AD實施：域管理手冊范本

1、市海格物流股份操作主機與AD DB管理市索信達實業(yè)文檔編號：SXD- HGWL-20150901-01版本：VERS ION 1.6編寫：索信達運維服務部最后修訂：2015年09月22日目錄第一章管理域中的操作主機角色3（一）操作主機介紹3（二）角色遷移4（三）角色搶奪5第二章管理活動目錄數(shù)據(jù)庫7（一）活動目錄數(shù)據(jù)庫介紹7（二）活動目錄數(shù)據(jù)庫的移動8（三）活動目錄數(shù)據(jù)庫的壓縮10（四）活動目錄數(shù)據(jù)庫的備份和還原11（五）活動目錄回收站11第一章管理域中的操作主機角色(一) 操作主機介紹Active Directory支持域中所有域控制器之間的目錄數(shù)據(jù)存儲的多主機復制，因此域 中的所有域控制器實

2、質(zhì)上都是對等的。但是，某些更改不適合使用多主機復制執(zhí)行，因此對 于每一個此類更改，都有一個稱為操作主機”的域控制器接收此類更改的請求。操作主機 可以保證一致性并消除AD DS數(shù)據(jù)庫中出現(xiàn)沖突的項目的可能性。AD DS中的五個操作主機角色分別是：架構(gòu)主機(Schema Master).域命名主機(Domain Naming Master). RID 主機(RID Master). PDC 仿真器(PDC Emulator).基礎結(jié)構(gòu)主機 (Infrastructure Master)架構(gòu)主機和域命名主機是林圍角色，即每個林只有一臺架構(gòu)主機和一臺域命名主機。RID 主機、PDC仿真器、基礎結(jié)構(gòu)主機

3、是域圍角色，這3種操作主機角色在林中的每個域中分別 只有一個。當在林中安裝AD DS并創(chuàng)建第一臺域控制器時，它會擁有所有5個角色，類似 地，在向林中添加域時，每個新域中的第一臺域控制器也會獲得每域的操作主機角色。架構(gòu)主機(Schema Master)宿主架構(gòu)主機角色的域控制器負責對林的架構(gòu)進行更新和修改，其他域控制器則只包含 架構(gòu)的只讀副本。要更新或修改林的架構(gòu)，您必須具備訪問架構(gòu)主機的權(quán)限。如果做出架構(gòu) 改變后，架構(gòu)更新就會復制到林中的所有其他域控制器。在整個林中，架構(gòu)主機是唯一的， 只能有一個架構(gòu)主機。域命名主機(Domain Naming Master)域命名主機主要用于為林中添加或刪除

4、域時使用，負責確保域名的唯一性。如果域命名 主機不可用，則無法向林中添加域或從林中刪除域。在整個林中，架構(gòu)主機是唯一的，只能 有一個架構(gòu)主機。RID 主機(RID Master)RID主機將相對標識符(RID)分配給域中每個不同的域控制器，每個域只有一個RID操 作主機角色，用于管理RID池，從而在整個域圍創(chuàng)建的新的安全主體，如：用戶、組和計算 機。每個安全主體都有一個唯一 SID。RID主機用于保證域控制器生產(chǎn)的SID是唯一的。RID 主機把一些相對標識符(RID)(稱為RID池)頒發(fā)紿域中的每臺域控制器。當任何域控制器上 的RID池中的可用RID的數(shù)量較少時(小于100),就會從RID主機

5、請求一些RID。每次收到 這樣的請求，RID主機都會向域控制器再頒發(fā)大約500個RID的RID池。PDC 仿真器(PDC Emulator)PDC仿真器負責執(zhí)行很多與域有關的關鍵功能，主要有：為Windows 2000提供支持、 維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域時間同步、維護網(wǎng)絡中主 機列表?；A結(jié)構(gòu)主機(Infrastructure Master)基礎結(jié)構(gòu)主機負責更新域之間的組-用戶引用。這個操作主機角色確保對象名稱的改變 (常用名稱屬性的更改cn)反映在位于不同域中的組成員身份信息中。基礎結(jié)構(gòu)主機維護這 些引用的最新列表，然后將這個信息復制給域中所有域控制器。如果

6、基礎結(jié)構(gòu)主機不可用， 域之間的組-用戶引用就會過時。(二) 角色遷移當部署多臺DC分擔操作主機角色時，可以通過以下命令實現(xiàn)操作主機角色的遷移。以PDC主機角色遷移為例：L查詢當前操作主機角色所在的DC2. 打開CMD窗口，依次輸入命令:連接到域控制服務器ad2. hg. local管理員：命令提示符-ntdsutil片讓旳“ Uindog版木 6.2.96HD1 2013 Micpoeof t Covpopat ion o 保留所有權(quán)利=C : Users Almini5traLntdsut ilitdsut11： rolesfsno naintenance: connectionsseiue

