AD实施：域管理手册精编版.doc

1、深圳市海格物流股份有限公司操作主机与 AD DB 管理文档编号：SXD- HGWL-20150901-01版本：VERSION1.6编写：索信达运维服务部最后修订：2015年09月 22日深圳市索信达实业有限公司1目录第一章管理域中的操作主机角色3( 一 )操作主机介绍3( 二 )角色迁移4( 三 )角色抢夺5第二章管理活动目录数据库7( 一 )活动目录数据库介绍7( 二 )活动目录数据库的移动8( 三 )活动目录数据库的压缩10( 四 )活动目录数据库的备份和还原11( 五 )活动目录回收站112第一章管理域中的操作主机角色( 一)操作主机介绍ActiveDirectory支持域中所有域控制

2、器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是， 某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机” 的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS 数据库中出现冲突的项目的可能性。ADDS 中的五个操作主机角色分别是：架构主机（Schema Master ）、域命名主机（ Domain Naming Master ）、RID 主机（ RID Master ）、PDC 仿真器（ PDC Emulator ）、基础结构主机（ Infrastructure Master ）架构主机和域命名主机是林范围角色，即每个

3、林只有一台架构主机和一台域命名主机。RID 主机、 PDC 仿真器、基础结构主机是域范围角色，这3 种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS 并创建第一台域控制器时，它会拥有所有5 个角色，类似地， 在向林中添加域时， 每个新域中的第一台域控制器也会获得每域的操作主机角色。架构主机（ Schema Master ）宿主架构主机角色的域控制器负责对林的架构进行更新和修改， 其他域控制器则只包含架构的只读副本。 要更新或修改林的架构， 您必须具备访问架构主机的权限。 如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构

4、主机。域命名主机（Domain Naming Master ）域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机。RID 主机（ RID Master ）RID 主机将相对标识符(RID)分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID 池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。 每个安全主体都有一个唯一SID 。RID 主机用于保证域控制器生产的SID 是唯一的。 RID 主机把一些相对标识符(RID)( 称为 RID 池

5、)颁发给域中的每台域控制器。当任何域控制器上的RID 池中的可用RID 的数量较少时(小于 100) ，就会从 RID 主机请求一些RID 。3每次收到这样的请求，RID 主机都会向域控制器再颁发大约500 个 RID 的 RID 池。PDC 仿真器（ PDC Emulator ）PDC 仿真器负责执行很多与域有关的关键功能，主要有：为Windows 2000 提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、 维护网络中主机列表。基础结构主机（Infrastructure Master ）基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改

6、变(常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用，域之间的组 -用户引用就会过时。( 二)角色迁移当部署多台DC 分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。以 PDC 主机角色迁移为例：1、查询当前操作主机角色所在的DC2、打开 CMD 窗口，依次输入命令：4ntdsutil roles connections connect to server ad2.hg.local连接到域控制服务器ad2.hg.local3、输入 quit退出 connections程序，

7、输入命令transfer PDC将 PDC主机角色转移至域控制器ad2.hg.local上( 三)角色抢夺当拥有某操作主机角色的DC 宕机时，可以通过以下命令实现操作主机角色的抢夺。以 PDC 主机角色抢夺为例：1、打开 CMD 窗口，依次输入命令：ntdsutil roles connections connect to server ad2.hg.local连接到域控制服务器ad2.hg.local52、输入 quit退出 connections程序，输入命令transfer PDC将 PDC主机角色转移至域控制器ad2.hg.local上6第二章管理活动目录数据库( 一)活动目录数据库介

8、绍活动目录数据库默认存储路径为：C:WindowsNTDS其中包含文件分别为：edb.chk：检查点文件。 edb.chk文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。edbxxxxx.log：事务日志文件。edb.log是日志文件，对数据库进行更改后，将该更改写入到edb.log文件中。当edb.log文件充满事务之后，会被重新命名为edbxxxxx.log，日志文件从edb00001开始，并使用十六进制数累加。由于ActiveDirectory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时 删 除 。 在 任 何 时 刻 都

9、 可 以 找 到edb.log文 件 ， 而 且 还 可 能 有 一 个 或 多 个edbxxxxx.log文件。edbresxxxx.jrs：这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB 大小edbtmp.log： 该日志是当 当前日志文件（Edb.log） 填满时 的暂时日志。一个edbtmp.log的新文件被创建来记录处理，同时edb.log文件被重命名为下一个以往日志文件，然后edbtmp.l

10、og文件会被重名为edb.log。ntds.dit：数据库文件。 ntds.dit会随着数据库的填充而不断增大。但是， 日志的大小却是固定的10 MB。对数据库进行的任何更改都会被追加到当前的日志文件中，而且其磁盘映像会不断保持更新。7Temp.edb ：这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。( 二)活动目录数据库的移动当需要更改AD DB 的存放路径时，可通过如下操作实现AD DB 的移动：1、停止目录服务: net stop ntds2、依次输入以下命令进入AD DB 管理进程：Ntdsuitl activate instance ntds files83、移动

11、AD DB 及 LOG 到新的路径C:NTDSMove DB to C:NTDS4、退出进程，并启动目录服务net start ntds95、可以查看以上文件已经移动到目录C:NTDS( 三)活动目录数据库的压缩在活动目录的使用过程中，AD DB 会越来越大，必要的时候需要对AD DB 进行压缩：在线整理DC 服务器每12 小时自动进行离线整理管理员手工压缩AD 数据库1、使用命令net stop ntds停止目录服务之后，依次输入以下命令进入AD DB 管理进程：Ntdsuitl activate instance ntds files2、输入命令将AD DB 压缩到指定目录10Compact to C:NEW3、将指定目录下文件 ntds.dit移动到ADDB 路径，并替换原文件ntds.dit后，启动AD 域目录服务Net start ntds( 四)活动目录数据库的备份和还原裸机备份请参见“海格物流 AD 实施：备份和恢复.docx”( 五)活动目录回收站当误删除域中某些对象时，可以使用活动目录回收站进行对象还原。活动目录回收站启用之后，将无法禁用，同时活动目录数据库空间会增长10% 30%参照如下步骤启用活