項目10 維護(hù)AD DS

1、Windows Server Windows Server 活動目錄企業(yè)應(yīng)用（微課版）活動目錄企業(yè)應(yīng)用（微課版）項目項目1010維護(hù)維護(hù)AD DSAD DS楊云楊云 主編主編10.1 10.1 相關(guān)知識相關(guān)知識10.1.1 10.1.1 系統(tǒng)狀態(tài)概述系統(tǒng)狀態(tài)概述Windows Server 2012 R2服務(wù)器的系統(tǒng)狀態(tài)(system state)內(nèi)所包含的數(shù)據(jù)，因服務(wù)器所安裝的角色種類的不同而有所不同，例如其中可能包含下面的數(shù)據(jù)： 注冊值 COM+類別注冊數(shù)據(jù)庫(Class Registration database) 啟動文件（boot files） Active Directory征書服

2、務(wù)(AD CS)數(shù)據(jù)庫 AD DS數(shù)據(jù)庫(Ntds.dit) SYSVOL文件夾 群集服務(wù)信息 Microsoft Intemet Information Services( IIS) metadirectory 受Windows Resource Protection保護(hù)的系統(tǒng)文件10.1.2 AD DS數(shù)據(jù)庫AD DS內(nèi)的組件主要有AD DS數(shù)據(jù)庫文件與SYSVOL文件夾，其中AD DS數(shù)據(jù)庫文件默認(rèn)位于%Systemroot%NTDS文件夾內(nèi)，如圖10-1所示。圖10-1 AD DS數(shù)據(jù)庫Ntds.dit：AD DS數(shù)據(jù)庫文件，存儲著此臺域控制器的AD DS內(nèi)的對象。Edb.log：它是

3、AD DS事務(wù)日志（擴(kuò)展名.log默認(rèn)會被隱藏），容量大小為10 MB。當(dāng)您要更改AD DS內(nèi)的對象時，系統(tǒng)會先將變更數(shù)據(jù)寫入到內(nèi)存（RAM）申，然后等系統(tǒng)空閑或關(guān)機時，再根據(jù)內(nèi)存內(nèi)中記錄來將更新數(shù)據(jù)寫入AD DS數(shù)據(jù)庫（ntds.dit）。這種先在內(nèi)存中處理的方式，可提高AD DS工件效率。系統(tǒng)也會將內(nèi)存中數(shù)據(jù)的變化過程寫到事務(wù)日志內(nèi)（edb.log），若系統(tǒng)不正常關(guān)機（例如斷電），以致于內(nèi)存中尚未被寫AAD DS數(shù)據(jù)庫的更新數(shù)據(jù)遺失時，系統(tǒng)就可以根據(jù)事務(wù)日志，來推算出不正常關(guān)機前，在內(nèi)存中的更新記錄，并將這些記錄寫入AD DS數(shù)據(jù)庫。如果事務(wù)日志填滿了數(shù)據(jù)，則系統(tǒng)會將其改名，例如Edb00

4、001.log、Edb00002.log并重新建立一個事務(wù)日志。Edb.chk：它是檢查點（checkpoint）文件。每一次系統(tǒng)將內(nèi)存中的更新記錄寫入AD DS 數(shù)據(jù)庫時，都會一并更新edb.chk它會記載事務(wù)日志的檢查點。如果系統(tǒng)不正常關(guān)機，以致于內(nèi)存中尚未被寫入AD DS數(shù)據(jù)庫的更新記錄遺失，則下一次開機時，系統(tǒng)便可以根據(jù)edb.chk來得知需要從事務(wù)日志內(nèi)的哪一個變動過程開始，來推算出不正常關(guān)機前內(nèi)存中的更新記錄，并將它們寫入AD DS數(shù)據(jù)庫。Edbres00001.jrs與edbres00002.jrs：這兩個是預(yù)留文件，未來如果硬盤的空間不夠時可以使用這兩個文件，每個文件都是10

