第3章域控制器管理ppt课件

.,WindowsServer2008系统与资源管理,主讲人刘晓辉,.,关于我,丰富实战经验的优秀网络工程师,潜心多年笔耕不辍的资深作者,先后规划和筹建多个校园网络，主持实施多个系统集成工程和综合布线工程，始终工作在网络教学和网络管理第一线。经过多年的摸爬滚打，积累了大量的网络建设和网络管理工作经验。作为网管，既掌握网络设备与服务器的安装、配置和故障排除技巧，又了解新技术的发展和新设备的性能；作为教师，既深深懂得教育和教学规律，又非常熟知学生和学习心理，并具有良好的语言表达能力。,自1997年10月始，陆续在电脑报、中国电脑教育报、在线技术、玩电脑、微型计算机等电脑报刊上发表技术文章近200篇，并长期主持电脑报网络通信版的专家坐堂。近几年，先后在清华大学出版社、人民邮电出版社、电子工业出版社、科学出版社、重庆大学出版社等社，出版网络硬件安装与管理、网络服务器搭建与管理、网络综合布线标准教程等30余册图书。,网站：,团队合作的又一呕心沥血之作,本书既包含了作者在网络规划、建设、实施、验收和测试方面的多年心血，又得到了多位网络工程师的指导和帮助。本书对当前最新标准、最新技术做了总结和归纳，可以说本书包含了当前最新、最主流、最先进和最实用的设计思想、施工技术和验收经验等，是一本不可多得的好书。,.,第3章域控制器管理,域控制器管理规划,活动目录的备份与恢复,安装额外的域控制器,提升域控制器级别和提升林功能级别,目录权限的委派,拯救域控制器,.,3.1域控制器管理规划,3.1.1案例情景企业网络中采用了“域”管理模式，并且设有额外域控制器和子域控制器。域控制器操作系统为WindowsServer2008。3.1.2项目需求确保活动目录数据库的安全域功能级别的调整分担管理权限3.1.3解决方案使用WindowsServerBackup备份活动目录数据库部署额外域控制器委派控制权限,.,3.2活动目录的备份与恢复,3.2.1安装WindowsServerBackup3.2.2完整备份3.2.2自定义备份3.2.3使用命令行备份3.2.4定制备份计划3.2.3恢复目录数据库,.,3.2.1安装WindowsServerBackup,.,3.2.2完整备份,.,完整备份,.,完整备份,.,3.2.2自定义备份,.,3.2.3使用命令行备份,显示服务器已经连接的磁盘,图3-11运行备份命令,.,使用命令行备份,图3-12查看备份信息,.,3.2.4定制备份计划,1.使用向导定制备份计划WindowsServer2008操作系统提供计划备份向导，帮助管理员自动完成某些备份任务，实现备份自动化。2.命令行计划备份Wbadmin命令行同样可以完成计划备份任务。,.,1.使用向导定制备份计划,.,使用向导定制备份计划,.,使用向导定制备份计划,.,2.命令行计划备份,图3-22查看磁盘,图3-23创建备份计划,.,命令行计划备份,图3-24启用备份,图3-25启用备份计划,.,3.2.3恢复目录数据库,1.向导方式2.命令行方式,.,1.向导方式,.,向导方式,.,向导方式,.,2.命令行方式,图3-33查看备份版本标识,图3-34是否执行系统状态恢复,.,命令行方式,图3-35恢复完毕,图3-36系统状态恢复成功,.,3.3安装额外的域控制器,3.3.1将成员服务器升级到域控制器3.3.2网络中工作站的配置,.,3.3.1将成员服务器升级到域控制器,.,将成员服务器升级到域控制器,.,3.3.2网络中工作站的配置,图3-43设置备份DNS服务器IP地址,.,3.4提升域控制器级别和提升林功能级别,3.4.1提升域功能级别默认状态下，无论是WindowsServer2003还是WindowsServer2008域的功能级别都是Windows2000纯模式，这主要是为了兼容网络中早期版本的Windows用户。随着网络中计算机系统的不断升级，可以根据需要提升域控制器的功能级别，以获得更多的功能支持。3.4.2提升林功能级别默认状态下，Windows目录林功能级别使用的是Windows2000模式，如果要提升到WindowsServer2003或WindowsServer2008林功能级别模式，必须先将网络的所有域控制器功能级别提升到WindowsServer2003或WindowsServer2008。,.,3.4.1提升域功能级别,注意域功能级别提升是不可逆的，一旦提升到“WindowsServer2003”功能级别，将不能回退到“Windows2000模式”功能级别。,.,3.4.2提升林功能级别,.,知识链接,1.域功能级别Windows2000模式WindowsServer2003WindowsServer20082.林功能级别Windows2000WindowsServer2003WindowsServer2008,.,3.5目录权限的委派,3.5.1安全组权限委派3.5.2用户权限委派向导3.5.3管理服务器测试,.,3.5.1安全组权限委派,提示如果打开的组属性对话框中，没有“安全”选项卡，可以在“ActiveDirectory用户和计算机”窗口中，依次选择“查看”“高级功能”选项使其显示,.,安全组权限委派,.,3.5.2用户权限委派向导,.,用户权限委派向导,.,3.5.3管理服务器测试,.,知识链接,1.