Windows 网络服务架构系列课程详解()
---------操作主机与活动目录数据库维护
实验背景:
在一个大型企业中,为了更好地管理企业内部的人力、物力资源可以通过部署基于活动目录的多区域方案,比如说创建子域或者域树。不过这只是将所有的域控制器组织在一起集中进行层次化的管理而已,而每台域控制器的可靠性又怎样保证呢?这就需要添加附加的域控制器,搭建过辅助域控制器的朋友都知道,这些域名相同的域控制器的地位是平等的,并不像DNS和辅DNS一样有主次之分。随之而来,会产生一些问题:为了保证活动目录数据库(NTDS.DIT)的一致性需要执行复制操作。一般的复制是多主机复制,但某些更改不适合使用多主机复制执行,因此需要又称为“操作主机”的域控制器接受此类更改的请求。而在更过的时候考虑到“操作主机”的可靠性和安全性,因此需要将“操作主机”转移到性能高的域控制器上。
还有,更多的时候,我们需要对活动目录的数据库进行备份和还原,这样才能保证域控制器的安全可靠性。
实验目的:
1、 认识林中5种操作主机的角色
2、 使用图形界面或者命令转移5种操作主机角色
3、 实战活动目录数据库的维护(备份和还原(非授权和授权))
实验网络拓扑:
实验步骤
1. 操作主机的安全使用
在每个林中有5种操作主机角色,在林范围内的操作主机角色有架构主机和域命名主机。而且在每个林中这些角色都必须是唯一的。
在域(主DC和附加DC)范围内的操作主机角色有主域控制器仿真主机(PDC Emulator)、相当ID(RID)主机、基础结构主机。在每个域中这些角色都必须是唯一的。
1.1、 架构主机(Schema Master)
架构主机控制整个林的架构的全部更新,比如说两个windows server 2003版本不一样,可以通过架构主机作修改。在整个林中,只能有一个架构主机。
架构管理工具默认是不安装的,可以在“运行”中输入“regsvr32 shcmmgmt.dll”命令进行添加,运行之后,出现“schmmgmt.dll中的DLLRegisterServer成功”说明添加成功。然后,在运行里输入“mmc /a”打开控制台,添加“Active Directory 架构”即可,最后保存该文件为架构.msc,否则下次还需要添加。
注意:执行次过程的账户必须是Active Directory中的Schema Admins组的成员,或者必须被委派了适当的权限。
下面是“Active Directory 架构”的界面,包括“类别”和“属性”两个选项卡。
通过右键单击“Active Directory 架构”的“操作主机”选项可以查看当前域控制器的角色,有两种显示的结果:如果操作主机是自己,则显示的是同一台主机,如果要更改成其它架构主机,则需要更改域控制器为需要更改成架构主机的域控制器(为林中的任意一台域控制器);如果操作主机是其它域控制器,则可以将架构主机更改为自己,也可以通过更改域控制器更改为其它域控制器做操作主机。
1.2、 域命名主机(Domain Naming Master)
域命名主机控制林中域的添加和删除,可以防止林中的域的域名重复。在整个林中只能有一台域命名主机。
注意:
1、 任何运行windows server 2003的域控制器都可以担当域明明主机这一角色。如果运行windows 2000 server 的域控制器担当域命名主机角色,则必须启用为全局编录服务器。
2、 执行次过程的用户必须是Active Directory中Domain Admins组或Enterprise Admins组的成员,或者必须被委派了适当的权限。
打开域命名主机的方法是在“Activer Directory域和信任关系”中右击“Active Directory域和信任关系”选择“操作主机”即可,更改“域命名主机”的方法与更改“架构主机”的方法类似。这里不再重复。
1.3、 PDC仿真主机
PDC仿真主机作为混合模式域中的Windows NT PDC(主域控制器)。林中的每个域中只能有一台PDC仿真主机。
PDC仿真主机的主要作用有:
1)、管理来自客户端(Windows NT/95/98)的密码更改
2)、最小化密码变化的复制等待时间。PDC仿真主机接受域中其它域控制器执行的密码更改的首选复制。如果密码最近被更改,则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登陆身份验证由于密码错误而在另一个域控制器中执行失败,则该域控制器将在拒绝登陆尝试前将身份验证请求转发给PDC模拟器
3)、在默认情况下,PDC仿真主机还负责同步整个域内所有域控制器上的时间
打开“Active Directory用户和计算机”右击域控制器,然后选择“操作主机”即可打开RID,PDC和结构三个操作主机角色。
注意:5种操作主机的方法基本一样,只是应用的位置不一样罢了。
1.4、 RID主机
RID主机将相当ID(RID)序列分配给域中每个域控制器。林中的每个域中只能有一个RID主机。每次当域控制器创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个“域”SID(它域域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。