5、MB。10.1.3 SYSVOL文件夾文件夾SYSVOL文件夾位于%systemroot%內(nèi)，此文件夾內(nèi)存儲著下面數(shù)據(jù)：腳本文件（scripts）、NETLOGON共享文件夾、SYSVOL共享文件夾與組策略相關(guān)設(shè)置。10.1.4 非授權(quán)還原非授權(quán)還原活動目錄的備份一般使用微軟自帶的備份工具【W(wǎng)indows Server Backup】進(jìn)行備份，活動目錄有兩種恢復(fù)模式：非授權(quán)還原和授權(quán)還原。1. 非授權(quán)還原非授權(quán)還原非授權(quán)還原可以恢復(fù)到活動目錄到它備份時的狀態(tài)，執(zhí)行非授權(quán)還原后，有如下兩種情況。 如果域中只有一個域控制器，在備份之后的任何修改都將丟失。例如，備份后添加了一個OU，則執(zhí)行還原后，新

6、添加的OU不存在。 如果域中有多個域控制器，則恢復(fù)已有的備份并從其他域控制器復(fù)制活動目錄對象的當(dāng)前狀態(tài)。例如，備份后添加了一個OU，則執(zhí)行還原后，新添加的OU會從其他域控制器上復(fù)制過來，因此該OU還存在。如果備份后刪除了一個OU，則執(zhí)行還原后也不會恢復(fù)該OU，因為該OU的刪除狀態(tài)會從其他的域控制器上復(fù)制過來。2非授權(quán)還原實際應(yīng)用場景非授權(quán)還原實際應(yīng)用場景 如果企業(yè)的域控制器正常，只是想要還原到之前的一個備份，使用非授權(quán)還原可以輕易完成。 如果企業(yè)的域控制器出現(xiàn)崩潰且無法修復(fù)時，可以將服務(wù)器重新安裝系統(tǒng)并升級為域控制器（IP地址和計算機名不變），然后通過目錄還原模式并利用之前備份的系統(tǒng)狀態(tài)進(jìn)行還

7、原。10.1.5 授權(quán)還原授權(quán)還原當(dāng)企業(yè)部署了額外域控制器時，如果主域控制器的內(nèi)容和額外域控制器的內(nèi)容不相同時，它們怎樣進(jìn)行數(shù)據(jù)同步呢？1. 域控制器數(shù)據(jù)同步域控制器數(shù)據(jù)同步當(dāng)域控制器發(fā)現(xiàn)Active Directory的內(nèi)容不一致時，它們會通過比較AD的優(yōu)先級來浹定使用哪臺DC的內(nèi)容。Active Directory的優(yōu)先級比較主要考慮以下3個方面的因素。 版本號：版本號指的是Active Directory對象修改時增加的值，版本號高者優(yōu)先。例如，域中有兩個域控制器DC1和DC2，當(dāng)DC1創(chuàng)建了一個用戶，版本號會隨之增加，所以DC2會和DC1進(jìn)行版本號比較，發(fā)現(xiàn)DC1的版本號要高些，所以D

8、C2就會向DC1同步Active Directory內(nèi)容。 時間：如果DC1和DC2兩個域控制器同時對同一對象進(jìn)行操作，由于操作間隔相關(guān)很小，系統(tǒng)還來不及同步數(shù)據(jù)，因此它的版本號就是相同的。這種情況下兩個域控制器就要比較時間因素，看哪個域控制器完成修改的時間靠后，時間靠后者優(yōu)先。 GUID：如果DC1和DC2兩個域控制器的版本號和時間都完全一致，這時就要比較兩個域控制器的GUID了，顯然這完全是個隨機的結(jié)果。一般情況下，時間完全相同的非常罕見，因此GUID這個因素只是一個備選方案。授權(quán)還原就是通過增加時間版本，使得AD1授權(quán)恢復(fù)的數(shù)據(jù)變得更新而實現(xiàn)將誤操作的數(shù)據(jù)推送給其他AD，而還原點時間之后

