《activedirectory产品操作指南》由会员分享,可在线阅读,更多相关《activedirectory产品操作指南(67页珍藏版)》请在金锄头文库上搜索。
1、Active Directory 产品操作指南产品操作指南第 3 章 详细的维护操作本页内容本页内容概述过程:备份 Active Directory过程:Active Directory 的非授权还原 过程:Active Directory 对象的授权还原过程:通过重新安全恢复域控制器过程:为现有域安装域控制器过程:删除 Active Directory过程:重命名域控制器过程:管理 Active Directory 数据库过程:管理 SYSVOL过程:管理 Windows 时间服务任务:配置林的时间源任务:在计算机,而不是在 PDC 仿真器上配置可靠时间源任务:配置客户端以向特定时间源请求时
2、间任务:优化轮询间隔任务:禁用 Windows 时间服务过程:管理信任过程:管理站点任务:添加新站点任务:将子网添加至网络任务:链接复制站点任务:更改站点链接属性任务:将域控制器移至不同的站点任务:删除站点过程:管理域控制器上的防病毒软件过程:添加全局编录过程:从域控制器中删除全局编录过程:确认站点中的全局编录服务器过程:移动操作主机角色步骤:减少 PDC 仿真器的工作量过程:传输角色持有者过程:占用操作主机角色过程:选择备用操作主机概述概述本章提供了有关维护 Active Directory 所必须执行的过程的详细信息。这些过程是按照其所属 的 MOF 象限来排列顺序,在每个象限中则遵照构成
3、该象限的 MOF 服务管理功能 (SMF) 指 南。这些象限是:操作象限 支持象限 优化象限 更改象限 操作象限系统管理 SMF操作角色群每日返回页首过程:备份过程:备份 Active Directory说明说明将 Active Directory 作为 Microsoft Windows 系统状态(彼此依赖的系统组件集合)的一部分 进行备份。必须对所有的系统状态组件进行备份并存储在一起。域控制器上的系统状态组件包括:系统启动(引导)文件。这是 Windows Server 2003 启动所必需的文件。 系统注册表。 组件服务的类别注册数据库。用于在分布式系统环境中编写组件软件的组件对象模型
4、(COM) 是二进制标准。 系统卷 (SYSVOL)。对于必须在域内共享以用于公共访问的文件,SYSVOL 为其提供了默认的 Active Directory 位置。域控制器上的此 SYSVOL 文件夹包含:网络登录共享文件夹。这些文件夹通常用于存放未运行 Windows 2003 的网络客户端计算机的 用户登录脚本和组策略对象 (GPO)。 启用 Active Directory 客户端的用户登录脚本。 Windows 2003 GPO。 文件系统交接点。 文件复制服务 (FRS) 临时目录和文件,这些文件要求可用并在域控制器之间同步。 Active Directory,其中包括:Activ
5、e Directory 数据库 (Ntds.dit) 检查点文件 (Edb.chk) 事务日志,每个大小为 10 兆字节 (MB),(Edb*.log) 保留的事务日志(Res1.log 和 Res2.log)如果使用集成 Active Directory 的域名系统 (DNS),请确保备份托管 DNS 的域控制器。如果不 使用集成 Active Directory 的 DNS,则必须明确备份区域文件。但是,如果将系统磁盘与系统 状态一同备份,则请将区域数据作为系统磁盘的一部分进行备份。如果在域控制器上安装了 Windows Clustering 或证书服务,也必须将其作为系统状态的一部分 进
6、行备份。本指南中未对这些组件进行详细论述。目的目的需要最新的、经过验证的和可靠备份的几个理由:还原丢失或损坏的 Active Directory 数据。使用授权还原过程,可将单个对象或成套对象从删 除的状态还原。 恢复由于软件或硬件故障而不能正常引导的域控制器。 在出现全林范围内损坏的事件中执行林恢复。 通过介质操作执行安装。Windows Server 2003 中的该项新功能,允许提升新的域控制器,并用 本地源的当前信息对其进行填写,而不是必须等待潜在的非常缓慢的媒体(例如,56K 的连接) 的完整同步复制。指导方针指导方针尽管 Windows Server 2003 中的备份工具支持多种
7、类型的备份(普通、复制、增量、差异和日常) ,但是支持 Active Directory 并且可用的仅有普通备份,因为 Active Directory 是作为系统状态 的一部分来进行备份的。普通备份可在域控制器联机的同时创建整个系统状态的备份。如果没有使用集成 Active Directory 的 DNS 区域,则除系统状态和/或系统磁盘之外,还应将 包含备份中所有 DNS 区域文件的文件路径包括在内,以确保恢复成功。备份哪些域控制器可为每个 Active Directory 域定义备份集,该备份集由要求成功还原域的物理域控制器组成。域 备份集的集合确保可执行林还原操作。对于每个域,备份集至
