AD實(shí)施域管理手冊(cè)

1、深圳市海格物流股份有限公司操作主機(jī)與ADDB 管理（一）.操作主機(jī)介紹（二）.角色遷移（三）.角色搶奪第二章管理活動(dòng)目錄數(shù)據(jù)庫(kù).（一）.活動(dòng)目錄數(shù)據(jù)庫(kù)介紹（二）.活動(dòng)目錄數(shù)據(jù)庫(kù)的移動(dòng)（三）.活動(dòng)目錄數(shù)據(jù)庫(kù)的壓縮（四）.活動(dòng)目錄數(shù)據(jù)庫(kù)的備份和還原（五）.活動(dòng)目錄回收站文檔編號(hào)：SXD- HGWL-20150901-01深圳市索信達(dá)實(shí)版本：VERSI0N1.6編寫：索信達(dá)運(yùn)維服務(wù)部最后修訂：2015 年 09 月 22 日中的操作主機(jī)角業(yè)有限公司目錄第一章管理域第一章 管理域中的操作主機(jī)角色（一）操作主機(jī)介紹Active Directory支持域中所有域控制器之間的目錄數(shù)據(jù)存儲(chǔ)的多主機(jī) 復(fù)制，因此

2、域中的所有域控制器實(shí)質(zhì)上都是對(duì)等的。但是，某些更改不適合 使用多主機(jī)復(fù)制執(zhí)行，因此對(duì)于每一個(gè)此類更改，都有一個(gè)稱為“操作主機(jī)”的域控制器接收此類更改的請(qǐng)求。操作主機(jī)可以保證一致性并消除ADDS數(shù)據(jù)庫(kù)中出現(xiàn)沖突的項(xiàng)目的可能性。AD DS中的五個(gè)操作主機(jī)角色分別是：架構(gòu)主機(jī)(Schema Master)、域命名主機(jī)(Domain Naming Master)、RID主機(jī)(RID Master)、PDC仿真器(PDC Emulator)、基礎(chǔ)結(jié)構(gòu)主機(jī)(Infrastructure Master)架構(gòu)主機(jī)和域命名主機(jī)是林范圍角色，即每個(gè)林只有一臺(tái)架構(gòu)主機(jī)和一臺(tái)域命名主機(jī)。RID主機(jī)、PDC仿真器、基礎(chǔ)

3、結(jié)構(gòu)主機(jī)是域范圍角色，這3種操作主機(jī)角色在林中的每個(gè)域中分別只有一個(gè)。當(dāng)在林中安裝ADDS并創(chuàng)建第一臺(tái)域控制器時(shí)，它會(huì)擁有所有5個(gè)角色，類似地，在向林中添加域時(shí)， 每個(gè)新域中的第一臺(tái)域控制器也會(huì)獲得每域的操作主機(jī)角色。架構(gòu)主機(jī)(Schema Master)宿主架構(gòu)主機(jī)角色的域控制器負(fù)責(zé)對(duì)林的架構(gòu)進(jìn)行更新和修改，其他域控制器則只包含架構(gòu)的只讀副本。要更新或修改林的架構(gòu)，您必須具備訪問 架構(gòu)主機(jī)的權(quán)限。如果做出架構(gòu)改變后，架構(gòu)更新就會(huì)復(fù)制到林中的所有其 他域控制器。在整個(gè)林中，架構(gòu)主機(jī)是唯一的，只能有一個(gè)架構(gòu)主機(jī)。域命名主機(jī)(Domain Naming Master)域命名主機(jī)主要用于為林中添加或