9、新增加的操作由于并不在備份文件中，會從其他DC重新寫入到AD1中。2授權(quán)還原實際應(yīng)用場景授權(quán)還原實際應(yīng)用場景 當(dāng)企業(yè)部署了多臺域控制器時，如果想通過還原來恢復(fù)之前被誤刪的對象時，可以使用授權(quán)還原。如果企業(yè)有多臺域控制器，將一臺域控制器還原至一個舊的還原點時，之前的誤刪對象會暫時被還原，但是因為這臺域控制器被還原到了一個舊的還原點，當(dāng)接入域網(wǎng)絡(luò)時，便會和其他域控制器進(jìn)行版本比較，發(fā)現(xiàn)自己的版本較低便會同步其他域控制器的AD內(nèi)容，將還原回來的對象再次刪除，這樣便無法還原被誤刪的對象。如果可以通過授權(quán)還原，也就是通過更改需要還原的對象的版本號，將其的值增加10萬，使得它的版本號非常的高，當(dāng)接入到網(wǎng)絡(luò)

10、時，其他的AD域?qū)驗榘姹镜投竭@個對象，從而實現(xiàn)誤刪對象的還原。3授權(quán)還原實例描述授權(quán)還原實例描述若域內(nèi)只有一臺域控制器，則只需要執(zhí)行非授權(quán)還原即可，但是若域內(nèi)有多臺域控制器，則可能還需執(zhí)行授權(quán)還原。例如域內(nèi)有兩臺域控制器DC1與DC2，而且您曾經(jīng)備份域控制器DC2的系統(tǒng)狀態(tài)，可是今天不小心利用Active Directory管理中心控制臺將用戶賬戶”test_user2”刪除了，之后這個變更數(shù)據(jù)會通過AD DS復(fù)制機制被復(fù)制到域控制器DC1，因此在域控制器DC1內(nèi)的MIKE賬戶也會被刪除。 若要救回被不小心刪除的”TEST_USER2”賬戶，您可能會在域控制器DC2上利用標(biāo)準(zhǔn)的非授權(quán)還

11、原來將之前已經(jīng)備份的舊”TEST_USER2”賬戶恢復(fù)，可是雖然在域控制器DC2內(nèi)的”TEST_USER2”賬戶已被恢復(fù)，但是在域控制器DC1內(nèi)的”TEST_USER2”卻是被標(biāo)記為已刪除的賬戶，請問下一次DC1與DC2之間執(zhí)行Active Directory復(fù)制程序時，將會有什么樣的結(jié)果呢？ 答案是在DC2內(nèi)剛被恢復(fù)的”TEST_USER2”賬戶會被刪除，因為對系統(tǒng)來說，DC1內(nèi)被標(biāo)記為已刪除的”TEST_USER2”的版本號碼較高，而DC2內(nèi)剛復(fù)原的”TEST_USER2”是舊的數(shù)據(jù)，其版本號碼較低。兩個對象有沖突時，系統(tǒng)會以戳記（stamp）來作為解決沖突的依據(jù)，因此版本號碼較高的對象會

12、覆蓋掉版本號碼較低的對象。 若要避免上述現(xiàn)象發(fā)生，您需要另外再執(zhí)行授權(quán)還原。當(dāng)您在DC2上針對”TEST_USER2”賬戶另外執(zhí)行授權(quán)還原后，這個被恢復(fù)的舊”TEST_USER2”賬戶的版本號碼將被增加，而且是從備份當(dāng)天開始到執(zhí)行授權(quán)還原為止，每天增加100000，因此當(dāng)DC1與DC2開始執(zhí)行復(fù)制工作時，由于位于DC2的舊”TEST_USER2”賬戶的版本號碼會比較高，所以這個舊”TEST_USER2”會被復(fù)制到DC1，將DC1內(nèi)被標(biāo)記為已刪除的”TEST_USER2”覆蓋掉，也就是說舊”TEST_USER2”被恢復(fù)了。10.2 10.2 項目設(shè)計及準(zhǔn)備項目設(shè)計及準(zhǔn)備10.2.1 10.2.1

