这里给大家分享一些WIN技巧:深入理解AD域环境中操作主机角色,本文共5篇,供大家参考。
篇1:WIN技巧:深入理解AD域环境中操作主机角色
概述
在Win多主机复制环境中,任何域控制器理论上都可以更改ActiveDirectory中的任何对象,但实际上并非如此,某些AD功能不允许在多台DC上完成,否则可能会造成AD数据库一致性错误,这些特殊的功能称为“灵活单一主机操作”,常用FSMO来表示,拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003 AD域中,FSMO有五种角色,分成两大类:
林林级别(在整个林中只能有一台DC拥有访主机角色)
1:架构主机 (Schema Master)
2:域命令主机 (Domain Naming Master)
域级别(在域中只有一台DC拥有该角色)
3:PDC模拟器(PDC Emulator)
4:RID主机 (RID Master)
5:基础架构主机 (Infrastructure Master)
本文分别从以下几个方面深入理解操作主机
● FSMO操作主机角色功能
● 查看和更改操作主机角色的方法
● 操作主机放置优化建议
篇2:WIN技巧:创建AD森林中第一个域
Active Directory 服务部署由一个或多个林组成,每个林又包含一个或多个域,在网络中创建初始域控制器 (DC) 时,就会在林中创建第一个域;域必须至少包含一个域控制器。创建的第一个域是第一个林的根域。同一域林中的其他域可以是子域或树根域。同一域树中位于一个域的上方与其紧邻的域被视为该域的父域。
Windows /2003 操作系统支持多主控复制;域中的所有域控制器都可以接收对象更改,并且可以将这些更改复制到该域中的所有其他域控制器。默认情况下,在林中创建的第一个域控制器是全局编录服务器,它包含所在域的目录中所有对象的完整副本,还包括林中所有其他域的目录中存储的所有对象的部分副本。
在域控制器之间复制 Active Directory 数据有助于提高信息可用性、容错性、负载平衡和性能。在单元中,您可以通过安装多个域控制器,充分利用多主机模型提供的更好的容错性能。即使某个域控制器停止工作,也不会影响 Active Directory 的可用性。
2.2.1 安装活动目录的方法
域是Windows 2000/2003网络中的核心管理单元。在Windows 2000/2003中,域用来限定信息和资源的组织与管理方式。
在活动目录中创建的第一个域是整个目录林的根域或目录林的根。在Windows 2000网络上第一次安装活动目录时,需要在新目录林中创建第一个域控制器,同时也就创建了根域,
可以采用以下两种方法来安装活动目录:
1. 采用Dcpromo.exe命令进行常规安装。
2. 采用无人值守的安装脚本安装。安装命名为:Dcpromo.exe /answer:answerfile (其中answer file是解答文件的名字)。
2.2.2 域控制器的创建
网络环境简述:网络中有一台DNS服务器(计算机名为ESS-ISA-0A),现准备将其升级为DC,同时将网络中另一台成员服务器ESS-DC-11升级为附加的域控制器。下表列出了各个计算机的TCP/IP配置:
DNS的基本配置
由于网络中已存在DNS服务器,在创建域前,我们先在上面为域创建区域和主机记录。创建过程如下:
1、在【管理工具】 ->【DNS】中打开DNS管理控制台。然后在正向搜索区域中选择【新建区域】。如图2-3所示。
图 2-3 新建区域
2 、在【区域名】对话框中,输入新建区域的域名:esstest.com。然后点击【下一步】按钮,选择区域类型为标准主区域,然后按默认设置完成区域的创建。如图2-4所示。
图 2-4 输入区域名称
3、在esstest.com区域的属性中,将区域设置为【允许动态更新】。如图2-5所示。
图 2-5 设置允许动态更新
4、在esstest.com的区域中,为即将升级的为DC的计算机建立一条主机记录,如图2-6所示
图 2-6 建立主机记录
篇3:WIN技巧:征服AD的内在限制:理解AD及其基本限制
