win2003活动目录-05.ppt

1、第五章 管理AD复制,Windows 2008AD管理,学习目标,在完成本章的学习后，您将能够： 根据企业环境优化AD复制 合理维护AD数据库 备份恢复AD数据库,课程安排,AD复制机制及数据库分区 站点复制 管理操作主控 备份恢复数据库,活动目录复制介绍,复制如何工作,复制等待时间,默认的复制等待时间是 5 分钟（变化通告） 在没有变化时，复制时间是 1 小时 紧急复制 = 立刻变化通告,解决复制冲突,有三种类型个冲突: 属性值 在删除的容器对象上添加/删除容器对象 同属名称,活动目录数据库分区,活动目录数据库,Configurablereplication,Domain,Forest,包含

2、创建和控制所有对象和属性的定义和规则,包含活动目录结构的信息,保存关于活动目录中建立的所有具体域对象的信息,应用程序信息,复制拓扑,自动校验的复制拓扑,什么是站点？,目录林的第一个DC上安装win2000 adv server时，将自动建立第一个站点，第一个站点叫做Default-First-站点+Name 站点可以由0个，1个或多个子网组成 站点可以控制复制通信和登录通信 站点包含服务器对象和相关联的IP子网对象,站点内复制 .vs. 站点间复制,建立站点和子网,建立和配置站点连接,传输 成员站点 成本 时间表 复制间隔,站点,子网,子网,A1,A2,RPC or SMTP,站点连接,子网,

3、子网,站点,B3,B1,B2,代价,建立站点连接桥,解决活动目录复制过程中出现的问题,介绍操作主控,只有拥有该操作主控角色的域控制器可以进行相关的目录改变 只有操作主机可以更改活动目录内容，其余域控制器只读复制。 任何一个域控制器都可以配置为一个操作主控 操作主控的角色可以被移到其它的域控制器上,操作主控角色,操作主控默认位置 Schema Master（架构主控） Domain Naming Master（域命名主控） PDC Emulator（PDC仿真器） RID Master（RID主控） Infrastructure Master（基础结构主控）,操作主控默认位置,Schema Ma

4、ster（架构主控）,Domain Naming Master（域命名主控）,控制目录林中域的添加和删除,PDC Emulator（PDC仿真器）,RID Master（RID主控）,为域中的每一个域控制器分配一个RID块 当对象从一个域移动到另一个域上时，RID主控将从域中删除对象来阻止对象的复制,Infrastructure Master（基础结构主控）,确定一个操作主控角色的保持者,使用“Active Directory Users and Computers “来查找 RID master PDC emulator Infrastructure master,使用“Active Dir

5、ectory Domains and Trusts “来查找 Domain naming master,使用“Active Directory Schema Snap-in “来查找 Schema master,传送一个操作主控角色,只有在对域基础结构做了重大改动时才要传送角色 在角色传送过程中没有数据的损失 为传送操作主控角色，必须拥有相应的权限,查封一个操作主控角色,当有可能丢失了网络服务时需要查封其操作主控角色 当有可能丢失数据时需要查封其操作主控角色 为查封操作主控角色，必须拥有相应的权限,PDC 仿真器或基础结构主控的失效,PDC 仿真器的丢失严重影响网络的可用性 除了长时间不可用之

6、外，基础结构主控的失效没有PDC仿真器的失效严重,其它操作主控的失效,在进行角色查封之前，将当前操作主控和网络断开,在失效的域控制器引起的更新复制到查封角色得域控制器之前，一直等待,确保角色被查封的域控制器永不恢复,改造包含原操作主控的操作系统文件的分区，重新安装windows2003 ，然后和网络恢复连接,最佳实践,维护活动目录数据库简介,备份活动目录数据库 还原活动目录服务数据库 移动活动目录服务数据库 整理压缩活动目录数据库,活动目录数据库和日志,在活动目录中修改数据的过程,备份活动目录,系统状态数据包括: 域控制器上的活动目录和SYSVOL共享文件夹 在所有计算机上的注册表，系统启动文

7、件以及类注册数据库 认证服务器上的认证服务数据库,恢复活动目录,域控制器,备份的活动目录数据,Primary restore,Normal restore,Authoritative restore,什么是非授权恢复?,非授权恢复只恢复活动目录到它备份时的状态 在非授权恢复期间，域控制器上的分布式服务从备份介质中恢复，然后恢复后的数据通过通常的复制来更新 备份程序只执行活动目录的非授权恢复 在恢复活动目录后， Windows2000自动: 执行连续的检查，重新计算数据库中的索引 更新活动目录和文件复制服务（FRS）,执行一非授权恢复,当替代一不能工作的域控制器或修复一被破坏的活动目录数据库时需

8、要恢复活动目录 当活动目录在运行时，备份不能更换活动目录 系统状态数据的备份不能比墓碑生存时间长,什么是授权恢复?,使用授权恢复，可以在数据库中标注特定的信息 授权恢复在非授权恢复执行后发生 标注为授权的每个对象版本号，在备份发生时间到恢复发生时间之间每天增长100000 当两个域控制器对同一对象有不同的版本号时，高版本号的更改覆盖对象的另一份拷贝,执行一授权恢复,重启域控制器，按F8，选择“ Directory Services Restore Mode”,切换到“ authoritative restore”提示状态,提供对象的标识名,退出Ntdsutil,像通常那样重启域控制器,恢复活动

9、目录到原始位置。但并不重启,运行Ntdsutil.exe命令,移动活动目录数据库,备份 活动目录,切换到文件提示符下,重启域控制器，选择“ Directory Services Restore Mode”,移动数据库, 输入move DB to 驱动器名:,使用 SAM 中的管理员账号登录,输入两次QUIT，回到命令提示符,运行 ntdsutil 命令,像通常那样重启域控制器,什么是碎片整理?,碎片整理重新安排活动目录数据库中的数据 碎片整理可以在计算机作为域控制器联机时进行，也可以在计算机作为独立服务器脱机时运行,整理数据库的碎片,备份活动目录,切换到文件提示符下,重启域控制器,压缩数据库, 输入compact to 驱动器名:,选择“Directory Services Restore Mode”