8、少拥有两台或多台域控制器,并且其中至少有一台域控制器是应用程序分 区复制集的成员。备份集必须包括集中每台计算机的系统状态、系统磁盘备份以及全局编录。如果使用集成 Active Directory 的 DNS,则有助于备份至少一台 DNS 服务器。注意:注意: 备份仅能用于还原生成备份的域控制器。它不能用于还原不同的域控制器或在不同硬件 上的该域控制器。何时备份何时备份 Active Directory备份集中的每台域控制器在墓碑生存时间内必须至少备份两次。默认情况下,墓碑生存时间为 60 天,因而可将备份集中每台域控制器的备份要求设为每 30 天进行一次。虽然每月备份操作足以满足成功进行灾难恢
9、复的要求,但它们并不易于进行自最近一次备份以来 新信息的恢复。因此在规划备份频率时,应将这些变化考虑在内。备份的频率由业务要求和技术 要求来决定,并根据部署的需要进行调节。默认情况下,每隔 30 天机器帐户会更改一次密码。因此,域控制器也会每隔 30 天更改一次它 的机器帐户密码。如果打算使用旧密码还原域控制器,可能会导致域控制器无法通过其伙伴进行 复制。所以,为了将使用旧密码还原域控制器的影响降至最低,应在 30 天内执行一次以上的备 份。除定期备份要求外,在下列时刻应立即执行备份:更改了数据库 Ntds.dit 或日志文件的存储位置。 将域控制器从 Windows 2000 Server
10、升级至 Windows Server 2003,或任何更进一步地操作系统 升级。 新域控制器的媒体操作安装要求进行当前备份。 更改了墓碑生存时间。注意:注意: 来自 Windows 2000 Server 的备份不能用于还原运行 Windows Server 2003 的域控制器。Active Directory 通过不允许还原来保护其自身不会受到比墓碑生存时间更早的数据还原。因此, 备份的生命周期与为企业设置的墓碑生存时间相等。任务:备份任务:备份 Active Directory 和相关组件和相关组件步骤:备份系统状态步骤:备份系统状态可在以下网址找到该步骤 http:/ http:/ 磁
11、带驱动器或其他备份介质 操作象限系统管理 SMF操作角色群按照需要返回页首过程:过程:Active Directory 的非授权还原的非授权还原 说明说明非授权还原将域控制器返回至其备份时的状态,然后允许使用备份后出现的任何更改进行正常的 复制以覆盖此状态。还原系统状态后,域控制器会查询其复制伙伴。复制伙伴将所有更改复制到 还原的域控制器,以确保域控制器具有正确的和更新的 Active Directory 数据库副本。目的目的非授权还原允许还原域控制器上的整个目录,而无须再次引入或更改自备份以来已修改过的对象。 非授权还原的最常用于在灾难性或衰弱性硬件故障后进行整个域控制器的恢复。数据损坏时并
12、不 常用此非授权还原,除非是本地数据损坏且不能成功加载数据库。指导方针指导方针如果打算还原已删除的对象,则应参考授权还原的步骤。在单台域控制器上还原整个目录以处理 数据损坏或硬件故障时,请使用非授权还原。可在为单机服务器、成员服务器或域控制器的 Windows Server 2003 系统上执行非授权还原。服务器必须是在目录服务还原模式下,方可执行 非授权还原。任务:执行域控制器的非授权还原任务:执行域控制器的非授权还原非授权还原是还原 Active Directory 的默认方式。要执行非授权还原,必须能够在目录服务还原 模式下启动域控制器。从备份介质还原域控制器后,复制伙伴会使用标准的复制
13、协议来更新已还 原的域控制器上的 Active Directory 和相关信息。步骤步骤 1:在目录服务还原模式下重新启动域控制器:在目录服务还原模式下重新启动域控制器注意:注意: 必须重新安装操作系统的情况下:还原此目录前,无须在目录服务还原模式下执行非授 权还原。重新安装操作系统后,可在机器正常启动后执行还原。可在以下网址找到该步骤http:/ 2:从备份介质还原:从备份介质还原可在以下网址找到该步骤http:/ 3:验证:验证 Active Directory 还原还原可在以下网址找到该步骤http:/ 原 Active Directory 来还原该域控制器。为了还原操作成功,必须将 Windows Server 2003 重新安装到与先前相同的驱动器号,并且该驱 动器至少具有相同量的物理驱动器空间。重新安装 Windows Server 2003 后,即可执行该系统状 态和系统磁盘的非授权还原。步骤步骤 1:安装:安装 Windows Server 2003本指南不提供 Windows Server 2003 的安装说明。步骤步骤 2:从备份介质还原:从备份介质还原可在以下网址找到该步骤 http:/ 3:验证:验证 Active Directory 还原还原可在以下网址找到该步骤 http:/ SMF操作角色群按照需要返回页首过程
