科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows 2000/03域和活动目录(8)

Windows 2000/03域和活动目录(8)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。

作者:it168 来源:it168 2008年4月14日

关键字: IIS 活动目录 windows 2000 Windows

  • 评论
  • 分享微博
  • 分享邮件

五、从NT4域升级到2000域

1、预备知识:
  NT4域采用单主控复制,DC分为PDC和BDC,BDC存储的只是PDC“目录服务数据库”文件的只读复本。在“服务器管理器”中可以将一台BDC提升为PDC,原PDC自动降为BDC。
  一个域中只能有一台PDC,零到多台BDC以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台PDC,域是逻辑分组,我们可以在一个子网中建多个域。
  2000域开始采用多主控复制,DC不再有PDC和BDC之分,DC间的AD复制是双向的。但2000域中会唯一有一台DC担当PDC仿真主控,负责充当NT4 BDC的PDC,并为早期版本客户机提供服务。PDC仿真主控还负责管理运行NT、95/98计算机的密码变化,写入AD。接受密码变化的DC必须通知PDC仿真主控,比如:用户登录时,如密码错误,必先送至PDC仿真主控。因为普通DC不能确认到底是密码错误,还是它没有及时与PDC仿真主控同步。它还负责同步整个域中计算机的时间。通过以上我们可以知道:在2000域中存在的NT4域控制器,它的身份只能是BDC。
   2000域模式分为:混合(mixed)模式和本机(natived)模式。默认为混合模式,如果管理员确认域中所有DC(注意:这里强调的是DC,2000域本机模式下可以有NT4的成员服务器)都是2000DC,没有NT4的域控制器,可以手动在“AD用户和计算机中”将域模式更改为本机模式,以充分利用AD的新功能,比如使用“通用组”。
  通过以上分析,我们可以知道:如果在2000域中存在NT4域控制器,那么你只能使用2000域混合模式了。有人可能会想那我就不让它再当域控制器了,但是NT4域的DC和成员服务器之间角色转换必须重装NT4系统,不能象2000那样利用AD安装向导,方便地进行安装/卸载。

2、原则:
    由NT4域向2000域升级,第一个被升级的必须是NT4域的PDC。这样才可以把帐号、安全设置、配置等带到2000域

3、MS推荐策略:
    由于升级是一个极易出现各种问题的过程,必须考虑备份。再有就是实际*作时,可以先将NT4的BDC提升为PDC,再升级到2000。如果顺利的话,再升级其它BDC。如果不顺利的话,可将原来PDC复原,以此方法来避免损失。

4、深入讨论:
     我们可以把前面的问题再深入讨论一下,假设你的域中有NT4的PDC,并且在它上面运行的老程序不允许你把它升级为2000,但你还想要通过升级NT4域,得到2000域,那么应该怎么办呢?答案很简单,可以先将这台PDC降为BDC,再将新PDC升级为2000。这样你既得到了2000域,又保留了NT4的BDC。

5、我的推荐原则:
     在实际工作中,只要能进行2000域的全新安装,就用全新安装。因为NT4升级后得到的2000安全策略设置等等是继承NT4时的设置,与2000域的默认值有较大出入,以后出问题,不易排错,也不易与其它人交流沟通、解决问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章