AD實施域管理手冊

1、深圳市海格物流股份有限公司操作主機與ADDB 管理（一）.操作主機介紹（二）.角色遷移（三）.角色搶奪第二章管理活動目錄數(shù)據(jù)庫.（一）.活動目錄數(shù)據(jù)庫介紹（二）.活動目錄數(shù)據(jù)庫的移動（三）.活動目錄數(shù)據(jù)庫的壓縮（四）.活動目錄數(shù)據(jù)庫的備份和還原（五）.活動目錄回收站文檔編號：SXD- HGWL-20150901-01深圳市索信達實版本：VERSI0N1.6編寫：索信達運維服務部最后修訂：2015 年 09 月 22 日中的操作主機角業(yè)有限公司目錄第一章管理域第一章 管理域中的操作主機角色（一）操作主機介紹Active Directory支持域中所有域控制器之間的目錄數(shù)據(jù)存儲的多主機 復制，因此

2、域中的所有域控制器實質上都是對等的。但是，某些更改不適合 使用多主機復制執(zhí)行，因此對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。操作主機可以保證一致性并消除ADDS數(shù)據(jù)庫中出現(xiàn)沖突的項目的可能性。AD DS中的五個操作主機角色分別是：架構主機(Schema Master)、域命名主機(Domain Naming Master)、RID主機(RID Master)、PDC仿真器(PDC Emulator)、基礎結構主機(Infrastructure Master)架構主機和域命名主機是林范圍角色，即每個林只有一臺架構主機和一臺域命名主機。RID主機、PDC仿真器、基礎

3、結構主機是域范圍角色，這3種操作主機角色在林中的每個域中分別只有一個。當在林中安裝ADDS并創(chuàng)建第一臺域控制器時，它會擁有所有5個角色，類似地，在向林中添加域時， 每個新域中的第一臺域控制器也會獲得每域的操作主機角色。架構主機(Schema Master)宿主架構主機角色的域控制器負責對林的架構進行更新和修改，其他域控制器則只包含架構的只讀副本。要更新或修改林的架構，您必須具備訪問 架構主機的權限。如果做出架構改變后，架構更新就會復制到林中的所有其 他域控制器。在整個林中，架構主機是唯一的，只能有一個架構主機。域命名主機(Domain Naming Master)域命名主機主要用于為林中添加或

4、刪除域時使用，負責確保域名的唯一性。如果域命名主機不可用，則無法向林中添加域或從林中刪除域。在整個 林中，架構主機是唯一的，只能有一個架構主機。RID主機(RID Master)RID主機將相對標識符(RID)分配給域中每個不同的域控制器，每個域只有一個RID操作主機角色，用于管理RID池，從而在整個域范圍內(nèi)創(chuàng)建的新的安全主體，如：用戶、組和計算機。每個安全主體都有一個唯一SID。RID主機用于保證域控制器生產(chǎn)的SID是唯一的。RID主機把一些相對標識 符（RID）（稱為RID池）頒發(fā)給域中的每臺域控制器。 當任何域控制器上的RID池中的可用RID的數(shù)量較少時（小于100），就會從RID主機請

5、求一些RID。 每次收到這樣的請求，RID主機都會向域控制器再頒發(fā)大約500個RID的RID池。PDC仿真器（PDC Emulator）PDC仿真器負責執(zhí)行很多與域有關的關鍵功能，主要有：為Windows2000提供支持、維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、 域內(nèi)時間同步、維護網(wǎng)絡中主機列表?；A結構主機（Infrastructure Master）基礎結構主機負責更新域之間的組-用戶引用。這個操作主機角色確保對 象名稱的改變（常用名稱屬性的更改cn）反映在位于不同域中的組成員身份 信息中?；A結構主機維護這些引用的最新列表，然后將這個信息復制給域 中所有域控制器。如果基礎