相信大多数的读者都没有机会“不幸”遭遇这些只有在大型企业应用中才可能遇到 的限制,但是这并不意味着本文对我们没有意义,相反我们能够从另一个角度观察AD的运行原理。
也许已经有用户发现,随着AD应用越多,就越发现一些AD的限制,这些限制包括来自AD本身的,也有来自AD管理应用程序的。在AD中存在的这些限制主要源于开发者对AD正常运行和性能的保护-因为大部分这些限制表现在供显示和处理的对象数量上。例如,在一个Windows NT 4.0域中,最大可以容纳40000个用户账号。与此相比,AD域能够支持比这要大得多的数量。虽然我无法提供明确的最大值,但Korean.com(一个为韩国公民提供各种Web服务的Internet门户网站)已经在AD域中创建了超过8百万的用户账号。下面我将为大家列举一些AD的限制,以及当这些限制成为困扰你的问题时如何调整参数来克服它们。
理解AD
AD以及它的相关工具都不同程度的含有一些限制。这些限制都不是为了困扰用户;相反,它们的存在是为了保护AD免受攻击和性能影响。了解这些限制并且知道如何解决这些问题,不仅能够帮助你快速定位问题的症结,同时也赋予你对AD运行机制更深的理解。
MMC文件夹显示限制
在使用Windows 2000的微软管理控制台(MMC)“AD用户和计算机”,浏览组织单元(OU)或者其他容器中的对象时,界面内不会显示数量超过2000的对象,这种情况发生时,AD会显示一条消息,通知用户AD无法显示所有对象,并建议用户更改默认设置,
如果使用的是Windows Server ,系统能够提供更详细的消息并且帮助你调整设置。
要调整默认显示的对象数量,在“AD用户和计算机”中,点击“查看”*“筛选器选项”,然后更改每一文件夹中显示的最多项目数。要注意,存在该限制并非没有理由,因为如果你尝试打开一个超过30000个对象的组织单元,系统所耗时间要比你预想的要多得多。
组成员关系的限制
如果你供职于一个大型或者中型企业,那么有可能在Windows 2000 AD中遭遇5000个组成员关系的限制。5000个组成员关系的限制与上面讨论过的其他限制不同,它实际上是一个最大值。是AD所采用的Jet数据库引擎在存储和复制大于一定数量的数据时,无法处理写操作的最大值。Windows 2003的AD通过引入Linked Value Replication(LVR)解决了这个问题。在使用了LVR之后,当组成员关系发生改变,AD不会复制所有的属性和值,而只是复制成员关系中个别的属性和值。除了克服5000个组成员关系的限制,新的复制方法与前一版本中的相比要有效率得多,不仅支持更低的带宽而且减少了DC的资源消耗。
实际上,5000个成员关系的限制不仅限于AD的用户组,其他任何包含成员的属性都存在此限制。由于组成员关系是应用最多的,所以也是被发现几率最大的。成员关系换而言之就是AD用户管理中的“隶属于”。例如:假设Sales组有三个组成员Tom,Dick和Harry。如果在AD中查看Tom,Dick和Harry对象,你会在每个用户的“隶属于”选项卡中看见他们都属于Sales组。这就是成员管理的典型例子。
要在Windows 2000的AD中解决这些限制,只能采用用户账号分层次、分组的方法。根据你公司的组织结构尽量将用户归纳入不同的组,再设置组嵌套。当然过多的组会增加管理难度,但这是唯一选择。
篇4:Win Server R2搭建域环境中遇到的一个小错误的解决办法
错误内容:
检测是否已安装Active Directory域服务二进制文件失败,错误是:请求的操作失败。需要重新启动系统才能回滚所做的更改。
以上错误是在搭建域环境时,“开始”——“运行”——输入“dcpromo”之后所提示的错误。
遇到问题:
按照提示,“开始”——重启WindowsServer2008 R2系统之后,问题仍然存在。
解决方法:
“开始”——“管理工具”——打开“服务器管理器”或任务栏上的服务器管理器图标,在打开的“服务器管理器”底部,有提示“重启系统”,点击后系统自动重启,
重启之后再执行“开始”——“运行”——输入“ dcpromo”步骤,”Active Directory域服务安装向导“窗口显示
第二步:启动remote register服务.