4、刪除域時(shí)使用，負(fù)責(zé)確保域名的唯一性。如果域命名主機(jī)不可用，則無(wú)法向林中添加域或從林中刪除域。在整個(gè) 林中，架構(gòu)主機(jī)是唯一的，只能有一個(gè)架構(gòu)主機(jī)。RID主機(jī)(RID Master)RID主機(jī)將相對(duì)標(biāo)識(shí)符(RID)分配給域中每個(gè)不同的域控制器，每個(gè)域只有一個(gè)RID操作主機(jī)角色，用于管理RID池，從而在整個(gè)域范圍內(nèi)創(chuàng)建的新的安全主體，如：用戶、組和計(jì)算機(jī)。每個(gè)安全主體都有一個(gè)唯一SID。RID主機(jī)用于保證域控制器生產(chǎn)的SID是唯一的。RID主機(jī)把一些相對(duì)標(biāo)識(shí) 符（RID）（稱為RID池）頒發(fā)給域中的每臺(tái)域控制器。 當(dāng)任何域控制器上的RID池中的可用RID的數(shù)量較少時(shí)（小于100），就會(huì)從RID主機(jī)請(qǐng)

5、求一些RID。 每次收到這樣的請(qǐng)求，RID主機(jī)都會(huì)向域控制器再頒發(fā)大約500個(gè)RID的RID池。PDC仿真器（PDC Emulator）PDC仿真器負(fù)責(zé)執(zhí)行很多與域有關(guān)的關(guān)鍵功能，主要有：為Windows2000提供支持、維護(hù)密碼更新來(lái)避免密碼修改的延遲、管理域中組策略的更新、 域內(nèi)時(shí)間同步、維護(hù)網(wǎng)絡(luò)中主機(jī)列表?；A(chǔ)結(jié)構(gòu)主機(jī)（Infrastructure Master）基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新域之間的組-用戶引用。這個(gè)操作主機(jī)角色確保對(duì) 象名稱的改變（常用名稱屬性的更改cn）反映在位于不同域中的組成員身份 信息中。基礎(chǔ)結(jié)構(gòu)主機(jī)維護(hù)這些引用的最新列表，然后將這個(gè)信息復(fù)制給域 中所有域控制器。如果基礎(chǔ)

6、結(jié)構(gòu)主機(jī)不可用，域之間的組-用戶引用就會(huì)過時(shí)。（二）角色遷移當(dāng)部署多臺(tái)DC分擔(dān)操作主機(jī)角色時(shí)，可以通過以下命令實(shí)現(xiàn)操作主機(jī)角 色的遷移。以PDC主機(jī)角色遷移為例：1、查詢當(dāng)前操作主機(jī)角色所在的DC2、打開CMD窗 口，依次輸入命令：3、輸入quit退出connections程序，輸入命令transfer PDC將PDC主機(jī)角色轉(zhuǎn)移至域控制器ad（三）角色搶奪當(dāng)擁有某操作主機(jī)角色的DC宕機(jī)時(shí)，可以通過以下命令實(shí)現(xiàn)操作主機(jī)角 色的搶奪。以PDC主機(jī)角色搶奪為例：1、 打開CMD窗 口，依次輸入命令：2、 輸入quit退出connections程序，輸入命令transfer PDC將PDC主機(jī)角色轉(zhuǎn)

7、移至域控制器ad第二章 管理活動(dòng)目錄數(shù)據(jù)庫(kù)（一）活動(dòng)目錄數(shù)據(jù)庫(kù)介紹活動(dòng)目錄數(shù)據(jù)庫(kù)默認(rèn)存儲(chǔ)路徑為：C:Wi ndowsNTDS其中包含文件分別為：edb.chk:檢查點(diǎn)文件。edb.chk文件存儲(chǔ)數(shù)據(jù)庫(kù)的檢查點(diǎn)，這些檢查 點(diǎn)標(biāo)識(shí)數(shù)據(jù)庫(kù)引擎需要重復(fù)播放日志的點(diǎn)，通常在恢復(fù)或初始化時(shí)。edbxxxxx.log:事務(wù)日志文件。edb.log是日志文件，對(duì)數(shù)據(jù)庫(kù)進(jìn)行更 改后，將該更改寫入到edb.log文件中。當(dāng)edb.log文件充滿事務(wù)之后， 會(huì)被重新命名為edbxxxxx.log，日志文件從edb00001開始，并使用十六進(jìn)制數(shù)累加。由于Active Directory使用循環(huán)記錄，所以在舊日志文件

