《AD实施:域管理手册精编版》由会员分享,可在线阅读,更多相关《AD实施:域管理手册精编版(16页珍藏版)》请在金锄头文库上搜索。
1、深圳市海格物流股份有限公司操作主机与AD DB管理文档编号:SXD- HGWL-20150901-01版本:VERSI0N1.6编写:索信达运维服务部最后修订:2015年09月22日深圳市索信达实业有限公司目录第一章管理域中的操作主机角色3(一)操作主机介绍3(二)角色迁移4(三)角色抢夺5第二章管理活动目录数据库7(一)活动目录数据库介绍7(二)活动目录数据库的移动8(三)活动目录数据库的压缩10(四)活动目录数据库的备份和还原11(五)活动目录回收站11第一章 管理域中的操作主机角色(一) 操作主机介绍Active Directory支持域中所有域控制器之间的目录数据存储的多主机复制,因此
2、域中 的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于 每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可 以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。AD DS中的五个操作主机角色分别是:架构主机(Schema Master)、域命名主机(Domain Naming Master)、RID 主机(RID Master)、PDC 仿真器(PDC Emulator)、基 础结构主机(I nfrastructure Master)架构主机和域命名主机是林范围角色,即每个林只有一台架构主机和一台域命名主机。 RID主机、P
3、DC仿真器、基础结构主机是域范围角色,这3种操作主机角色在林中的每个 域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时,它会拥有所有5个角 色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得每域的操作主机角 色。架构主机(Schema Master)宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其他域控制器则只包含 架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构 改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的, 只能有一个架构主机。域命名主机(Domain Naming Master)域命名
4、主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名 主机不可用,则无法向林中添加域或从林中删除域。在整个林中,架构主机是唯一的,只能 有一个架构主机。RID 主机(RID Master)RID主机将相对标识符(RID)分配给域中每个不同的域控制器,每个域只有一个RID 操作主机角色,用于管理RID池,从而在整个域范围内创建的新的安全主体,如:用户、 组和计算机。每个安全主体都有一个唯一 SID。RID主机用于保证域控制器生产的SID是唯 一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何 域控制器上的RID池中的可用RID的数量较少时
5、(小于100),就会从RID主机请求一些RID。每次收到这样的请求,RID主机都会向域控制器再颁发大约500个RID的RID池。PDC 仿真器(PDC Emulator)PDC仿真器负责执彳丁很多与域有关的关键功能,主要有:为Windows 2000提供支持、 维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中 主机列表。基础结构主机(Infrastructure Master)基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变 (常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些 引用的最新列表,然后将这
6、个信息复制给域中所有域控制器。如果基础结构主机不可用,域 之间的组-用户引用就会过时。(二) 角色迁移当部署多台DC分担操作主机角色时,可以通过以下命令实现操作主机角色的迁移。以 PDC 主机角色迁移为例:1、查询当前操作主机角色所在的 DC2、打开CMD窗口,依次输入命令:ntdsutil - roles - connections - connect to server ad2.hg.local连接到域控制服务器 ad2.hg.local管理员:命令提五花-ntdsutilNiDFooFt Windows 版本 6 _3.9EI3I3 2013 Microsoft Coipovation
7、o 保留.目有权禾C - xUsiefs: M:ldrriiri3t:rciLtorintdut 11nCdutil= ro Lesfsno naintenance: connectionsserver connecticns : connect to serwer ad2. lig丄3、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC 主机角色转移至 域控制器 ad2.hg.local 上-ffl麓理员:命令提彌 ntckLtil i xntdsect ianHelp 如让Seize SeizeSeize Se is e 5e i2.einf
