKINSBOT

五大角色及作用

架构主机,域命名主机 defult由林根域内的第一台域控制器扮演
而每一个域拥有自己的RID主机,PDC模拟主机和基础结构主机
这三个角色defult由该域内的第一台域控制器扮演

架构主机(找出架构主机 运行 regsvr32 schmmgmt.dll)

负责更新与修改schema内的对象与属性数据。只有Schema Admins组内的成员,才有权利修改schema内的数据。
同一个时间内,整个林中只能有一台架构主机
如果架构主机出现故障或离线,可能会影响某些软件的运作。例如某些服务器级的软件在安装时,会在schema内添加对象,
如果架构主机出现故障或离线,将无法安装这些软件。

域命名主机

负责管理林内域的添加与删除工作。同一个时间内,整个林中只能有一台域命名主机
如果域命名主机出现故障或离线,将无法在林内添加或删除域。
林功能级别win2000 域命名主机与全局编录设为同一台
林功能级别win server 2003 域命名主机与全局编录可以不设在一台机器上

RID主机

每一个域内只能有一台域控制器扮演RID主机的角色
负责工作有: 发放RID,移动对象,
如果RID主机出现故障或离线,可能无法添加对象,也无法将对象转移到其他域。

PDC模拟主机

每一个域内只能有一台域控制器扮演PDC主机的角色
负责工作有: 支持旧客户端计算机(win NT), 减少因为密码复制延迟所造成的问题,整个域时间的同步
利用net time /querysntp命令查看
利用net time /setsntp来改变这台PDC时间服务器
未入域win ser 2003 winxp 会自动设定time.windows.com同步
可以在计算机上利用 开始 – 控制面板 – 日期与时间 – internet时间或利用w32tm /resync命令来手动同步。

基础结构主机(需要针对不同域来进行参考)

每一个域内只能有一台域控制器扮演基础结构主机的角色
负责工作有:对域内对象参考到其他域对象时,负责更新这些参考对象数据。当域用户账户有变动,就更新这个组的内容,并将复制到同一域内的其他域控制器。
基础结构主机是通过全程编录来得到参考数据的最新版本,因为全局编录会收到由每一个所复制来的最新变动资料。
如果所有域控制器同时都是全局编录,则由哪台域控扮演都无所谓。除非整个域内只有一台域控,否贼不要让基础结构主机与全局编录由同一台域控制器来扮演。
架构主机 MMC active directory架构
域命名主机 MMC active directory域及信任
RID主机,PDC模拟主机,基础结构主机 active directory用户和计算机

查看角色命令

netdom query fsmo
如果查看角色命令提示不是内部和外部命令需要安装suptool.msc
1、netdom是系统支持工具,使用前需先行安装(光碟:/SUPPORT/TOOLS/SUPTOOLS.MSI)。安装完成后,在开始—程序—Windows Support Tools—运行command prompt。
2、使用CMD使用该netdom命令需要道C:\Program Files\Support Tools文件夹下,方可运行netdom命令。
3、而command prompt默认目录就是C:\Program Files\Support Tools该文件夹

辅助域搭建

Windows Server 2016 辅助域控制器搭建
https://www.cnblogs.com/ShaYeBlog/p/10799869.html
https://www.bbsmax.com/A/nAJvDav8dr/

Windows Server 2012 R2 辅助域控制器搭建
https://blog.51cto.com/lizmfinder/2109165

创建BDC域控制器时,提示“出站复制验证失败。在复制源域控制器上未启用出站复制”的解决办法
https://blog.51cto.com/junch/2131199?source=dra

域控制器升级的先决条件验证失败。 证书服务器已安装。
在辅助域中不要选择证书服务。

相关链接

windows域控5种角色迁移
http://blog.sina.com.cn/s/blog_625fcb0b0102vx6z.html

设置域控组策略

CSDN/运维–域控服务器–策略配置

设置客户端 IE 主页及其相应权限设置

组策略管理 => 组织单位(部门) => 创建策略(OU) => 命名为“修改主页” => 右击 编辑 => 用户配置下 => 策略 => windows设置 => Internet Explor 维护 => URL => 重要URL => 自定义主页:http://example.com(公司主页) => 应用,确定,刷新组策略。

(2)组策略管理 => 组织单位(部门) => 创建策略(OU) => 命名为“修改主页” => 右击编辑 => 计算机配置下 => 管理模板 => windows组件 => Internet Explorer => Internet 控制面板 => Internet 区域 => 安全页 => Internet 区域 => 允许下载等设置。

参考文献

域控制器中五个角色基础(必记)