13、 項目設(shè)計項目設(shè)計未名公司基于Windows Server 2012活動目錄管理公司員工和計算機。活動目錄的域控制器負(fù)責(zé)維護(hù)域服務(wù)，如果活動目錄的域控制器由于硬件或軟件方面原因不能正常工作時，用戶將不能訪問所需的資源或者登錄到網(wǎng)絡(luò)上，更為重要的是這將導(dǎo)致公司網(wǎng)絡(luò)中所有與AD相關(guān)的業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)等都會停滯。通過定期對AD DS進(jìn)行備份，當(dāng)AD出現(xiàn)故障或問題時，就可以通過備份文件進(jìn)行還原，修復(fù)故障或解決問題。因此，公司希望管理員定期備份AD活動目錄服務(wù)。公司拓?fù)淙鐖D10-1所示。（注意：注意：DC1和和DC2位于同位于同一站點！一站點?。﹫D10-1 公司拓?fù)鋱D10.2.2 項目分析項目分析根據(jù)

14、企業(yè)項目需求，下面我們通過以下操作模擬企業(yè)AD的備份與還原過程。 在【技術(shù)部】OU中創(chuàng)建兩個用戶“test_user1”和“test_user2”，并對域控制器進(jìn)行備份。 在部署單臺域控制器環(huán)境中使用非授權(quán)還原被誤刪的【技術(shù)部】OU中的 “test_user1”用戶。 在部署多臺域控制器環(huán)境中使用授權(quán)還原被誤刪的【技術(shù)部】OU中的“test_user2”用戶。 移動與重組AD DS數(shù)據(jù)庫。 重設(shè)“目錄服務(wù)還原模式”的系統(tǒng)管理員密碼。 配置Active Directory回收站。10.3 項目實施10.3.1 任務(wù)任務(wù)1 備份備份AD DS（DC）您應(yīng)該定期備份域控制器的系統(tǒng)狀態(tài)，以便當(dāng)域控制器

15、的AD DS損壞時，可以通過備份數(shù)據(jù)來恢復(fù)域控制器。 步驟1 首先您需要添加Windows Server Backup功能功能：【打開服務(wù)器管理器服務(wù)器管理器單擊儀表板處的添加角色和功能添加角色和功能持續(xù)單擊“下一步下一步”按鈕直到出現(xiàn)如圖10-2所示的界面時勾選Windows Server Backup單擊“下一步下一步”按鈕、“安裝安裝”按鈕】。圖10-2 添加Windows Server Backup功能 步驟 3在文件服務(wù)器（192.168.10.254）中創(chuàng)建一個名為【backup】的共享。 步驟 2 在DC1上的【技術(shù)部】OU下新建兩個用戶，分別為“test_user1”和“tes

16、t_user2”，如圖10-3所示。圖10-2在【技術(shù)部】OU下新建兩個用戶 步驟 4 在DC1的【服務(wù)器管理器】主窗口下，單擊【工具】下的【W(wǎng)indows Server Backup】，在打開的對話框中右鍵單擊【本地備份】，在彈出的快捷菜單中選擇【一次性備份】，如圖10-3所示。圖10-3 【一次性備份】 步驟 5 在彈出的【一次性備份向?qū)А恐械摹緜浞葸x項】選擇【其他選項】并下一步，在【選擇備份配置】中選擇【自定義】并下一步，在【選擇要備份的項】中選擇【添加項目】，在彈出的【選擇項】中勾選【系統(tǒng)狀態(tài)】，如圖10-4所示。圖10-4備份系統(tǒng)狀態(tài) 步驟 6 【指定目標(biāo)類型】中選擇【遠(yuǎn)程共享文件夾