8、r-astruic turc mastar nrainsr terFDGRED n-asterh schena nats teFS 1 c C gP乍严刃u tT mn s Fu 呼Trrtncfep Iranafcr Tian s if ci* Transtepinf tmssternaming iAEter 咖Ftl 9 nas tr schonai loaster息壮 务务务务 服的服服服嵋服服罪服 2个帮-的接的的的占前-的 .1- tBnsl 釵到这到琏已琏廷连的莖亠曇链连 示接示回昙岂己已S社已己已已 eaial 在在选构名DCID王 p R 粟黒jJT in旳主耀聖!诸命 上甲上
9、上角主宜寫角色刿娜 勺E百B勾肖I31-3壬 渥为为为 上羞雷壅疋定上下文sno nain七Nni匚芒! transFet* PDC(三)角色抢夺当拥有某操作主机角色的DC宕机时,可以通过以下命令实现操作主机角色的抢夺。 以 PDC 主机角色抢夺为例:1、打开CMD窗口,依次输入命令:ntdsutil 今 roles 今 connections 今 connect to server ad2.hg.local 连接到域控制服务器 ad2.hg.local2、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC 主机角色转移至 域控制器 ad2.hg
10、.local 上管理気命令提示搭-ntdsutilXntdsutil: rolesFsno uialntenancB: connectionsseruep connections= connect to server ai2|.lig. local邦定到 ad|2Lig. local .ft未舀寻的用户的拜:liF连接ad|2.1iff. local.server connections- (iuit fsne malntenancB: ?Connect ions He lp QuitSe izeizeSe izeSe izee iaeIn f Fast me t: ure vnast:ei*
11、 namlnifj masiiei*PBCR1 D ma.jl:eF schema niEist:epGe lect: ope rat ion targetTi*ansep Transfer Tvansfer Tvansfer Transferinf pm t ruct me naet e i* nanting masteiPBCRID ma.et:ei* schcmsL mas-tei*这到这到连已连连辻的汕辻辻辻辻 示按示0已盖已已已掛犹已已已已 丘垃显近住住选D 丄? _ _ 一口T 口冒;: 息口息单器筋器器黑零汗器器器器 信一一 4SW务倉倉分齐齐-务HR-F-R-r-R-n-R-U
12、T?n-殳mR-p-R-n-R- Rn- Rn- nu lnJ.-_dJJd33 1IM:色机魂更已利几儿 床土用淨_机一気 构名DCJI陶弔土三王 tHHX,营IJCID构 - -PR 架sno malnteniancB:PDC,第二章 管理活动目录数据库(一)活动目录数据库介绍活动目录数据库默认存储路径为:C:WindowsNTDS.I D-NTDS1 - 1 K主页* O中土卜 jrfttiaa-rcn 卜 windows ” mtdsv 花 |斗下爺i牯 edb.chk5/9/22 & 53泪的交塚片8KB黛同2015/&/22 B:5310.240 KE edbifeODOOl ji
13、rs2015/9/1 11:34JRS丈1牛10.240 KB.edbrK&DODZjrs1 : ncdi.dit2015/1 11:34用文阵10,240 KEZ01 5/9/22 0:53DJT文舛20.49& KBt&mp.edb2015/22 S:53EDB迂牟2,054 KB其中包含文件分别为: edb.chk:检查点文件。edb.chk文件存储数据库的检查点,这些检查点标识数据库引 擎需要重复播放日志的点,通常在恢复或初始化时。 edbxxxxx.log:事务日志文件。edb.log是日志文件,对数据库进行更改后,将该更 改写入到edb.log文件中。当edb.log文件充满事务之
14、后,会被重新命名为 edbxxxxx.log,日志文件从edbOOOOl开始,并使用十六进制数累加。由于Active Directory使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及 时删除。在任何时刻都可以找到edb.log文件,而且还可能有一个或多个 edbxxxxx.log 文件。 edbresxxxx.jrs:这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使 用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件, 服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目 录。每一个日志文件也是10MB大小 edbtmp.log:该日志是当当前日志文件(Edb.log)填满时的暂时日志。一个 edbtmp.log的新文件被创建来记录处理,同时edb.log文件被