7、r connections : connect to server ad2. hg JLocal3、輸入quit退出connections程序，輸入命令transfer PDC將PDC主機角色轉(zhuǎn)移至域控 制器 ad2. hg. local 上管理員：命令提示符-ntdsutilXntdsut il： rolesfsno HAintennce： connectionsserver connections: connect to server a(2 .hg. Local !再走到adz. hg . local 電本登錄的用戶的憑證連接ad2.h(-localssewer connections:

8、 quitfsno nad?ConnectionsHelp QuitSeize SeizeSeize SeizeSeiseinfr-astiruc tuFe nastci* naraing nasterPDCRID nastei* schena nastepSelect ope ration tarsre t TransferTransfei*Transfer Tfansfek* Tran sf ei*infrastmenaster naning RasterPDCRID nas ter schena nastensno nainten 2013 Microsoft Corporation 0

9、 保留所有權(quán)利J： Usersdninistratovntdsutilitdsutil： rolessno naintenance: connectionsjeiuer connections: connect to server ad2.hg .local.2、輸入quit退出connections程序，輸入命令transfer PDC將PDC主機角色轉(zhuǎn)移至域控管理員：命令提示符-ntdsutilX制器 ad2. hg. local 上ntdsutil： rolesf smo niaiiitenance ； connectiunsserver connections： connect to

10、server a(|2|hq local；邦7?令| ad|2l hg. local 和本登棗的用戸笛憑證這接ad|2-hg. locale server connections： auit fsmo maintenance: ?Connections He Ip Quit Seie SJeix Seie Seise Seizeinfpastvucture mastev naming masterPDCHI 1) master schema masterSe lect oprat ion taiget Tpancfei* Tpancfei* Ti*ancei Tranofor Tranofor

11、infraetiuctuv maetei naming naeteiPDCRID nacter schcna nastor息A息單1令器器fa小器器器器 信一疋&皋夯分務4竄跨務務務務 DRr-Rr-Rr-R tmpEPRJERR 至幫-的肅的的占a的驛的 這到這到連已連連連的亠連連連連 示接示回已蓋已已已it仕已已已已 顯垃顯返在在選扌DCi-邑亠上上蓋正定走匕下又eno ncKXntonancc : ocizc PDC.第二章管理活動目錄數(shù)據(jù)庫（一）活動目錄數(shù)據(jù)庫介紹活動目錄數(shù)據(jù)庫默認存儲路徑為：C:WindowsNTDS T 咼卜 Windows NTDSv C | | S3TNTDLp

12、穴:小琴下競色 edb.chk2015/9/22 8:53殆的文倚片8KB S3edb.log2015/9/22 8:53文來文樽10,240 KB土雖近訪同世位言_ cdbrcsODODl Jrs2015/9/1 11:34JRS文件10.240 KBedbres00002.jr2015/9/1 11:4JRS文詐10,240 KBi ntds.dit2015/9/22 8; 53DIT文件20.496 KB_ temp.edb2015/9/22 8:53EDB文炸2,064 KB其中包含文件分別為: edb. chk:檢查點文件。edb. chk文件存儲數(shù)據(jù)庫的檢查點，這些檢查點標識數(shù)據(jù)庫

13、引 擎需要重復播放日志的點，通常在恢復或初始化時。 edbxxxxx. log:事務日志文件。edb. log是日志文件，對數(shù)據(jù)庫進行更改后，將該更改 寫入到edb. log文件中。當edb. log文件充滿事務之后,會被重新命名為edbxxxxx. log, 日志文件從edbOOOOl開始，并使用十六進制數(shù)累加。由于Active Directory使用循環(huán) 記錄，所以在舊日志文件寫入數(shù)據(jù)庫之后，這些舊日志文件會及時刪除。在任何時刻都 可以找到edb. log文件，而且還可能有一個或多個edbxxxxx. log文件。 edbresxxxx. jrs：這些文件是保留的日志文件僅當含有日志文件的

14、磁盤空間不足時使 用。如果當前的日志文件填滿了且由于磁盤剩余空間不足服務器不能創(chuàng)建新的日志文件, 服務器會將當前記憶體中的活動目錄處理記錄到兩個保留日志文件中然后關閉活動目 錄。每一個日志文件也是10MB大小 edbtmp. log:該日志是當當前日志文件（Edb. log）填滿時的暫時日志。一個edbtmp. log 的新文件被創(chuàng)建來記錄處理，同時edb. log文件被重命名為下一個以往日志文件，然后 edbtmp. log文件會被重名為edb. log。 ntds. dit:數(shù)據(jù)庫文件ntds.dit會隨著數(shù)據(jù)庫的填充而不斷増大。但是，日志的大小 卻是固定的10 MBo對數(shù)據(jù)庫進行的任何更

15、改都會被追加到當前的日志文件中，而且其 磁盤映像會不斷保持更新。 Temp, edb：這是個在數(shù)據(jù)庫維護時使用的暫時文件用于存儲當前進程中處理的信息。（二）活動目錄數(shù)據(jù)庫的移動當需要更改AD DB的存放路徑時，可通過如下操作實現(xiàn)AD DB的移動:1、停止目錄服務：net stop ntdsw頁J J J J .!IBii徑 寸 rxdr ? 733 一 扌丿丁 個etet壓ctet個天otct是etH 熬 s -i 這有 J MJ 志51.緲 DTD 回行 aN F。日2、依次輸入以下命令進入AD DB管理進程：Ntdsuitl -* activate instance ntds -* fil

