微软认证MCSE备考辅导Windows目录服务与数据挖掘工具

Windows目录服务与数据挖掘工具活动目录结构的还原操作向来繁琐，耗时甚多，这主要是其内容具有分散性和动态性， 结构上又具备双重性（由分层数据库和符合SYSVOL结构的文件系统构成），并且缺乏界面友好、操作简便的工具。因此，当人们认为域还原才是复杂耗时的操作时，殊不知，即使是活动目录的还原操作也远非简易，当中也会遇到各种各样的困难。有鉴于此，本文将对Windows Server 目录服务的一些新特性进行介绍，让读者了解新的功能是如何方便还原操作的。一、还原的基本条件通常而言，对象的还原主要是通过命令操作或是重标示已被删除的对象，而这些功能的实现又取决于是否有一个系统级的备份文件。（想要了解更多此方面的消息，可参照微软知识库中编号为8400的文章，该文章详尽的信息会给你更多的帮助。）在还原过程中，即使有了详细的命令和操作步骤，我们仍需要注意一些问题。首先，必须确定最适宜的备份点，这无疑增加了命令式还原的复杂性。因为这需要用户能够在误操作发生前，判断出的备份点-也就是说，备份点中的目标数据信息都要求是正确无误的。除非用户愿意投资更多的钱用于活动目录的监控和审计解决方案上，否则判断备份点相当困难，当然，这也需要长时间的尝试。数据还原是项耗时耗力的工程，可以包括以下几个步骤：在活动目录恢复模式下重启域控制器；从可用的备份文件中选择一个恢复活动目录数据库；运行ntdsutil命令行工具，从中提取正确的对象信息。第二，一旦发生误删现象，由于命令行工具ntdsultil的局限性，所以需要提供想要恢复对象的标示名（Distinguished Name，DN) 。另外，要完成还原工作还需要确认系统先前的状态。第三个是关于对象还原的效率问题。实际上，一个对象被删除后，除了名字的改变，还会被放置到一个特定的活动目录存放区中，大多数标准活动目录管理工具都设有这个隐藏存放区。在存放过程中，对象的大部分属性都会被剥除，只剩下少数几个属性。如objectGUID、objectSID、sIDHistory和sAMAccountName等。如果再知道CN和lastKnownParent两个属性的信息，那么就可以找到被删除对象的位置，并进行恢复工作。但删除时被剥除的属性的重新找回则需借助前两点来访问历史纪录，即访问备份文件。二、数据挖掘工具的优点与应用现在有了数据挖掘工具(Database Mounting Tool)的帮忙，对于Windows Server 下的域控制器，上述的三个问题将迎韧而解。采用命令行执行的DSAMAIN.EXE文件是数据挖掘工具的主文件，运用它可在只读模式下运行活动目录或轻型目录服务(以前称为活动目录应用模式，ADAM)数据库的备份工作；该工具还可通过任一具备LDAP端口通信功能的程序来浏览活动目录内容（这包括了大多数的标准AD管理工具、Active Directory Users and Computers、Active Directory Domains and Trusts、Active Directory Sites and Services、ADSIEdit 或LDP.EXE)。虽然DSAMAIN.EXE绝大多数情况都是与Windows Server 新特性之一的快照功能联合应用（在将详细介绍），但它的应用范围远非如此。任何Windows Server 或是符合VSCS（Volume Shadow Copy Service，卷影拷贝服务）格式的第三方软件所创建的备份均可被数据挖掘工具所加载，并且数据挖掘工具还可从备份中提取活动目录数据（NTDS.DIT）。特别一提的是，数据挖掘工具兼容VHD格式的全盘和系统状态备份，以及ntdsutil工具用ifm命令创建的备份格式，该备份主要是用于执行以媒介方式进行的安装。DSAMAIN需要用户以-dbpath参数指定数据库所在的路径。另外，还需要通过-ldapPort参数输入任一整数用以指定LDAP端口，访问目录服务。在默认状态下，该整数会被自动分配给SSL-based LDAP、Global Catalog (GC)和GC SSL access访问的端口号。当然，你也可以通过/sslPort, /gcPort and /gcsslPort参数来修改相应的端口号。如果想以非管理员身份访问数据库，可使用-allowNonAdminAccess选项，而选项修改的权利被严格限定在Domain Admins和Enterprise Admins组成员中。