域命名主机(Domain Naming Master):具有域命名主机角色的域控制器才允许在林中新增和删除域或新增和删除域的外部引用。整个林中只能由一个域命名主机。
域级别(在域中只有一台DC拥有该角色):
PDC模拟器(PDC Emulator):Windows Server 2000及以后版本中域控制器不再区分PDC(Primary Domain Controller)和BDC(Backup Domain Controller),但为兼容旧系统和实现PDC上的一些功能,就需要PDC模拟器发挥作用了。这些包括:密码实时更新;域内时间同步;兼容旧有系统(如NT4和Win98)等。
RID主机(RID Master):在Windows系统中,安全主体(如用户和用户组)的唯一标识取决于SID(如用户名不同但是SID相同的用户Windows仍然认为是同一用户)。SID由域SID(同域内都一样)和RID组成。RID主机的作用是负责为安全主体生成唯一的RID。为避免安全主体SID重复,造成安全问题,RID统一从RID主机分配的RID池中生成。
结构主机(Infrastructure Master):结构主机的作用是负责对跨域对象引用进行更新,以确保所有域间操作对象的一致性。在活动目录中有可能一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由基础结构主机来完成。如果架构主机与GC在同一台DC上,架构主机将不会更新任何对象,因为GC已经拥有所有对象和属性的拷贝。所以在多域情况下,建议不要将架构主机设为GC。
5、功能级别
Active Directory新建林时需要确定林和域的功能级别,功能级别决定了Active Directory域服务(AD DS)的功能,也决定了哪些Windows Server操作系统可以被林和域支持成为域控制器。Windows Server在历次改版,也对Active Directory进行改进,形成了不同功能级别,更高的功能级别提供更多的功能,目前已有功能级别包括:Windows 2000 本机模式、Windows Server 2003、Windows Server 2008、Windows Server 2012等。
运行Windows Server 2008的操作系统上可以设定林和域的功能级别为Windows Server 2003,运行Windows Server 2003操作系统的服务器可以加入成为域控制器。但设定林和域的功能级别为Windows Server 2008,运行Windows Server 2003操作系统的服务器将无法加入成为域控制器,但运行Windows Server 2012操作系统的服务器可以。
另外设定的功能级别可以升级不能降价,域功能级别不能低于林的功能级别。
6、域信任
域信任就是在域之间建立一种关系,使得一个域中的用户可以在另一个域的域控制器上进行验证,但建立信任仅仅是为实现跨域访问资源提供了可能,只有在资源上对用户进行了授权才能最终实现跨域访问。
域信任分为单向和双向,单向就是我信任你但是你不信任我或者反之,双向就是相互信任。另外域信任可配置为具有可传递,就是我信任你所信任的(第三方),可传递的信任省去了在复杂域环境中配置信任关系工作。
同一个林中父域和子域默认存在双向的可传递的信任。域树之间默认存在双向的可传递的信任(Tree Trust),两个不同域树中的域之间可以建立快捷信任(Shortcut Trust),以加快验证过程。不同林之间可以建立林信任(Forest Trust)。
与其他使用Kerberos做验证的目录系统可以建立领域信任(Realm Trust)。与较老的NT4系统可以建立外部信任(External Trust)。
7、站点
理论上Windows域与物理网络拓扑无关,域中多个域控制器只要满足能够相互通信的条件,可以在同一个子网,也可以分属不同子网;可以在同一个物理位置,也可以分别在不同的物理位置。但域控制器以及域中的计算机之间的通信最终受制于物理的网络拓扑,如域控制器之间的复制和账户验证等与物理位置关系密切。
站点可以看成是域中高速连接的一组计算机,按物理位置将域控制器和计算机部署在不同站点内,可以提高域内域控制器间复制和账户验证的效率。例如一个域中,北京站点有两个域控A和B,上海站点有两个域控C和D,他们之间的复制如果按照BCDA的顺序复制,那将是没有效率的。按ABCD顺序,同一个站点内的域控相互复制,站点间只要复制一次即可。
三、测试和维护域
1、修改域控制器计算机名