16、es管理員：C:VVindowssystem32cmd.exe ntdsutil；z SU3ci*3Mldnini3trotorntd3ut il itdsut il： act ivnte instance ntds 舌動實例設直為SW。itdeutil： flieslie nainenance： r?Checkpo intChecksumCompact to Ns Dump paqc Nd Hecidei*HelpInfoI ntofi*it;y Lof ilc XsMetadataMove DB to zeMove logs to XsQuitRecoverSet backup exclu

17、s ion keySet default o Ider cecuiity3、移動AD DB及LOG到新的路徑C： WTDS Move DB to C：NTDSMove DB to C：NTDS管理員：C:Windowssystem32crnd.exe - ntdsuiil丄1匕 naliiteiiarice: move LOG to C:NTDSX 已成功更新備伏排除壩。_在丿人 C:UindousNTDS 拷貝 NTPS 安全性到 C:MTDS.驅(qū)動器信息;C： NTFS 機盤空白26.9 Gb)忌共錄錄 庫目目di 尊作9 數(shù)備工Lo:C：IDSntds.dit - 2M.1 Hb:C:N

18、IDSDSADATA.BfiKC:NTDS:C:NTDS 一 30.0 Mb total edbret00002.jrs 一 10-0 Mb edbresMMUHl.Jrs - 1M.W Mb edb. log 一 10-0 Mb4退出進程，并啟動目錄服務net start ntds管理員：C:Windowssystem32cmd.exeS路性信息:口錄錄F 庫目目dl g 暫工Lo:C:NTBSntds.dit - 2W.1 Mb:C:NrDSDSfiDftTn.BnKC:NTDS:C:W1DS - 3(J Mb total edbi,es00002. jrs - 10-0 Mb edhve

19、sARRfll. jrs - 1R.R Mb edb.lonet etavt ntdeletive Directory Doinain Services 月艮力正在啟動 letiue Directory Domain Services 原務己經(jīng)啟動成功。5、可以查看以上文件已經(jīng)移動到目錄C:NTDSNTDS大小紹 edb.chk2015/9/22 12:16恢岌的文件辭片8 K8支面i edb.log2015/9/22 12:16文不加10.240 KB,1 edbresOOOOIjrs2015/9/1 11:34JRS文件10.240 KBedbres00002.jrs.1 ntds.dit

20、2015/9/1 11:34JRS文件10,240 KB2015/9/22 117Dir文件20.496 KBtemp.edb2015/9/22 12:17EDB砂2Q54 KB（三）活動目錄數(shù)據(jù)庫的壓縮在活動目錄的使用過程中，AD DB會越來越大，必要的時候需要對AD DB進行壓縮:在線整理DC服務器每12小時自動進行 離線整理管理員手工壓縮AD數(shù)據(jù)庫1、使用命令net stop ntds停止目錄服務之后，依次輸入以下命令進入AD DB管理進 程：Ntdsui11activate instance ntds -* fi lesESB管理員：C:VVindowssystem32cmd.exe

21、ntdsutilJ: SU3ci*3 Mldmini3trotorntd3Ut xl1 tdsut il： net ivate instance ntds 舌功實例設査為ntd. -。itdeut11： f ilec：xlc naintcnancc-音F碼頁J J J J .!出 iiK & pt 寸Vetet壓 “et個天otCt足etDSs -i J;這有：以志剌輅二nV 示B行D醸一尙怎常D日回行aN壬 顯也遞執(zhí)尋佶迅。日?Chee kio in tCheckeun Compact to 如 Dump payc XdHectdet*HelpInfoI ntoji*it;y Logfile

22、 XsMetadataMove DB to ZeMove 丄09s to WQuitRecoverSet backup exc lus; ion keySet; default 0Ider cecm*it;y2、輸入命令將AD DB壓縮到指定目錄Compact to C:NEWsi管理員：C:Windowssystem32cmd.exe - ntdsutil心瀘-轉(zhuǎn)儲數(shù)據(jù)庫空間茨用情況file maintenance：! compact to C：NEV王在啟電徉片整理 :原數(shù)據(jù)庫：C:MTDSntdc.dit自標藪扌居庫：C：NEWiitcU.ditDefragmentation Status 010203840506070 S0 90100S-1H。 的塾心 1嶄 行先理其立如碎 你。行到 役g滾壓如b你需要執(zhí)行下列操作：復制 MC: NEWntd?. dit11 MC: NTDS ntds . dit 癇除舊的日志文件二v.=del C： xNTDSx*. logfile maintenance:(3. 將指定目錄C：NEW下文件ntds.dit移動到AD DB路徑，并替換原文件ntds.dit后,啟動AD域目錄服務N