AD实施 域管理手册.docx

AD实施 域管理手册.docx

《AD实施 域管理手册.docx》由会员分享，可在线阅读，更多相关《AD实施 域管理手册.docx（13页珍藏版）》请在冰豆网上搜索。

AD实施域管理手册

深圳市海格物流股份有限公司

操作主机与ADDB管理

文档编号：

SXD-HGWL--01

版本：

编写：

索信达运维服务部

最后修订：

2015年09月22日

深圳市索信达实业有限公司

第一章管理域中的操作主机角色

（一）操作主机介绍

ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。

但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。

操作主机可以保证一致性并消除ADDS数据库中出现冲突的项目的可能性。

ADDS中的五个操作主机角色分别是：

架构主机（SchemaMaster）、域命名主机（DomainNamingMaster）、RID主机（RIDMaster）、PDC仿真器（PDCEmulator）、基础结构主机（InfrastructureMaster）

架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。

RID主机、PDC仿真器、基础结构主机是域范围角色，这3种操作主机角色在林中的每个域中分别只有一个。

当在林中安装ADDS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。

架构主机（SchemaMaster）

宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其他域控制器则只包含架构的只读副本。

要更新或修改林的架构，您必须具备访问架构主机的权限。

如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。

在整个林中，架构主机是唯一的，只能有一个架构主机。

域命名主机（DomainNamingMaster）

域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。

如果域命名主机不可用，则无法向林中添加域或从林中删除域。

在整个林中，架构主机是唯一的，只能有一个架构主机。

RID主机（RIDMaster）

RID主机将相对标识符（RID）分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID池，从而在整个域范围内创建的新的安全主体，如：

用户、组和计算机。

每个安全主体都有一个唯一SID。

RID主机用于保证域控制器生产的SID是唯一的。

RID主机把一些相对标识符（RID）（称为RID池）颁发给域中的每台域控制器。

当任何域控制器上的RID池中的可用RID的数量较少时（小于100），就会从RID主机请求一些RID。

每次收到这样的请求，RID主机都会向域控制器再颁发大约500个RID的RID池。

PDC仿真器（PDCEmulator）

PDC仿真器负责执行很多与域有关的关键功能，主要有：

为Windows2000提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。

基础结构主机（InfrastructureMaster）

基础结构主机负责更新域之间的组-用户引用。

这个操作主机角色确保对象名称的改变（常用名称属性的更改cn）反映在位于不同域中的组成员身份信息中。

基础结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。

如果基础结构主机不可用，域之间的组-用户引用就会过时。

（二）角色迁移

当部署多台DC分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。

以PDC主机角色迁移为例：

1、查询当前操作主机角色所在的DC

2、打开CMD窗口，依次输入命令：

ntdsutil→roles→connections→connecttoserver连接到域控制服务器

、输入quit退出connections程序，输入命令transferPDC将PDC主机角色转移至域控制器上

（三）角色抢夺

当拥有某操作主机角色的DC宕机时，可以通过以下命令实现操作主机角色的抢夺。

以PDC主机角色抢夺为例：

1、打开CMD窗口，依次输入命令：

ntdsutil→roles→connections→connecttoserver连接到域控制服务器

、输入quit退出connections程序，输入命令transferPDC将PDC主机角色转移至域控制器上

第二章管理活动目录数据库

（一）活动目录数据库介绍

活动目录数据库默认存储路径为：

C:

\Windows\NTDS

其中包含文件分别为：

✧：

检查点文件。

文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。

✧：

事务日志文件。

是日志文件，对数据库进行更改后，将该更改写入到文件中。

当文件充满事务之后，会被重新命名为，日志文件从edb00001开始，并使用十六进制数累加。

由于ActiveDirectory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。

在任何时刻都可以找到文件，而且还可能有一个或多个文件。

✧：

这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。

如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。

每一个日志文件也是10MB大小

✧：

该日志是当当前日志文件（）填满时的暂时日志。

一个的新文件被创建来记录处理，同时文件被重命名为下一个以往日志文件，然后文件会被重名为。

✧：

数据库文件。

会随着数据库的填充而不断增大。

但是，日志的大小却是固定的10MB。

对数据库进行的任何更改都会被追加到当前的日志文件中，而且其磁盘映像会不断保持更新。

✧：

这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。

（二）活动目录数据库的移动

当需要更改ADDB的存放路径时，可通过如下操作实现ADDB的移动：

1、停止目录服务:

netstopntds

2、依次输入以下命令进入ADDB管理进程：

Ntdsuitl→activateinstancentds→files

3、移动ADDB及LOG到新的路径C:

\NTDS

MoveDBtoC:

\NTDS\

MoveDBtoC:

\NTDS\

4、退出进程，并启动目录服务netstartntds

5、可以查看以上文件已经移动到目录C:

\NTDS

（三）活动目录数据库的压缩

在活动目录的使用过程中，ADDB会越来越大，必要的时候需要对ADDB进行压缩：

Ø在线整理

DC服务器每12小时自动进行

Ø离线整理

管理员手工压缩AD数据库

1、使用命令netstopntds停止目录服务之后，依次输入以下命令进入ADDB管理进程：

Ntdsuitl→activateinstancentds→files

2、输入命令将ADDB压缩到指定目录

CompacttoC:

\NEW\

3、将指定目录C:

\NEW\下文件移动到ADDB路径，并替换原文件后，启动AD域目录服务

Netstartntds

（四）活动目录数据库的备份和还原

裸机备份请参见“海格物流AD实施：

备份和恢复.docx”

（五）活动目录回收站

当误删除域中某些对象时，可以使用活动目录回收站进行对象还原。

活动目录回收站启用之后，将无法禁用，同时活动目录数据库空间会增长10%~30%

参照如下步骤启用活动目录回收站：

1、打开“ActiveDirectory管理中心”，选择HG（本地）并点击右侧“启用回收站”

2、启用回收站确认（回收站启用后，便无法禁止）

3、启用回收站后，刷新“ActiveDirectory管理中心”后可以看到多出一个容器“DeletedObjects”

4、选择所需还原的对象，点击右键选择“还原”，即可还原此误删除对象