17、】并下一步，在【指定遠(yuǎn)程文件夾】中的位置輸入“192.168.10.254Backup”并單擊“下一步”按鈕，確認(rèn)無誤單擊【備份】進(jìn)行備份，如圖10-5所示。圖10-5 開始備份10.3.2 任務(wù)任務(wù)2 非授權(quán)還原（恢復(fù)非授權(quán)還原（恢復(fù)DC1系統(tǒng)狀態(tài)）系統(tǒng)狀態(tài)）步驟 1 在DC上將【技術(shù)部】OU下“test_user1”用戶刪除。 步驟 2重啟域控制器DC1，按【F8】進(jìn)入高級啟動選項，選擇【目錄服務(wù)修復(fù)模式】，如圖10-6所示 圖10-6選擇【目錄服務(wù)修復(fù)模式】 步驟 3 在登錄界面中不能使用域管理員賬號登錄，必須用本地的管理員賬號登錄。單擊人像左側(cè)的箭頭圖標(biāo)，單擊其他用戶，然后如圖10-7

18、所示輸入目錄服務(wù)還原模式目錄服務(wù)還原模式的系統(tǒng)管理員的用戶名稱與密碼來登錄，其中用戶名稱可輸入Administrator或DC1Administrator。圖10-7 使用本地管理員登錄 步驟 4 打開【W(wǎng)indows Server Backup】工具，在打開的對話框中右鍵單擊【本地備份】，在彈出的快捷菜單中選擇【恢復(fù)】，如圖10-8所示。圖10-5 【恢復(fù)】備份 步驟 5 在彈出的【恢復(fù)向?qū)А恐械摹疽糜诨謴?fù)的備份存儲在哪個位置？】選擇【在其他位置存儲備份】并下一步，在【指定位置類型】中選擇【遠(yuǎn)程共享文件夾】并下一步，在【指定遠(yuǎn)程文件夾】中輸入“192.168.10.254backup”并下

19、一步，在彈出的【W(wǎng)indows安全】中輸入有權(quán)限訪問共享的憑據(jù)，本例中輸入的是文件文件服務(wù)器服務(wù)器ms1的管理員賬戶和密碼的管理員賬戶和密碼。如圖10-6所示。 圖10-6 【指定遠(yuǎn)程文件夾】及憑據(jù) 步驟 7 在【選擇備份日期】中選擇要還原的備份日期并單擊“下一步下一步”按鈕，在【選擇恢復(fù)類型】中選擇【系統(tǒng)狀態(tài)】并下一步，在【選擇系統(tǒng)狀態(tài)恢復(fù)的位置】中選擇【原始位置】并下一步，在彈出的提示單擊【確定】，如圖10-7所示。圖10-7 【確認(rèn)恢復(fù)向?qū)А?步驟 7 核對恢復(fù)設(shè)置正確之后，單擊【恢復(fù)】按鈕，開始還原，過程將持續(xù)1530分鐘，還原完成之后，會提示重新啟動系統(tǒng)，如圖10-8所示。圖10-8

20、 正在還原 步驟 8 重啟計算機完成后，使用域管理員賬號登錄，登錄后出現(xiàn)圖10-9所示界面，表示恢復(fù)已經(jīng)成功。圖10-9 非授權(quán)還原成功10.3.3 任務(wù)任務(wù)3 授權(quán)還原授權(quán)還原下面練習(xí)假設(shè)上述用戶賬戶”test_user2”建立在域的組織單位【技術(shù)部】內(nèi)，我們需要先執(zhí)行非授權(quán)還原非授權(quán)還原，然后再利用ntdsutil命令來針對用戶賬戶”test_user2”執(zhí)行授杈還原。您可以按照下面的順序來練習(xí)。在域控制器DC1上建立組織單位【技術(shù)部】，在【技術(shù)部】內(nèi)建立用戶賬戶”test_user2”等組織單位【技術(shù)部】、用戶賬戶”test_user2”被復(fù)制到域控制器DC2在域控制器DC1上備份系統(tǒng)狀

