AD实施：域管理手册

深圳市海格物流股份

操作主机与ADDB管理

深圳市索信达实业

文档编号：SXD-1IGWL-2021

0901-01

目录版本：VERSI0N1.6

第一章管理域中编写：索信达运维效劳部的操作主机角色

1最后修订:2021年09月22日

（一）操作主-机介绍1

（二）角色迁移3

（三）角色抢夺3

第二章管理活动目录数据库3

（）活动目录数据库介绍3

（二）活动目录数据库的移动4

（三）活动目录数据库的压缩4

（四）活动目录数据库的备份和复原5

（五）活动目录回收站5

第一章管理域中的操作主机角色

（一）操作主机介绍

ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中

的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于

每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可

以保证一致性并消除ADDS数据库中出现冲突的工程的可能性。

ADDS中的A个操作主机角色分别是：架构主机（SchemaMaster）、域命名主机

（DomainNamingMaster）＞RH）主机（RIDMaster）＞PDC仿真器（PDCEmulator）＞根

底构造主机（InfrastructureMaster）

架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。

RID主机、PDC仿真器、根底构造主机是域范围角色，这3和操作主机角色在林中的每个

域中分别只有一个。当在林中安装ADDS并创立第一台域控制器时，它会拥有所有5个角

色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角

色。

架构主机(SchemaMaster)

宿主架构主机角色的域控制器负责对林的架构进展更新和修改，其他域控制器那么只包

含架构的只读副本.要更新或修改林的架构，您必须具备访问史构主机的权限。如果做出架

构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，

只能有一个架构主机。

域命名主机(DomainNamingMaster)

域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名

主机不可用，那么无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只

能有一个架构主机。

RID主机(RIDMaster)

RID主机将相对标识符(RID)分配给域中每个不同的域控制器，每个域只有一个RID

操作主机角色，用于管理RID池，从而在整个域范围内创立的新的平安主体，如：用户、

组和计算机。每个平安主体都有一个唯一SIDoRID主机用于保证域控制器生产的SID是唯

一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给城中的每台域控制器。当任何

域控制器上的RID池中的可用RID的数量较少时(小于100),就会从RID主机请求一些RID。

每次收到这样的请求，RID主机都会向域控制器再颁发人约500个RID的RID池。

PDC仿真器(PDCEmulator)

PDC仿真器负责执行很多与域有关的关犍功能，主要有：为Windows2000提供支持、

维护密码更新来防止密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中

主机列表。

根底构造主机(InfrastructureMaster)

根底构造主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变

(常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。根底构造主机维护这些

引用的最新列表，然后将这个信息复制给域中所有域控制器。如果根底构造主机不可用，域

之间的组-用户引用就会过时。

（-）角色迁移

当部署多台DC分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。

以PDC主机角色迁移为例：

I、查询当前操作主机角色所在的DC

2、翻开CMD窗口，依次输入命令：

ntdsutil->roles-*connections-♦connecttoserverad2.hg.local

连接到域控制效劳器ad2.hg.local

3、输入quit退出connections程序，输入命令transferPDC将PDC主机角色转移至域

控制器ad2.hg.local上

（三）角色抢夺

当拥有某操作主机角色的DC宕机时，可以通过以下命令实现操作主机角色的抢夺。

以PDC主机角色抢夺为例：

1、翻开CMD窗口，依次输入命令：

ntdsutil-*roles->connections-♦connecttoserverad2.hg.local

连接到域控制效劳器ad2.hg.local

2、愉入quit退出connections程序，输入命令transferPDC将PDC主机角色转移至域

控制器ad2.hg.local上

第二章管理活动目录数据库

（一）活动目录数据库介绍

活动目录数据库默认存储路径为：C：\windows\NTDS

其中包含文件分别为：

<edb.chk：检查点文件。edb.chk文件存储数据库的检查点，这些检查点标识数据库引

擎需要重复播放日志的点，通常在恢复或初始化时。

◊edbxxxxx.log：事务日志文件。edb.log是日志文件，对数据库进展更改后，将该更

改写入到edb.log文件中。当edb.log文件充满事务之后，会被重新命名为

edbxxxxx.log,日志文件从edb00001开场，并使用十六进制数累加。由于Active

Directory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及

时删除。在任何时刻都可以找到edb.log文件，而且还可能有一个或多个

edbxxxxx.log文件。

◊edbresxxxx.jrs：这些文件是保存的日志文件仅当含有日志文件的磁盘空间缺乏时使

用。如果当前的日志文件填满了且由于磁盘剩余空间缺乏效劳器不能创立新的日志文

件，效劳器会将当前记忆体中的活动目录处理记录到两个保存日志文件中然后关闭活动

目录。每一个日志文件也是10MB大小

今edbtmp.log：该R志是当当前日志文件（Edb.log）填满时的暂时FI志。一个

edbtmp.log的新文件被创立来记录处理，同时edb.log文件被重命名为下一个以往

日志文件，然用edbtmp.log文件会被重名为edb.log。

今ntds.dit：数据库文件。ntds.dit会随着数据库的填充而不断增大。但是，日志的大

小却是固定的10MBe对数据库进展的任何更改都会被追加到当前的日志文件中，而且

其磁盘映像会不断保持更新。

今Temp.edb：这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。

（二）活动目录数据库的移动

当需要更改ADDB的存放路径时，可通过如下操作实现ADDB的移动：

1、停顿目录效劳：netstopntds

2、依次输入以下命令进入ADDB管理进程：

Ntdsuitlfactivateinstancentds-*files

3、移动ADDB及LOG到新的路径C：\NTDS

MoveDBtoC:\NTDS\

MoveDBtoC:\NTDS\

4、退出进程，并启动目录效劳netstartntds

5、可以查看以上文件已经移动到目录C:\NTDS

（三）活动目录数据库的压缩

在活动目录的使用过程中，ADDB会越来越大，必要的时候需要对ADDB进展压缩：

>在线整理

DC效劳器每12小时自动进展

>离线整理

管理员手工压缩AD数据库

1、使用命令netstopntds停顿目录效劳之后，依次输入以下命令进入ADDB管理

进程：

Ntdsuitl->activateinstancentds-*files

2、输入命令将ADDB压缩到指定目录

CompacttoC:\NEW\

3、将指定目录C:\NEW\下文件ntds.dit移动到ADDB路径，并替换原文件ntds.dit

后，启动AD域目录效劳

Netstartntds

（四）活动目录数据库的备份和复原

裸机备份请参见“海格物流AD实施：备份和恢复.docx"

（五）活动目录回收站

当误删除域中某些对象时，可以使用活动目录回收站进展对象旦原。

活动目录回收站启用之后，将无法禁用，同时活动目录数据库空间会增长10