6、結構主機不可用，域之間的組-用戶引用就會過時。（二）角色遷移當部署多臺DC分擔操作主機角色時，可以通過以下命令實現(xiàn)操作主機角 色的遷移。以PDC主機角色遷移為例：1、查詢當前操作主機角色所在的DC2、打開CMD窗 口，依次輸入命令：3、輸入quit退出connections程序，輸入命令transfer PDC將PDC主機角色轉移至域控制器ad（三）角色搶奪當擁有某操作主機角色的DC宕機時，可以通過以下命令實現(xiàn)操作主機角 色的搶奪。以PDC主機角色搶奪為例：1、 打開CMD窗 口，依次輸入命令：2、 輸入quit退出connections程序，輸入命令transfer PDC將PDC主機角色轉

7、移至域控制器ad第二章 管理活動目錄數(shù)據(jù)庫（一）活動目錄數(shù)據(jù)庫介紹活動目錄數(shù)據(jù)庫默認存儲路徑為：C:Wi ndowsNTDS其中包含文件分別為：edb.chk:檢查點文件。edb.chk文件存儲數(shù)據(jù)庫的檢查點，這些檢查 點標識數(shù)據(jù)庫引擎需要重復播放日志的點，通常在恢復或初始化時。edbxxxxx.log:事務日志文件。edb.log是日志文件，對數(shù)據(jù)庫進行更 改后，將該更改寫入到edb.log文件中。當edb.log文件充滿事務之后， 會被重新命名為edbxxxxx.log，日志文件從edb00001開始，并使用十六進制數(shù)累加。由于Active Directory使用循環(huán)記錄，所以在舊日志文件

8、寫入數(shù)據(jù)庫之后， 這些舊日志文件會及時刪除。 在任何時刻都可以 找到edb.log文件，而且還可能有一個或多個edbxxxxx.log文件。edbresxxxx.jrs:這些文件是保留的日志文件僅當含有日志文件的磁盤空間不足時使用。如果當前的日志文件填滿了且由于磁盤剩余空間不足服務器不能創(chuàng)建新的日志文件，服務器會將當前記憶體中的活動目錄處 理記錄到兩個保留日志文件中然后關閉活動目錄。每一個日志文件也是10MB大小edbtmp.log:該日志是當當前日志文件（Edb.log ）填滿時的暫時日志。 一個edbtmp.log的新文件被創(chuàng)建來記錄處理，同時edb.log文件被重 命名為下一個以往日志文

9、件，然后edbtmp.log文件會被重名為edb.log ntds.dit:數(shù)據(jù)庫文件。ntds.dit會隨著數(shù)據(jù)庫的填充而不斷增大。但是，日志的大小卻是固定的10 MB。對數(shù)據(jù)庫進行的任何更改都會被追加到當前的日志文件中，而且其磁盤映像會不斷保持更新。Temp.edb:這是個在數(shù)據(jù)庫維護時使用的暫時文件用于存儲當前進程中 處理的信息。（二）活動目錄數(shù)據(jù)庫的移動當需要更改AD DB的存放路徑時，可通過如下操作實現(xiàn)AD DB的移動：1、停止目錄服務:net stop ntds2、依次輸入以下命令進入AD DB管理進程：Ntdsuitl activate in sta nee n tds file

10、s3、移動AD DB及LOG到新的路徑C:NTDSMove DB to C:NTDS4、 退出進程，并啟動目錄服務net start ntds5、可以查看以上文件已經(jīng)移動到目錄C:NTDS（三）活動目錄數(shù)據(jù)庫的壓縮在活動目錄的使用過程中，AD DB會越來越大，必要的時候需要對AD DB進行壓縮：?在線整理DC服務器每12小時自動進行?離線整理管理員手工壓縮AD數(shù)據(jù)庫1、使用命令net stop ntds停止目錄服務之后，依次輸入以下命令進入AD DB管理進程：Ntdsuitl activate in sta nee n tds files2、輸入命令將AD DB壓縮到指定目錄Compact to C:NEW3、 將指定目錄下文件ntds.dit移動到AD DB路徑，并替換原文件ntds.dit后，啟動AD域目錄服務Net start ntds（四）活動目錄數(shù)據(jù)庫的備份和還原裸機備份請參見“海格物流AD實施：備份和恢復.docx”（五）活動目錄回收站 當誤刪除域中某些對象時，可以使用活動目錄回收站進行對象還原。 活動目錄回收站啟用之后， 將無法禁用，同時活動目錄數(shù)據(jù)庫空間會增長10% 30%參照如下步驟啟用活動目錄回收