21、態(tài)在域控制器DC1上將用戶賬戶”test_user2”刪除（此賬戶會被移動到Deleted Objects容器內(nèi)）等這個被刪除的”test_user2”賬戶被復(fù)制到域控制器DC2，也就是等DC2內(nèi)的”test_user2”也被刪除（默認(rèn)等15秒）在DC1上先執(zhí)行非授權(quán)還原，然后再執(zhí)行授權(quán)還原，它便會將被刪除的”test_user2”賬戶恢復(fù)下面僅說明最后一個步驟，也就是先執(zhí)行非授權(quán)還原非授權(quán)還原，然后再執(zhí)行授權(quán)還原授權(quán)還原。 步驟 1在主域控制器（DC1）下將【技術(shù)部】OU下“test_user2”用戶刪除，稍待片刻，到額外域控制器下（DC2）上查看【技術(shù)部】OU下的用戶，發(fā)現(xiàn)DC2上也只有用

22、戶“test_user1”，“test_user2”用戶已經(jīng)被刪除。重復(fù)前面10.3.2小節(jié)小節(jié)中的到 步驟2 到步驟7。注意不要執(zhí)行步驟8，也就是完成恢復(fù)后，不要不要重新啟動計算機。 步驟 3 繼續(xù)在Windows PowerShell或命令提示符窗口下依次執(zhí)行下面命令（完整的操作界面可參考圖10-11）：Ntdsutil。 步驟 4 在ntdsutil：提示符下執(zhí)行下面命令：activate instance ntds /表示要將域控制器的AD DS數(shù)據(jù)庫設(shè)置為使用中。步驟 5 在ntdsutil：提示符下執(zhí)行下面命令：authoritative restore 步驟 6 在authori

23、tative restore：提示符下，針對域的組織單位【技術(shù)部】內(nèi)的用戶“test_user2”執(zhí)行授權(quán)還原，其命令如下所示：restore subtree CN=test_user2，ou=技術(shù)部，技術(shù)部，DC=long，DC=com 步驟 7在圖10-10中單擊“是（Y）”按鈕。圖10-10 授權(quán)還原確認(rèn)圖10-11為前面幾個步驟的完整操作過程。圖10-11 授權(quán)還原的部分操作過程 步驟 9 在authoritative restore：提示符下，執(zhí)行quit命令。 步驟 10 在ntdsutil：提示符下，執(zhí)行quit命令。 步驟 11 利用常規(guī)模式重新啟動系統(tǒng)。 步驟 12 等域控制

24、器之間的AD DS自動同步完成，或利用Active Directory站點和服務(wù)手動同步，或執(zhí)行下面命令來手動同步：repadmin /syncall /e /d /A /P其中/e表示包含所有站點內(nèi)的域控制器，/d表示信息中以distinguished name( DN)來識別服務(wù)器，/A表示同步此域控制器內(nèi)的所有目錄分區(qū)，/P表示同步方向是將此域控制器（）的變動數(shù)據(jù)傳送給其他域控制器。完成同步工作后，可利用Active Directory管理中心或者Active Directory用戶和計算機來驗證組織單位【技術(shù)部】內(nèi)的用戶賬戶“test_user2”是否已經(jīng)被恢復(fù)。10.3.4 任務(wù)任務(wù)

25、4 移動移動AD DS數(shù)據(jù)庫數(shù)據(jù)庫AD DS數(shù)據(jù)庫與事務(wù)日志的存儲位置默認(rèn)在%systemroot%NTDS文件夾內(nèi)，然而一段時間以后，若硬盤存儲空間不夠或為了提高運行效率，有可能需要將AD DS數(shù)據(jù)庫移動到其他位置。在此我們不采用不采用進(jìn)入目錄服務(wù)還原模式目錄服務(wù)還原模式的方式，而是利用將AD DS服務(wù)停止服務(wù)停止的方式來進(jìn)行AD DS數(shù)據(jù)庫文件的移動工作此時必須是隸屬于Administrators組的成員才有權(quán)限進(jìn)行下面的操作。 我們需要利用ntdsuti.exe來移動AD DS數(shù)據(jù)庫與事務(wù)日志，下面的練習(xí)假設(shè)要將它們都移動到C:NewNTDS文件夾。 步驟 1 打開命令提示符或Windo