篇5:WIN技巧:在Win03环境中设置一个Web服务器
概要
本文介绍了如何在 Windows Server 2003 环境中设置一个用于匿名访问的WWW服务器,
安装 Internet 信息服务
Microsoft Internet 信息服务 (IIS) 是与Windows Server 2003 集成的 Web 服务。
要安装IIS、添加可选组件或删除可选组件,请按以下步骤xx作:
单击开始,指向控制面板,然后单击“添加或删除程序”。
“添加或删除程序”工具就会启动。
单击添加/删除 Windows 组件。
显示“Windows 组件向导”。
在Windows 组件列表中,单击Web 应用程序服务器。
单击详细信息,然后单击Internet 信息服务 (IIS)。
单击详细信息,以查看 IIS 可选组件列表。
选择您要安装的可选组件。默认情况下,下列组件是选中的:
公用文件
FrontPage 2002 Server Extentions
Internet 信息服务管理单元
Internet 信息服务管理器
NNTP 服务
SMTP 服务
World Wide Web 服务
单击“World Wide Web 服务”,然后单击详细信息 ,以查看 IIS 可选子组件(如Active Server Pages 组件和“远程管理 (HTML) 工具”)的列表。选择您要安装的可选子组件。默认情况下,下列组件是选中的:
World Wide Web 服务
单击确定,直到返回“Windows 组件向导”。
单击下一步,然后完成“Windows 组件向导”。
配置匿名身份验证
要配置匿名身份验证,请按以下步骤xx作:
单击开始,指向管理工具,然后单击Internet 信息服务 (IIS),
展开“* 服务器名称”(其中服务器名称 为该服务器的名称),右键单击Web 站点,然后单击属性。
在Web 站点属性 对话框中,单击目录安全性 选项卡。
在“身份验证和访问控制”下,单击编辑。
单击“启用匿名访问”复选框,将其选中。
备注:“用户名”框中的用户帐户只用于通过 Windows guest 帐户进行匿名访问。
默认情况下,服务器会创建并使用帐户IUSR_computername。匿名用户帐户密码仅在Windows 中使用;匿名用户不使用用户名和密码登录。
在“已验证身份的访问”下,单击“集成的 Windows 身份验证”复选框,将其选中。
单击确定两次。
基本 Web 站点配置
单击开始,指向管理工具,然后单击Internet 信息服务 (IIS)。
展开“服务器名称”(其中服务器名称 为该服务器的名称),然后展开Web 站点。
右键单击默认Web 站点,然后单击属性。
单击Web 站点选项卡。如果您已为计算机分配了多个 IP 地址,则请在IP 地址 框中单击您要指定给此 Web 站点的 IP 地址。
单击性能选项卡。使用Web 站点属性- 性能对话框可设置影响内存、带宽使用和Web 连接数量的属性。
通过配置某个特定站点上的网络带宽,您可以更好地控制该站点的通信量。例如,通过在低优先级的 Web 站点上限制带宽,您可以放宽对他站点的访问量的限制。同样,当您指定到某个 Web 站点的连接数量时,您就可以为其他站点释放资源。设置是站点专用的,应根据网络通信量和使用变化情况进行调整。
单击“限制可用于此 Web 站点的带宽”复选框,将其选中,可配置 IIS 将网络带宽调节到选定的最大带宽量,以千字节每秒 (KB/S) 为单位。
单击Web 服务连接复选框,将其选中,可选择特定数目或者不限定数目的 Web 服务连接。限制连接可使计算机资源能够用于其他进程。
备注:每个浏览 Web 站点的客户机通常都使用大约三个连接。
单击主目录选项卡。
如果您想使用存储在本地计算机上的 Web 内容,则单击“此计算机上的目录”然后在本地路径 框中键入您想要的路径。例如,默认路径为 C:Inetpubwwwroot。
备注:为了增加安全性,请不要在根目录下创建 Web 内容文件夹。
如果要使用存储在另一台计算机上的 Web 内容,则单击“另一计算机上的共享位置”,然后在显示的网络目录框中键入所需位置。
如果您要使用存储在另一个 Web 地址的 Web 内容,则单击“重定向到 URL”,然后在“重定向到”框中键入所需位置。在“客户会送到”下,单击相应的复选框,将其选中。
文档为doc格式