《微软认证MCSE备考辅导Windows目录服务与数据挖掘工具.docx》由会员分享,可在线阅读,更多相关《微软认证MCSE备考辅导Windows目录服务与数据挖掘工具.docx(3页珍藏版)》请在金锄头文库上搜索。
1、Windows目录服务与数据挖掘工具活动目录结构的还原操作向来繁琐,耗时甚多,这主要是其内容具有分散性和动态性, 结构上又具备双重性(由分层数据库和符合SYSVOL结构的文件系统构成),并且缺乏界面友好、操作简便的工具。因此,当人们认为域还原才是复杂耗时的操作时,殊不知,即使是活动目录的还原操作也远非简易,当中也会遇到各种各样的困难。有鉴于此,本文将对Windows Server 目录服务的一些新特性进行介绍,让读者了解新的功能是如何方便还原操作的。一、还原的基本条件通常而言,对象的还原主要是通过命令操作或是重标示已被删除的对象,而这些功能的实现又取决于是否有一个系统级的备份文件。(想要了解更
2、多此方面的消息,可参照微软知识库中编号为8400的文章,该文章详尽的信息会给你更多的帮助。)在还原过程中,即使有了详细的命令和操作步骤,我们仍需要注意一些问题。首先,必须确定最适宜的备份点,这无疑增加了命令式还原的复杂性。因为这需要用户能够在误操作发生前,判断出的备份点-也就是说,备份点中的目标数据信息都要求是正确无误的。除非用户愿意投资更多的钱用于活动目录的监控和审计解决方案上,否则判断备份点相当困难,当然,这也需要长时间的尝试。数据还原是项耗时耗力的工程,可以包括以下几个步骤:在活动目录恢复模式下重启域控制器;从可用的备份文件中选择一个恢复活动目录数据库;运行ntdsutil命令行工具,从
3、中提取正确的对象信息。第二,一旦发生误删现象,由于命令行工具ntdsultil的局限性,所以需要提供想要恢复对象的标示名(Distinguished Name,DN) 。另外,要完成还原工作还需要确认系统先前的状态。第三个是关于对象还原的效率问题。实际上,一个对象被删除后,除了名字的改变,还会被放置到一个特定的活动目录存放区中,大多数标准活动目录管理工具都设有这个隐藏存放区。在存放过程中,对象的大部分属性都会被剥除,只剩下少数几个属性。如objectGUID、objectSID、sIDHistory和sAMAccountName等。如果再知道CN和lastKnownParent两个属性的信息,
4、那么就可以找到被删除对象的位置,并进行恢复工作。但删除时被剥除的属性的重新找回则需借助前两点来访问历史纪录,即访问备份文件。二、数据挖掘工具的优点与应用现在有了数据挖掘工具(Database Mounting Tool)的帮忙,对于Windows Server 下的域控制器,上述的三个问题将迎韧而解。采用命令行执行的DSAMAIN.EXE文件是数据挖掘工具的主文件,运用它可在只读模式下运行活动目录或轻型目录服务(以前称为活动目录应用模式,ADAM)数据库的备份工作;该工具还可通过任一具备LDAP端口通信功能的程序来浏览活动目录内容(这包括了大多数的标准AD管理工具、Active Directo
5、ry Users and Computers、Active Directory Domains and Trusts、Active Directory Sites and Services、ADSIEdit 或LDP.EXE)。虽然DSAMAIN.EXE绝大多数情况都是与Windows Server 新特性之一的快照功能联合应用(在将详细介绍),但它的应用范围远非如此。任何Windows Server 或是符合VSCS(Volume Shadow Copy Service,卷影拷贝服务)格式的第三方软件所创建的备份均可被数据挖掘工具所加载,并且数据挖掘工具还可从备份中提取活动目录数据(NTDS
6、.DIT)。特别一提的是,数据挖掘工具兼容VHD格式的全盘和系统状态备份,以及ntdsutil工具用ifm命令创建的备份格式,该备份主要是用于执行以媒介方式进行的安装。DSAMAIN需要用户以-dbpath参数指定数据库所在的路径。另外,还需要通过-ldapPort参数输入任一整数用以指定LDAP端口,访问目录服务。在默认状态下,该整数会被自动分配给SSL-based LDAP、Global Catalog (GC)和GC SSL access访问的端口号。当然,你也可以通过/sslPort, /gcPort and /gcsslPort参数来修改相应的端口号。如果想以非管理员身份访问数据库,
7、可使用-allowNonAdminAccess选项,而选项修改的权利被严格限定在Domain Admins和Enterprise Admins组成员中。举个例子,以下的命令行运行于Windows Server 的域控制器上,可使Domain Admins和Enterprise Admins组成员通过LDAP端口33389离线浏览活动目录数据库(提取自VSS生成的备份中,存于D:Restore8NTDSntds.dit文件)。关于DSAMAIN完整的语法表达可参见Windows Server 技术库。DSAMAIN -dbpath D:Restore8NTDSntds.dit -ldapPort