26、ws PowerShell窗口。執(zhí)行下面命令來停止AD DS服務(wù)：net stop ntds 步驟 2接著輸入Y后按ENTER鍵。它也會將其他相關(guān)服務(wù)一起停止。 步驟 3 在命令提示符下執(zhí)行下面命令（參考圖10-12）：ntdsutil。在ntdsutil：提示符下執(zhí)行下面命令：activate instance ntds表示要將域控制器的AD DS數(shù)據(jù)庫設(shè)置為使用中。 步驟 4 在ntdsutil：提示符下，執(zhí)行下面命令：files；在file maintenance：提示符下執(zhí)行下面命令：info它可以檢查AD DS數(shù)據(jù)庫與事務(wù)日志當(dāng)前的存儲位置，由圖10-12下方可知道它們目前都位于C:

27、WindowsNTDS文件夾內(nèi)。圖10-12 AD DS數(shù)據(jù)庫所在文件夾：C:WindowsNTDS文件夾 步驟 5 在file maintenance：提示符下，執(zhí)行下面命令，以便將數(shù)據(jù)庫文件移動到C:NewNTDS：move db to C:NewNTDS；在file maintenance：提示符下，執(zhí)行下面命令，以便將事務(wù)日志文件也移動到C:NewNTDS：MOVE LOGS TO c:NewNTDS。 步驟6 在file maintenance：提示符下，執(zhí)行下面命令，以便執(zhí)行數(shù)據(jù)庫的完整性檢查：integrity。在file maintenance：提示符下執(zhí)行下面命令：quit。

28、若完整性檢查成功的話，可跳到步驟13 ，否則請繼續(xù)下面的步驟。 步驟 7 在ntdsutil：提示符下執(zhí)行下面命令進(jìn)行數(shù)據(jù)庫語法分析（圖10-13）：semantic database analysis 步驟 8 在semantic checker：提示符下執(zhí)行下面命令，以便啟用詳細(xì)信息模式：verbose on。在semantk checker：提示符下執(zhí)行下面命令，以便執(zhí)行語義數(shù)據(jù)庫分析工作：Go fixup。圖10-13 AD DS數(shù)據(jù)庫所在文件夾：C:WindowsNTDS文件夾 步驟 9 在semantic checker：提示符下執(zhí)行下面命令：quit若語義數(shù)據(jù)庫分析沒有錯誤，可跳

29、到步驟13 ，否則繼續(xù)下面的步驟。 步驟 10 在ntdsutil：提示符下執(zhí)行下面命令（參考圖10-33）：Files。 步驟11在file maintenance：提示符下執(zhí)行下面命令，以便修復(fù)數(shù)據(jù)庫：recover。 步驟12在fde maintenance：提示符下執(zhí)行下面命令：quit。 步驟 13在ntdsutil：提示符下執(zhí)行下面命令：quit。 步驟14回到命令提示符下執(zhí)行下面命令，以便重新啟動AD DS服務(wù)：net start ntds10.3.5 任務(wù)任務(wù)5 重組重組AD DS數(shù)據(jù)庫數(shù)據(jù)庫AD DS數(shù)據(jù)庫的重組操作（defragmentation）會將數(shù)據(jù)庫內(nèi)的數(shù)據(jù)排列得更

30、整齊，讓數(shù)據(jù)的讀取速度更快，可以提高AD DS的工作效率。AD DS數(shù)據(jù)庫的重組如下。在線重組：每一臺域控制器會每隔12小時自動執(zhí)行所謂的垃圾收集程序（garbage collection process），它會重組AD DS數(shù)據(jù)庫。在線重組無法減少AD DS數(shù)據(jù)庫文件（ntds.dit）的大小，而只是將數(shù)據(jù)有效率地重新整理、排列。由于此時AD DS還在工作中，因此這個重組操作被稱為在線重組。另外，我們曾經(jīng)說過一個被刪除的對象并不會立刻被從AD DS數(shù)據(jù)庫內(nèi)刪除，而是被移動到一個名為Deleted Objects的容器內(nèi)，這個對象在180天以后才會被自動清除，而這個清除操作也是由垃圾收集程序所