主意:操作主机角色有时称为Flexible Single Master Operatiors(FSMO)角色。
转移5种操作主机除了使用图形界面进行修改之外,还可以在命令提示符下进行
具体命令如下:将RID主机转移到主机:DSAF-UN4R0YSZRP.beijing.com上
如果要转移其它主机的角色,可以通过在fsmo maintenance ?或者fsmo maintenance help进行查看。
Transfer PDC 转移PDC仿真主机
Transfer RID master 转移RID主机
Transfer schema master 转移架构主机
Transfer infrastructure master转移基础结构主机
Transfer domain naming master 转移域命名主机
主意:这两种转移操作主机的前提是相关DC始终联机,没有数据损失。
1.5、 基础结构主机
基础结构主机负责更新从它所在的域中的对象到其它域中对象的引用。每个域中只能有一台基础机构主机。
基础机构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持最新。如果基础机构主机发现数据已过时,则它会从全局编录请求更新的数据,然后,基础机构主机再将这些更新的数据复制到域中的其它域控制器。
打开“基础机构主机”的方法和打开“RID”以及“PDC”的方法一样,转移基础机构主机的方法也和他们类似。
2. 占用操作主机角色
以上介绍的转移操作主机角色的前提条件使当前的操作主机联机,假设存在这样一种情况,公司内部充当5种操作主机中的一种或多种的一台域控制器出了故障,并且无法恢复,如何将这台域控制器上充当的操作主机转移到其它域控制器上呢?比如说林中充当架构主机和域命名主机出现故障了,如果将其转移到林中其它域控制器上;比如说域中某台充当PDC、RID或基础架构主机出现故障了,又如何将其转移到域中的其它域控制器上呢?
当操作主机出现故障就会出现如下图示:
这个必须通过命名行进行恢复。如下图所示:架构主机出现故障的转移情况,将架构主机转移到主机:BENET-ACDVDV599.beijing.com上
注意:由于操作主机角色所在的DC出故障,因此占用操作主机角色可能会有数据损失。
在一个域种有多个DC,维护相同的活动目录数据库可以实现一定的可靠性。但是,为了让活动目录做到万无一失,还需要定期备份活动目录数据库。因此在操作活动目录时,管理员可能误操作,如删除了某个部门的OU,而这种删除会很快复制到其它DC,要想还原被删除的OU,只能通过事先备份的文件;更严重的就是活动目录的损坏,更需要使用事先备份的文件作还原。
3.1、 非授权还原和授权还原的准备工作
活动目录的还原方式有两种:一种是最常见的非授权还原,可以恢复活动目录到它备份时的状态。执行非授权还原有两种情况:1、如果域种只有一台域控制器,在备份之后的任何修改都将丢失。 2、如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态,也就是说备份后添加的和删除的都保持不变。还有一种就是授权还原,需要在使用非授权还原后使用命令进行还原,主要还原备份之后误操作删除的一个或多个OU。
注意:默认情况下,在域控制器上删除的活动目录对象,会以墓碑的形式保留60天,在此期间执行还原是可以恢复该对象的。如果超过了此限制,则会永久性删除该对象。
首选,在一台DC上创建一个OU名为“测试OU”做测试用。
然后,在运行里输入“ntbackup”打开windows自带的备份还原工具,然后选择“高级选项”即出现下面的界面,选择备份“System State”并将备份文档保持到某一位置即可。
备份的内容为:
注册表(Registry)
COM+类注册数据库(COM+ Class Registration Database)
启动文件(Boot Files)
活动目录(Active Directory)
系统卷(SYSVOL)
注意:前三项是工作组中默认的三项
备份完之后,再新建一个OU名为“备份后建立的OU”做测试用,再删除刚才创建的“测试OU”
3.2、 执行非授权还原和授权还原
重启DC,在显示启动菜单时按F8键,选择“目录服务还原模式”并在登陆处输入还原的账号和密码(此帐户和密码在搭建域环境的时候创建)
再次在运行中使用ntbackup命名打开备份和还原工具选择上次创建的还原点,进行非授权还原
还原之后,可以看到刚才创建的“备份后建立的OU”存在,而“测试OU“不存在了,如何将其恢复呢,这就需要使用授权还原。
执行完非授权还原之后,输入以下命令即可:
注意:“ou=测试OU,dc=Beijing,dc=com”是活动目录对象的标识名,代表beijing.com域中的名为“测试OU”的OU。
还原完成之后,重新启动DC,可以查看到刚才删除的“测试OU”已恢复。
本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/145448,如需转载请自行联系原作者