8、寫入數(shù)據(jù)庫(kù)之后， 這些舊日志文件會(huì)及時(shí)刪除。 在任何時(shí)刻都可以 找到edb.log文件，而且還可能有一個(gè)或多個(gè)edbxxxxx.log文件。edbresxxxx.jrs:這些文件是保留的日志文件僅當(dāng)含有日志文件的磁盤空間不足時(shí)使用。如果當(dāng)前的日志文件填滿了且由于磁盤剩余空間不足服務(wù)器不能創(chuàng)建新的日志文件，服務(wù)器會(huì)將當(dāng)前記憶體中的活動(dòng)目錄處 理記錄到兩個(gè)保留日志文件中然后關(guān)閉活動(dòng)目錄。每一個(gè)日志文件也是10MB大小edbtmp.log:該日志是當(dāng)當(dāng)前日志文件（Edb.log ）填滿時(shí)的暫時(shí)日志。 一個(gè)edbtmp.log的新文件被創(chuàng)建來(lái)記錄處理，同時(shí)edb.log文件被重 命名為下一個(gè)以往日志文

9、件，然后edbtmp.log文件會(huì)被重名為edb.log ntds.dit:數(shù)據(jù)庫(kù)文件。ntds.dit會(huì)隨著數(shù)據(jù)庫(kù)的填充而不斷增大。但是，日志的大小卻是固定的10 MB。對(duì)數(shù)據(jù)庫(kù)進(jìn)行的任何更改都會(huì)被追加到當(dāng)前的日志文件中，而且其磁盤映像會(huì)不斷保持更新。Temp.edb:這是個(gè)在數(shù)據(jù)庫(kù)維護(hù)時(shí)使用的暫時(shí)文件用于存儲(chǔ)當(dāng)前進(jìn)程中 處理的信息。（二）活動(dòng)目錄數(shù)據(jù)庫(kù)的移動(dòng)當(dāng)需要更改AD DB的存放路徑時(shí)，可通過如下操作實(shí)現(xiàn)AD DB的移動(dòng)：1、停止目錄服務(wù):net stop ntds2、依次輸入以下命令進(jìn)入AD DB管理進(jìn)程：Ntdsuitl activate in sta nee n tds file

10、s3、移動(dòng)AD DB及LOG到新的路徑C:NTDSMove DB to C:NTDS4、 退出進(jìn)程，并啟動(dòng)目錄服務(wù)net start ntds5、可以查看以上文件已經(jīng)移動(dòng)到目錄C:NTDS（三）活動(dòng)目錄數(shù)據(jù)庫(kù)的壓縮在活動(dòng)目錄的使用過程中，AD DB會(huì)越來(lái)越大，必要的時(shí)候需要對(duì)AD DB進(jìn)行壓縮：?在線整理DC服務(wù)器每12小時(shí)自動(dòng)進(jìn)行?離線整理管理員手工壓縮AD數(shù)據(jù)庫(kù)1、使用命令net stop ntds停止目錄服務(wù)之后，依次輸入以下命令進(jìn)入AD DB管理進(jìn)程：Ntdsuitl activate in sta nee n tds files2、輸入命令將AD DB壓縮到指定目錄Compact to C:NEW3、 將指定目錄下文件ntds.dit移動(dòng)到AD DB路徑，并替換原文件ntds.dit后，啟動(dòng)AD域目錄服務(wù)Net start ntds（四）活動(dòng)目錄數(shù)據(jù)庫(kù)的備份和還原裸機(jī)備份請(qǐng)參見“海格物流AD實(shí)施：備份和恢復(fù).docx”（五）活動(dòng)目錄回收站 當(dāng)誤刪除域中某些對(duì)象時(shí)，可以使用活動(dòng)目錄回收站進(jìn)行對(duì)象還原。 活動(dòng)目錄回收站啟用之后， 將無(wú)法禁用，同時(shí)活動(dòng)目錄數(shù)據(jù)庫(kù)空間會(huì)增長(zhǎng)10% 30%參照如下步驟啟用活動(dòng)目錄回收