举个例子，以下的命令行运行于Windows Server 的域控制器上，可使Domain Admins和Enterprise Admins组成员通过LDAP端口33389离线浏览活动目录数据库（提取自VSS生成的备份中，存于D:Restore8NTDSntds.dit文件）。关于DSAMAIN完整的语法表达可参见Windows Server 技术库。DSAMAIN -dbpath D:Restore8NTDSntds.dit -ldapPort 33389执行上述命令后，如果数据库处于稳定状态，并且指定的端口没被其他服务占用的话，不出意外你将会接受到一条确认信息：Microsoft Active Directory Domain Services startup complete.启动后，DSAMAIN 将一直保持活动状态。如需关闭服务，执行CTRL+C键盘组合键即可实现，此时屏幕将会显示：Active Directory Domain Services was shut down successfully。，并且命令提示符随之消失。与此同时，你还可利用前文提及的具备LDAP端口通信程序查视活动目录的拷贝，并且容许指定相关的目录服务实例。三、LDAP端口程序 Active Directory Users and Computers控制台在树型目录顶部的Active Directory Users and Computers节点菜单处选择Change Domain Controller，然后进入。在弹出的Change Directory Server对话框中，选择This Domain Controller or AD LDS instance，并输入要运行DSAMAIN的域控制器名称，加冒号后跟由-ldapPort 指定的LDAP端口号（比如，本文中的33389）。另一种启动控制台的方法为，直接在命令提示行中输入执行DSA.MSC /SERVER=DC_Name:LDAP_Port_Number即可。 Active Directory Sites and Services控制台与上文进入Active Directory Users and Computers控制台相似，在Active Directory Sites and Services节点菜单中选择Change Domain Controller进入活动目录的设置部分。同样，还可在命令提示行中输入：DSSITE.MSC /SERVER=DC_Name: LDAP_Port_Number。 Active Directory Domains and Trusts需要指定DSAMAN加载活动目录的实例时，可采用与上述两种相似的步骤：Active Directory Domains and Trusts节点菜单Change Active Directory Domain Controller，或是直接运行DOMAIN.MSC /SERVER=DC_Name:LDAP_Port_Number。 ADSI Edit (ADSIEdit.msc)这是款低级活动目录编辑器，可以在同一接口下访问活动目录中所有的名称索引。操作步骤：根目录ADSI Edit节点索引菜单中选择Connect to选项弹出Connection Setting对话框。如果你是在一台DSAMAIN活动中的域服务器上运行，那么在路径文本框中已显示有正确的LDAP登入路径。那么，你只需选择一个想要连接的名称索引(Default, Configuration, Schema或RootDSE)，并且点击Advanced命令按钮指定合适的端口数字。 LDP (ldp.exe)提供高度的多样性，能最直接地访问活动目录的内容。为查看一个由DSAMAIN加载的活动目录实例，操作步骤可分为：在Connect菜单选择Connect选项指定服务器名称和端口号；然后再在Connect菜单选择Bind给出Domain Admin或Enterprise Admin的授权（以非特权帐户登陆时），或是直接选择Bind as currently logged on user（特权帐号登陆时）；在View菜单下选择Tree entry 输入想要连接的目标数据的名称，或是从listbox（与ADSI Edit联用可访问目标数据的所有区域）中提取名称；LDP还能停止由DSAMAIN加载的目录服务实例，该功能可为远程通过LDAP访问的用户带来方便。如想实现此功能，可在连接登陆后，在Browse菜单中选择Modify entry。弹出的对话框后，在Attribute文本框中输入stopservice的属性为1（DN路径必须为空），接下来点击Enter and Run命令按钮。 CSVDE.exe和LDIFDE.exe 命令行工具用于抽取由D