《AD实施:域管理手册.pdf》由会员分享,可在线阅读,更多相关《AD实施:域管理手册.pdf(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、深圳市海格物流股份有限公司深圳市海格物流股份有限公司操作主机与操作主机与 AD DBAD DB 管理管理文档编号:业有限公司业有限公司版本:编写:最后修订:SXD- HGWL-20150901-01VERSION1.6索信达运维服务部2015年09月22日深圳市索信达实深圳市索信达实目录第一章 管理域色中的操作主机角(一) 操作主机介绍.(二) 角色迁移.(三) 角色抢夺.第二章 管理活动目录数据库 .(一) 活动目录数据库介绍 .(二) 活动目录数据库的移动 .(三) 活动目录数据库的压缩 .(四) 活动目录数据库的备份和还原 .(五) 活动目录回收站 .第一章第一章 管理域中的操作主机角色
2、管理域中的操作主机角色( (一一) ) 操作主机介绍操作主机介绍Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行, 因此对于每一个此类更改, 都有一个称为 “操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS 数据库中出现冲突的项目的可能性。AD DS 中的五个操作主机角色分别是:架构主机(架构主机(Schema MasterSchema Master) 、域、域命名主机(命名主机(Domain Naming MasterDomain Naming M
3、aster) 、RIDRID 主机(主机(RID MasterRID Master) 、PDCPDC 仿真器仿真器(PDC EmulatorPDC Emulator) 、基础结构主机(、基础结构主机(Infrastructure MasterInfrastructure Master)架构主机和域命名主机是林范围角色,即每个林只有一台架构主机和一台域命名主机。RID 主机、PDC 仿真器、基础结构主机是域范围角色,这 3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS 并创建第一台域控制器时, 它会拥有所有 5 个角色, 类似地, 在向林中添加域时,每个新域中的第一台域控制器
4、也会获得每域的操作主机角色。架构主机(架构主机(Schema MasterSchema Master)宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其他域控制器则只包含架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的,只能有一个架构主机。域命名主机(域命名主机(Domain Naming MasterDomain Naming Master)域命名主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名主机不可用,则无法向林中添加域或从林中删除域。在整个林中,架
5、构主机是唯一的,只能有一个架构主机。RIDRID 主机(主机(RID MasterRID Master)RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器,每个域只有一个 RID 操作主机角色,用于管理RID 池,从而在整个域范围内创建的新的安全主体,如:用户、组和计算机。每个安全主体都有一个唯一 SID。RID 主机用于保证域控制器生产的 SID 是唯一的。RID 主机把一些相对标识符(RID)(称为 RID 池)颁发给域中的每台域控制器。 当任何域控制器上的 RID池中的可用 RID 的数量较少时(小于 100),就会从 RID 主机请求一些 RID。每次收到这样的请求, R
6、ID 主机都会向域控制器再颁发大约500 个 RID 的 RID池。PDCPDC 仿真器(仿真器(PDC EmulatorPDC Emulator)PDC 仿真器负责执行很多与域有关的关键功能, 主要有: 为 Windows 2000提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。基础结构主机(基础结构主机(Infrastructure MasterInfrastructure Master)基础结构主机负责更新域之间的组-用户引用。 这个操作主机角色确保对象名称的改变(常用名称属性的更改 cn)反映在位于不同域中的组成员身份信息中。基础结构
7、主机维护这些引用的最新列表,然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用,域之间的组-用户引用就会过时。( (二二) ) 角色迁移角色迁移当部署多台 DC 分担操作主机角色时, 可以通过以下命令实现操作主机角色的迁移。以 PDC 主机角色迁移为例:1、查询当前操作主机角色所在的 DC2、打开 CMD 窗口,依次输入命令:3、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC主机角色转移至域控制器 ad( (三三) ) 角色抢夺角色抢夺当拥有某操作主机角色的 DC 宕机时, 可以通过以下命令实现操作主机角色的抢夺。以 PDC 主机角
8、色抢夺为例:1、打开 CMD 窗口,依次输入命令:2、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC主机角色转移至域控制器 ad第二章第二章 管理活动目录数据库管理活动目录数据库( (一一) ) 活动目录数据库介绍活动目录数据库介绍活动目录数据库默认存储路径为:C:WindowsNTDS其中包含文件分别为: edb.chkedb.chk:检查点文件。edb.chk 文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时。 edbxxxxx.logedbxxxxx.log:事务日志文件。edb.log 是日志
9、文件,对数据库进行更改后, 将该更改写入到edb.log文件中。 当edb.log文件充满事务之后,会被重新命名为 edbxxxxx.log, 日志文件从 edb00001 开始, 并使用十六进制数累加。由于 Active Directory 使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及时删除。在任何时刻都可以找到 edb.log 文件,而且还可能有一个或多个 edbxxxxx.log 文件。 edbresxxxx.jrsedbresxxxx.jrs: 这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建
10、新的日志文件,服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB 大小 edbtmp.logedbtmp.log: 该日志是当当前日志文件 (Edb.log) 填满时的暂时日志。一个 edbtmp.log 的新文件被创建来记录处理,同时edb.log 文件被重命名为下一个以往日志文件, 然后edbtmp.log文件会被重名为edb.log。 ntds.ditntds.dit:数据库文件。ntds.dit 会随着数据库的填充而不断增大。但是,日志的大小却是固定的 10 MB。对数据库进行的任何更改都会被追加到当前的日志文件中,而且其磁盘映像会
11、不断保持更新。 Temp.edbTemp.edb:这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。( (二二) ) 活动目录数据库的移动活动目录数据库的移动当需要更改 AD DB 的存放路径时,可通过如下操作实现 AD DB 的移动:1、停止目录服务: net stop ntds2、依次输入以下命令进入 AD DB 管理进程:Ntdsuitl activate instance ntds files3、移动 AD DB 及 LOG 到新的路径 C:NTDSMove DB to C:NTDSMove DB to C:NTDS4、退出进程,并启动目录服务 net start ntd
12、s5、可以查看以上文件已经移动到目录 C:NTDS( (三三) ) 活动目录数据库的压缩活动目录数据库的压缩在活动目录的使用过程中,AD DB会越来越大,必要的时候需要对AD DB进行压缩: 在线整理在线整理DC 服务器每 12 小时自动进行 离线整理离线整理管理员手工压缩 AD 数据库1、使用命令 net stop ntds 停止目录服务之后,依次输入以下命令进入 AD DB 管理进程:Ntdsuitl activate instance ntds files2、输入命令将 AD DB 压缩到指定目录Compact to C:NEW3、将指定目录 C:NEW下文件 ntds.dit 移动到
13、AD DB 路径,并替换原文件 ntds.dit 后,启动 AD 域目录服务Net start ntds( (四四) ) 活动目录数据库的备份和还原活动目录数据库的备份和还原裸机备份请参见“海格物流海格物流 ADAD 实施:备份和恢复实施:备份和恢复.docx.docx”( (五五) ) 活动目录回收站活动目录回收站当误删除域中某些对象时,可以使用活动目录回收站进行对象还原。活动目录回收站启用之后, 将无法禁用, 同时活动目录数据库空间会增长 10% 30%参照如下步骤启用活动目录回收站:1、打开“Active Directory 管理中心” ,选择 HG(本地)并点击右侧“启用回收站”2、启用回收站确认(回收站启用后,便无法禁止)3、启用回收站后,刷新“Active Directory 管理中心”后可以看到多出一个容器“Deleted Objects”4、选择所需还原的对象,点击右键选择“还原” ,即可还原此误删除对象