AD实施：域管理系统手册簿

1、wordword16/16word某某市海格物流股份某某操作主机与AD DB管理文档编号：SXD-HGWL-20150901-01 版 本：VERSION1.6编 写：索信达运维服务部最后修订：2015年09月22日 某某市索信达实业某某目录 TOC o 1-3 h z u HYPERLINK l _Toc430691048 第一章管理域中的操作主机角色 PAGEREF _Toc430691048 h 3 HYPERLINK l _Toc430691049 (一)操作主机介绍 PAGEREF _Toc430691049 h 3 HYPERLINK l _Toc430691050 (二)角色迁移

2、 PAGEREF _Toc430691050 h 4 HYPERLINK l _Toc430691051 (三)角色抢夺 PAGEREF _Toc430691051 h 5 HYPERLINK l _Toc430691052 第二章管理活动目录数据库 PAGEREF _Toc430691052 h 7 HYPERLINK l _Toc430691053 (一)活动目录数据库介绍 PAGEREF _Toc430691053 h 7 HYPERLINK l _Toc430691054 (二)活动目录数据库的移动 PAGEREF _Toc430691054 h 8 HYPERLINK l _Toc4

3、30691055 (三)活动目录数据库的压缩 PAGEREF _Toc430691055 h 10 HYPERLINK l _Toc430691056 (四)活动目录数据库的备份和复原 PAGEREF _Toc430691056 h 11 HYPERLINK l _Toc430691057 (五)活动目录回收站 PAGEREF _Toc430691057 h 11管理域中的操作主机角色操作主机介绍Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称

4、为“操作主机的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。AD DS中的五个操作主机角色分别是：架构主机Schema Master、域命名主机Domain Naming Master、RID主机RID Master、PDC仿真器PDC Emulator、根底结构主机Infrastructure Master架构主机和域命名主机是林X围角色，即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、根底结构主机是域X围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个

5、角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。架构主机Schema Master宿主架构主机角色的域控制器负责对林的架构进展更新和修改，其他域控制器如此只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构主机。域命名主机Domain Naming Master域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，如此无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机

6、。RID主机RID MasterRID 主机将相对标识符(RID) 分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID池，从而在整个域X围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何域控制器上的RID池中的可用RID的数量较少时(小于100)，就会从RID主机请求一些RID。每次收到这样的请求，RID主机都会向域控制器再颁发大约500个RID的RID池。PDC仿真器PDC EmulatorPDC仿真器负责

7、执行很多与域有关的关键功能，主要有：为Windows 2000提供支持、维护密码更新来防止密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。根底结构主机Infrastructure Master根底结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改)反映在位于不同域中的组成员身份信息中。根底结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。如果根底结构主机不可用，域之间的组-用户引用就会过时。角色迁移当部署多台DC分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。以PDC主机角色迁移为例：1、查询当前

8、操作主机角色所在的DC2、打开CMD窗口，依次输入命令：3、输入quit退出connections程序，输入命令transfer PDC将PDC主机角色转移至域控制器ad角色抢夺当拥有某操作主机角色的DC宕机时，可以通过以下命令实现操作主机角色的抢夺。以PDC主机角色抢夺为例：1、打开CMD窗口，依次输入命令：2、输入quit退出connections程序，输入命令transfer PDC将PDC主机角色转移至域控制器ad管理活动目录数据库活动目录数据库介绍活动目录数据库默认存储路径为：C:WindowsNTDS其中包含文件分别为：edb.chk：检查点文件。edb.chk文件存储数据库的检查

9、点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。edbxxxxx.log：事务日志文件。edb.log是日志文件，对数据库进展更改后，将该更改写入到edb.log文件中。当edb.log文件充满事务之后，会被重新命名为edbxxxxx.log，日志文件从edb00001开始，并使用十六进制数累加。由于Active Directory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会与时删除。在任何时刻都可以找到edb.log文件，而且还可能有一个或多个edbxxxxx.log文件。edbresxxxx.jrs：这些文件是保存的日志文件仅当含有日志文件的磁盘空

10、间不足时使用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保存日志文件中然后关闭活动目录。每一个日志文件也是10MB大小edbtmp.log：该日志是当当前日志文件Edb.log填满时的暂时日志。一个edbtmp.log的新文件被创建来记录处理，同时edb.log文件被重命名为下一个以往日志文件，然后edbtmp.log文件会被重名为edb.log。ntds.dit：数据库文件。ntds.dit会随着数据库的填充而不断增大。但是，日志的大小却是固定的10 MB。对数据库进展的任何更改都会被追加到当前的日志文件中，而且其

11、磁盘映像会不断保持更新。Temp.edb：这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。活动目录数据库的移动当需要更改AD DB的存放路径时，可通过如下操作实现AD DB的移动：1、停止目录服务: net stop ntds2、依次输入以下命令进入AD DB管理进程：Ntdsuitl activate instance ntds files 3、移动AD DB与LOG到新的路径 C:NTDSMove DB to C:NTDSMove DB to C:NTDS4、退出进程，并启动目录服务 net start ntds5、可以查看以上文件已经移动到目录C:NTDS活动目录数据库的

12、压缩在活动目录的使用过程中，AD DB会越来越大，必要的时候需要对AD DB进展压缩：在线整理DC服务器每12小时自动进展离线整理管理员手工压缩AD数据库1、使用命令net stop ntds停止目录服务之后，依次输入以下命令进入AD DB管理进程：Ntdsuitl activate instance ntds files 2、输入命令将AD DB压缩到指定目录pact to C:NEW3、将指定目录C:NEW下文件移动到AD DB路径，并替换原文件，启动AD域目录服务Net start ntds活动目录数据库的备份和复原裸机备份请参见“活动目录回收站当误删除域中某些对象时，可以使用活动目录回收站进展对象复原。活动目录回收站启用之后，将无法禁用，同时