转自:http://yuelei.blog.51cto.com/202879/127848

操作主机角色共有五种:PDC主机,RID主机,结构主机,域命名主机和架构主机

一:PDC

PDC主机的第一个用途,兼容NT4服务器

1:PDC是主域控制器的缩写,在NT4时代,域控制器被分别PDC(主域控制器)和BDC(备份域控制器),只有PDC才可以修改目录数据库,BDC的数据库是从PDC复制而来的。从Win2000开始,所有的域控制器都可以修改Active Directory了,那为什么Win2003的操作主机中还有PDC主机这个角色呢?原因是这样的,微软为了保护用户的前期投资,允许NT4服务器称为Win2003域中的额外域控制器,但NT4充当域控制器时一定要和域中的PDC联系,这种情况下PDC主机就要挺身而出,以主域控制器的身份和NT4的域控制器通讯

2:PDC主机的第二个用途是可以优先成为主浏览器

这里说的浏览器可不是上网冲浪用的浏览器,而是网络中的一种计算机角色。我们都知道打开网上邻居后可以看到当前网络中有多少台计算机,双击计算机名还可以看到这台计算机提供的共享资源。这些网络资源列表是由谁来提供呢,在微软网络中被一种称为主浏览器的计算机来提供。那么哪些计算机可以成为主浏览器呢?只要操作系统的版本在Windows workgroup 3.1以上的计算机都有机会成为主浏览器。如果一个网络中的多台计算机都希望成为主浏览器,那么这些计算机就会通过“选举”来解决问题,我们有时用抓包工具可以抓到电子选举包就和这个过程有关。每台计算机选举时首先比较操作系统版本,版本新的优先成为主浏览器,例如Win2003优于Win2000。如果操作系统版本相同,再比较谁是域控制器,域控制器比普通的计算机优先。如果参与选举的有多个域控制器,那么PDC主机会优先。最后再多说一句,如果一个广播域内有多个域,而且有多个PDC操作主机,那么它们之间又如何进行主浏览器的选举呢?它们之间会通过GUID来选出最后的胜利者。

3:PDC主机的第三个用途就是Active Directory的优先复制权

正常情况下,Active Directory的复制周期是5分钟,但如果Active Directory中发生了一些紧急事件,例如修改了用户口令。这种情况下源域控制器就会在最短时间内通知PDC主机,由PDC主机来统一管理这些Active Directory的紧急事件。如果一台域控制器发现用户输入的口令和Active Directory中存储的口令不一致,域控制器考虑到有两种可能性,一种可能是用户输入错误,一种可能是用户输入的口令是正确的,但是自己的Active Directory还没有接收到最新的变化。域控制器为了避免自己判断错误,就会向PDC主机发出查询,请PDC主机来验证口令的正确与否,因为前面已经提到,任意一个域控制器修改了用户口令,都会在最短时间内通知PDC主机。

PDC主机除了上述的几种用途,还可用于充当域内的权威时间源,同时PDC主机也是组策略的首选存储地点。顺便提一下,PDC主机的作用级别是域级别,也就是说,在一个域中只能有一台域控制器充当PDC主机。

二:RID

RID是SID的组成部分,RID主机的作用就是为Active Directory提供一个可用的RID池(默认500个),而且当池中的RID被消耗到一定程度后再自动补充满。如果RID主机出现故障,显然会对我们创建大量的用户账号造成麻烦。和PDC主机类似,RID主机的作用级别也是域级别。

一个域用户对应的SID格式是这样的,S-1-5-21-D1-D2-D3-RID,S是SID的缩写,1是SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。以大家熟悉的管理员账号为例,管理员的SID就是S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。

结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主机就会负责关注A域的这个用户是否发生了什么变化,例如是否被删除了,结构主机的工作可以确保域间对象引用的可操作性。如果是一个单域,基本上用不着结构主机做什么工作。如果在一个多域的林环境,有一点要切记,结构主机不要和GC(全局编录)放在同一台域控制器上,否则结构主机无法正常工作。结构主机的作用级别也是域级别。

 

三:结构主机

结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主机就会负责关注A域的这个用户是否发生了什么变化,例如是否被删除了,结构主机的工作可以确保域间对象引用的可操作性。如果是一个单域,基本上用不着结构主机做什么工作。如果在一个多域的林环境,有一点要切记,结构主机不要和GC(全局编录)放在同一台域控制器上,否则结构主机无法正常工作。结构主机的作用级别也是域级别。

四:域命名主机

这个操作主机的作用级别是林级别的!域命名主机主要负责控制域林内域的添加或删除,也就是说如果在域林内添加一个新域,必须由域命名主机判断域名合法,操作才可以继续。如果域命名主机不在线,我们就无法完成域林内新域的创建。除了对域名做出诠释,域命名主机还要负责添加或删除描述外部目录的交叉引用对象。

五:架构主机

架构主机的作用级别同样是林级别。架构主机的作用非常重要,如果要修改Active Directory的架构,我们只能从架构主机上进行操作。微软的很多高级服务器产品在部署时都需要修改Active Directory的架构,例如Exchange,Office Communications Server,SMS等。以最著名的Exchange为例,如果我们在域中部署Exchange时无法在线联系上架构主机,那Exchange的部署就无法继续,MCSE的考题中曾经考过这个知识点。