而且修改后的结果会被其他的域控制器所承认。从这个角度讲,域控制器之间的地位是平等的,但我们决不能认为域控制器之间是没有区别的!事实上,域中的第一个域控制器往往比其他的域控制器承担了更多的任务。
有些企业中部署了多个域控制器之后,就开始忽略第一个域控制器的作用,有时甚至可能会一不经意间把第一个域控制器给处理掉了。但这些企业的用户很快就会发现域中会出现一些异常现象,例如无法创建域用户账号,无法安装Exchange,无法部署子域等等。原因很简单,第一个域控制器承担的任务并没有被转嫁到其他的域控制器上,而这些任务对一个域来说又是不可或缺的,因此我们才会面临如此多的问题。那么,究竟第一个域控制器和其他的域控制器相比承担了哪些更多的任务呢?这就是我们今天要讨论的话题,操作主机!
操作主机是由域控制器来扮演的一种角色,操作主机角色共有五种,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,今天的这篇博文将分别介绍五种操作主机的用途。
我们先来介绍PDC主机,PDC是主域控制器的缩写,在NT4时代,域控制器被分别PDC(主域控制器)和BDC(备份域控制器),只有PDC才可以修改目录数据库,BDC的数据库是从PDC复制而来的。从Win2000开始,所有的域控制器都可以修改Active Directory了,那为什么Win2003的操作主机中还有PDC主机这个角色呢?原因是这样的,微软为了保护用户的前期投资,允许NT4服务器称为Win2003域中的额外域控制器,但NT4充当域控制器时一定要和域中的PDC联系,这种情况下PDC主机就要挺身而出,以主域控制器的身份和NT4的域控制器通讯。这就是PDC主机的第一个用途,兼容NT4服务器。
PDC主机的第二个用途是可以优先成为主浏览器,这里说的浏览器可不是上网冲浪用的浏览器,而是网络中的一种计算机角色。我们都知道打开网上邻居后可以看到当前网络中有多少台计算机,双击计算机名还可以看到这台计算机提供的共享资源。这些网络资源列表是由谁来提供呢,在微软网络中被一种称为主浏览器的计算机来提供。那么哪些计算机可以成为主浏览器呢?只要操作系统的版本在Windows workgroup 3.1以上的计算机都有机会成为主浏览器。如果一个网络中的多台计算机都希望成为主浏览器,那么这些计算机就会通过“选举”来解决问题,我们有时用抓包工具可以抓到电子选举包就和这个过程有关。每台计算机选举时首先比较操作系统版本,版本新的优先成为主浏览器,例如Win2003优于Win2000。如果操作系统版本相同,再比较谁是域控制器,域控制器比普通的计算机优先。如果参与选举的有多个域控制器,那么PDC主机会优先。最后再多说一句,如果一个广播域内有多个域,而且有多个PDC操作主机,那么它们之间又如何进行主浏览器的选举呢?它们之间会通过GUID来选出最后的胜利者。
PDC主机的第三个用途就是Active Directory的优先复制权,正常情况下,Active Directory的复制周期是5分钟,但如果Active Directory中发生了一些紧急事件,例如修改了用户口令。这种情况下源域控制器就会在最短时间内通知PDC主机,由PDC主机来统一管理这些Active Directory的紧急事件。如果一台域控制器发现用户输入的口令和Active Directory中存储的口令不一致,域控制器考虑到有两种可能性,一种可能是用户输入错误,一种可能是用户输入的口令是正确的,但是自己的Active Directory还没有接收到最新的变化。域控制器为了避免自己判断错误,就会向PDC主机发出查询,请PDC主机来验证口令的正确与否,因为前面已经提到,任意一个域控制器修改了用户口令,都会在最短时间内通知PDC主机。
PDC主机除了上述的几种用途,还可用于充当域内的权威时间源,同时PDC主机也是组策略的首选存储地点。顺便提一下,PDC主机的作用级别是域级别,也就是说,在一个域中只能有一台域控制器充当PDC主机。
介绍完PDC主机的作用后,我们来介绍RID主机。RID是SID的一部分,什么是SID呢?SID是安全标识符(Security Identify)的缩写,当我们在域中创建用户账号或计算机账号时,操作系统会为被创建的账号建立一个对应的SID,也就是说,SID真正对应了用户账号或计算机账号。一个域用户对应的SID格式是这样的,S-1-5-21-D1-D2-D3-RID,S是SID的缩写,1是SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。以大家熟悉的管理员账号为例,管理员的SID就是S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID是500。