8、 33389执行上述命令后,如果数据库处于稳定状态,并且指定的端口没被其他服务占用的话,不出意外你将会接受到一条确认信息:Microsoft Active Directory Domain Services startup complete.启动后,DSAMAIN 将一直保持活动状态。如需关闭服务,执行CTRL+C键盘组合键即可实现,此时屏幕将会显示:Active Directory Domain Services was shut down successfully。,并且命令提示符随之消失。与此同时,你还可利用前文提及的具备LDAP端口通信程序查视活动目录的拷贝,并且容许指定相关的目录服务
9、实例。三、LDAP端口程序 Active Directory Users and Computers控制台在树型目录顶部的Active Directory Users and Computers节点菜单处选择Change Domain Controller,然后进入。在弹出的Change Directory Server对话框中,选择This Domain Controller or AD LDS instance,并输入要运行DSAMAIN的域控制器名称,加冒号后跟由-ldapPort 指定的LDAP端口号(比如,本文中的33389)。另一种启动控制台的方法为,直接在命令提示行中输入执行DS
10、A.MSC /SERVER=DC_Name:LDAP_Port_Number即可。 Active Directory Sites and Services控制台与上文进入Active Directory Users and Computers控制台相似,在Active Directory Sites and Services节点菜单中选择Change Domain Controller进入活动目录的设置部分。同样,还可在命令提示行中输入:DSSITE.MSC /SERVER=DC_Name: LDAP_Port_Number。 Active Directory Domains and Trus
11、ts需要指定DSAMAN加载活动目录的实例时,可采用与上述两种相似的步骤:Active Directory Domains and Trusts节点菜单Change Active Directory Domain Controller,或是直接运行DOMAIN.MSC /SERVER=DC_Name:LDAP_Port_Number。 ADSI Edit (ADSIEdit.msc)这是款低级活动目录编辑器,可以在同一接口下访问活动目录中所有的名称索引。操作步骤:根目录ADSI Edit节点索引菜单中选择Connect to选项弹出Connection Setting对话框。如果你是在一台DS
12、AMAIN活动中的域服务器上运行,那么在路径文本框中已显示有正确的LDAP登入路径。那么,你只需选择一个想要连接的名称索引(Default, Configuration, Schema或RootDSE),并且点击Advanced命令按钮指定合适的端口数字。 LDP (ldp.exe)提供高度的多样性,能最直接地访问活动目录的内容。为查看一个由DSAMAIN加载的活动目录实例,操作步骤可分为:在Connect菜单选择Connect选项指定服务器名称和端口号;然后再在Connect菜单选择Bind给出Domain Admin或Enterprise Admin的授权(以非特权帐户登陆时),或是直接选
13、择Bind as currently logged on user(特权帐号登陆时);在View菜单下选择Tree entry 输入想要连接的目标数据的名称,或是从listbox(与ADSI Edit联用可访问目标数据的所有区域)中提取名称;LDP还能停止由DSAMAIN加载的目录服务实例,该功能可为远程通过LDAP访问的用户带来方便。如想实现此功能,可在连接登陆后,在Browse菜单中选择Modify entry。弹出的对话框后,在Attribute文本框中输入stopservice的属性为1(DN路径必须为空),接下来点击Enter and Run命令按钮。 CSVDE.exe和LDIFDE.exe 命令行工具用于抽取由DSAMAIN加载的活动目录的对象任意一个选定的属性(两个工具都需要-t参数指定用于连接的LDAP端口)。更多语法参数的信息可参照微软TechNet关于CSVDE和LDIFDE的文章。除了以上介绍外,目前在Windows Sever 域控制器中还有一种可被DSAMIN.EXE加载的数据生成方式。该法主要技术是对载有活动目录数据库的驱动盘进行实时定点快照,快照格式采用VSS。我们将在文章中对快照做一个详细的介绍。