31、負(fù)責(zé)的。雖然對象已被清除，不過騰出的空間并不會還給操作系統(tǒng)，也就是數(shù)據(jù)庫文件的大小并不會減少。當(dāng)您建立新對象時，該對象就會使用騰出的可用空間。脫機重組：脫機重組必須在AD DS服務(wù)停止或目錄服務(wù)還原模式中手動進(jìn)行，脫機重組會建立一個全新的、整齊的數(shù)據(jù)庫文件，并會將已刪除的對象所占用空間還給操作系統(tǒng)，因此可以騰出可用的硬盤空間給操作系統(tǒng)或其他應(yīng)用程序來使用。下面將介紹如何來執(zhí)行脫機重組的步驟請確認(rèn)當(dāng)前存儲AD DS數(shù)據(jù)庫的磁盤內(nèi)有足夠可用空間來存儲脫機重組所需的緩存，請至少保留數(shù)據(jù)庫文件大小的15%可用空間。還有重組后的新文件的存儲位置，也需保留至少與原數(shù)據(jù)庫文件大小的可用空間。下面假設(shè)原數(shù)據(jù)庫

32、文件位于C:WindowsNTDS文件夾，而我們要將重組后的新文件存儲到C:NTDSTemp文件夾。步驟1打開Windows PowerShell窗口。執(zhí)行net stop ntds命令，輸入Y后單擊ENTER鍵來停止AD DS服務(wù)（它也會將其他相關(guān)服務(wù)停止）。步驟2在命令提示符下執(zhí)行下面命令：ntdsutil；在ntdsutil：提示符下執(zhí)行下面命令：activate instance ntds，表示要將域控制器的AD DS數(shù)據(jù)庫設(shè)置為使用中；在ntdsutil:提示符下執(zhí)行下面命令：files；在file maintenance：提示符下執(zhí)行下面命令：info，它可以檢查AD DS數(shù)據(jù)庫與

33、事務(wù)日志當(dāng)前的存儲位置，默認(rèn)都位于C:WindowsNTDS文件夾內(nèi)。步驟3在file maintenance：提示符下，如圖10-14所示執(zhí)行下面命令，以便重組數(shù)據(jù)庫文件，并將所產(chǎn)生的新數(shù)據(jù)庫文件放到C:NTDSTTemp文件夾內(nèi)（新文件的名稱還是ntds.dit）：compact to C：NTDSTemp。圖10-14 AD DS數(shù)據(jù)庫所在文件夾：C:WindowsNTDS文件夾 步驟 4 暫時不要離開ntdsutil程序，打開文件資源管理器后執(zhí)行下面幾個步驟： 將原數(shù)據(jù)庫文件C：WindowsNTDSntds.dit備份起來，以備不時之需。 將重組后的新數(shù)據(jù)庫文件C:NTDSTempn

34、tds.dit復(fù)制到C:WindowsNTDS文件夾，并覆蓋原數(shù)據(jù)庫文件。 將原事務(wù)日志C:WindowsNTDS*.log刪除。這3項內(nèi)容可以在命令提示符命令提示符下完成（參考圖10-15所示）,PWindows PowerShell窗口仍保持：Mkdir C:NTDSbackup /創(chuàng)建備份用的文件夾Copy c:windowsNTDSntds.dit C:ntdsbackupntds.dit /備份NTDS數(shù)據(jù)庫文件Copy C:NTDSTempntds.dit C:WindowsNTDSntds.dit/重組數(shù)據(jù)庫Del C:WindowsNTDS*.log/刪除日志文件圖10-15 在命令提示符下運行DOS命令 步驟 5 回到Windows PowerShell窗口，繼續(xù)在ntdsutil程序的frle maintenance：提示符下，執(zhí)行下面命令，以便執(zhí)行數(shù)據(jù)庫的完整性檢查：integrity，由，由Integrity check successful可知完整性檢查成功。步驟 6在file maintenance：提示符下執(zhí)行