权限委派委派是ActiveDirectory最重要的安全功能之一，通过委派管理，可以为适当的用户和组指派一定范围的管理任务，既可以分担管理员工作负担，又可以增强网络安全性。通常可以将权限委派到以下对象：组织单位域站点,.,3.6拯救域控制器,3.6.1服务器故障但仍然可用当主域控制器上的域无法正常工作，但系统运行正常，并且仍可以连接网络，此时可以将网络中的额外域控制器提升为新的主域控制器（此时原主域控制器将自动降级成额外的域控制器），最后在故障服务器上运行dcpromo命令将其本身从ActiveDirectory中删除即可。3.6.2服务器彻底崩溃如果主域控制器发生严重故障，无法正常使用，则上述方法也就不能解决问题。状态正常的额外域控制器，除无法提供创建对象服务外，其他功能基本正常。此时，只能强行将额外域控制器提升为新的主域控制器，重新安装故障主域控制器，并升级为新主域控制器的额外域控制器即可。,.,3.6.1服务器故障但仍然可用,1.转移操作主机角色转移“ActiveDirectory用户和计算机”中的操作主机角色转移“ActiveDirectory域和信任关系”中的操作主机角色转移“ActiveDirectory架构”中的操作主机角色2.提升额外域控制器为全局编录服务器3.安装DNS集成区域4.原主域控制器的恢复,.,1.转移操作主机角色,转移“ActiveDirectory用户和计算机”中的操作主机角色,.,转移操作主机角色,.,转移操作主机角色,注意“基础结构”角色的转移与当前额外域控制器是否同时担当“全局编录”角色有关，如果是则将提示“ActiveDirectory域服务”对话框。但此时如果可以确保额外域控制器上“全局编录”服务的可用性，也可以单击“是”按钮强行转移。强行转移此角色并不会对其他角色功能产生影响。,.,（2）转移“ActiveDirectory域和信任关系”中的操作主机角色,.,（3）转移“ActiveDirectory架构”中的操作主机角色,.,转移“ActiveDirectory架构”中的操作主机角色,.,2.提升额外域控制器为全局编录服务器,注意在WindowsServer2003域控制器上默认没有安装该组件，管理员可以从WindowsServer2003安装光盘的WindowsSupporttools工具包中获得NTDS安装程序。,.,3.安装DNS集成区域,.,安装DNS集成区域,.,安装DNS集成区域,.,4.原主域控制器的恢复,原主域控制器的系统故障排除后，重新安装ActiveDirectory服务，并作为新主域控制器（主机名为：AD）的额外域控制器，主机名称仍为AD。为了不至于影响到原有网络客户端的应用，应将其重新升级为主域控制器。,.,3.6.2服务器彻底崩溃,1.占用操作主机角色2.提升额外域控制器为全局编录服务器3.安装DNS集成区域,注意使用此方法重新安装域控制器后，建议不要使用“占用”的方式再次抢夺操作主机角色，这种操作非常危险，建议普通用户不要随便使用。,.,1.占用操作主机角色,roles,图3-88转入fsmomaintenance提示符,.,占用操作主机角色,connecttoserverAD,图3-89命令行执行结果,.,占用操作主机角色,图3-90绑定主域控制器,.,占用操作主机角色,seizeRIDmaster,图3-91“角色占用确认对话”对话框,.,占用操作主机角色,单击“是”按钮,图3-92强行占用RID主机角色,.,占用操作主机角色,seizePDC,图3-93“角色占用确认对话”对话框,.,占用操作主机角色,单击“是”按钮,图3-94强行占用PDC角色,.,占用操作主机角色,eizeinfrastructuremaster,图3-95“角色占用确认对话”对话框,.,占用操作主机角色,单击“是”按钮,图3-96强行占用结构主机角色,.,占用操作主机角色,seizenamingmaster,图3-97“角色占用确认对话”对话框,.,占用操作主机角色,单击“是”按钮,图3-98强行占用域命名主机脚色,.,占用操作主机角色,seizeschemamaster,图3-99“角色占用确认对话”对话框,.,占用操作主机角色,单击“是”按钮,图3-100强行占用结构主机角色,.,其他操作,2.提升额外域控制器为全局编录服务器与“服务器故障但仍然可用”中的操作步骤完全相同。3.安装DNS集成区域与“服务器故障但仍然可用”中的操作步骤完全相同。,.,知识链接,1.操作主机角色域控制器的主机操作角色包括5种：架构主机、域命名主机、PDC仿真器、RID主机和基础架构主机。默认情况下，这些角色都是由主域控制器担任的，因此需要一一从故障主域控制器转移到额外域控制器。,.,习题,1.简述恢复活动目录数据库时的注意事项。2.活动目录权限的委派哪几种实现方式。3.WindowsServer2008域的默认林功能级别是什么，如何提升目录林的功能级别？4.什么是域控制器的操作主机角色？,.,实验：安装和配置额外域控制器,实验目的了解额外域控