项目环境:
1.1. 西安凌云系统高科技有限公司组建了一个单域;域名为“angeldevil.com”。公司有两个DC分别来负责公司的运营,其中一个是备份的DC,那么我们如何在不同的DC上来实现林之间的转换和域于域之间的转换呢?
1.2. 西安领域系统高科技有限公司组建了一个单域网络,有一天网络管理员不小心把两个OU删除了,但是相对了一个OU很重要,管理员怎么样才能把公司的OU恢复呢?
项目标准:
一、理解操作主机的概念;
二、理解授权还原和非授权还原的概念;
三、掌握基本操作主机的配置;
四、掌握授权还原和非授权还原的配置;
项目步骤:
一、理解操作主机的概念;
1.1.0. 我们都了解知道可以在一个域中可以添加多个子域也可以添加辅助域控制器,这样就可以实现我们在一个域中有多个域控制器,当然这些域控制器是对等的。所以我们为了保证活动目录数据库的一致性需要来执行操作。虽然一般的复制是多主机复制,但某些是更改不了适合多个主机复制执行。正是在这种情况下我们来引出了操作主机的概念;通过操作主机来更改一些达不到的东西。既然我们现在知道了“操作主机”是干什么的。那么在活动目录中,操作主机有几种角色呢?
1.2.0. 操作主机的角色有五种角色,但是我们可以分为“林范围内的操作主机”和“域范围内的操作主机”。他们分别有什么分别有什么功能呢?在林范围的操作主机有“架构主机”和“域命名主机”;在域范围内的操作主机有:“PDC仿真主机”、“RID主机”、“基础架构主机”;在实验的步骤中我们来具体的了解各个操作主机的功能。
二、理解授权还原和非授权还原的基本概念;
2.1.0. 作为一个合格的网络管理员我们知道想维护好相同的活动目录数据库,实现网络的可靠性,那么我们就需要我们定期的备份和还原数据库,因为在操作活动目录时,管理员有可能因为不小心进行了一些无意的操作,像不小心删除了某个OU或者一些机密性的文件夹,而要想还原自己不小心删除的文件或者是一些机密性文件,那么作为管理员备份时不可缺少的;而通过备份的文件那么我们就可以轻而易举的找回来我们因为不小心删掉的文件了;但是在还原中我们会牵扯到连个概念;“授权还原”和“非授权还原”;
2.2.0. 非授权还原:可以恢复活动目录到它备份的状态。
授权还原是:可以恢复活动目录指定的对象。在实验中我们慢慢来了解。要了解这些要了解这些还原方式的工作原理,首先要了解“备份”实用程序是如何备份分布式服务数据的。备份
域控制器
上的系统状态数据时,就是备份此服务器(同其他系统组件一起,如
SYSVOL
目录和
注册表
)上存在的所有 Active Directory 数据。要将这些分布式服务还原到该服务器,则必须还原系统状态数据。而系统中域控制器的数量和配置将决定您选择的还原方式。
在我们配置操作主机之前我们已经创建好了两个DC,一个是主域控制器而另一个是辅助的域控制器,域名为“angeldevil.com”。当然我们在这里不会把创建DC不进行详细的讲解了。架构主机的作用是控制整个林架构的全部更新;而且在整个林中,只能有一个架构主机。
(1)、配置架构主机,
3.1.0. 在开始运行中输入“mmc”然后就会弹出如下图所示的界面:说明架构主机已经被注册成功了,因为在默认情况下架构主机是隐藏的。转移架构主机角色需要注意两点, 此帐户必须是active directory中schema admins组的成员或者必须被委派了适当的权限;要想在控制台中添加active directory架构单元,需要运行“regsvr 32 schmmgjt.dll”。需要被激活才能看到:
3.1.1. 当成功激活后就会在下面的控制台的界面中出现“Active Directory架构”,如果当你打开如图的控制台的界面的时候,那么可能就是没有激活“架构主机”。
3.1.2. 当然我们可以在添加的架构之中我们看见架构的类别和属性;我们可以在当前的窗口之中从弹出的快捷菜单中选择“新建主机”命令就会出现如图的界面:我们可以看到当前架构主机的状态和架构主机的名称所在的DC;
3.1.3. 我们可以选择更改域控制器来连接到指定的域控制器:如图所示:
3.1.4. 如图是我们更改后的架构主机:
(2)、配置域命名主机:
3.2.0. 配置域命名主机的作用是:可以防止林中的域名重复。在整个的林中只能有一个域命名主机。查看域命名主机是在域的“信任关系”里面来查看的;在运行windows service 2003的域中的域控制器都但当域名主机;如图所示:
3.2.1. 我们还是可以选择“连接到域控制器”到指定的域名,当然我们在这里还可以选择
他的一些选项;如图所示:
3.2.2. 配置完上面的配置我们可以在操作主机中来查看当前操作主机所在的“域控制器“如图所示:
在域中的三种主机的查看以及一些详细信息:
3.3.0. RID主机的作用是将相对的ID序列分配给域中的每一个域控制器。当然每一个域只能有一个RID主机;当我们在域控制器上创建用户、组或计算机对象时,它就给对象指派一个唯一的安全的ID。当然它是包括一个域“SID”和一个“RID”。当然查看它的方法是:在“用户和计算机的工具”中右击域名显示“操作主机”,然后就会显示“操作主机”的一些相信信息。在这里我们可以分别看到域中的三种“操作主机”。
3.3.1. 配置PDC仿真主机的主要作用是管理客户端的密码更改;最小化密码变化的复制等待时间;当然PDC仿真主机还负责同步真个域所有域控制器上的时间。查看它的方法还是和上面的查看的方法一样所以我们在这里我们就不详细的讲解了:
3.3.2.创建基础结构的时候我们首先要知道基础架构的作用是什么?基础架构主机是负责更新从它所在的对象到其他的域中对象的引用。以及负责它的嵌套,当然在域中只能有一个基础架构主机。当然架构主机是将其数据与全局编录的数据进行比较,那么什么是全局编录呢?全局编录其实我们可以简单的理解为一个数据库,当然全局编录是通过复制操作主机接受所有域中的对象的定期更新的,因此才能让全局编录始终来保持更新的界面。
3.3.3.转移操作主机(我们在这里直接以RID来做演示)。
打开“active directory 用户和计算机”管理单元,选择“连接到域控制器”,选择想要连接的另一个域控制的名称。如图所示:
3.3.4.在配置完上面的界面之后我们就会看到如图所示的界面:
3.3.5. 通过命令行来转移操作主机::(我们以转移RID主机角色来演示)。当然我们在创建操作主机的时候有时我们称为FSMO;如图是我们通过命令行来进行转换的:
三、配置授权还原和非授权还原;
3.3.1. 如图是我们已经创建的两个组织单位(OU);分别是“angeldevil”和“project”假设我们同时删除“angeldevil”和“project”但是因为我们工作的需要我们只需要来还原“angeldevil”,那么我们来看看我们具体是怎么来做的:
3.3.2. 在命令行下面我们来输入“ntbackup”选择“高级”,然后选择“备份系统卷”选择“备份”如图所示是备份的界面:
3.3.3.如图是备份完的界面:
3.3.4.假设我们现在来删除两个OU“angeldevil”和“project”然后我们来通过备份来还原OU“angeldevil”,我们重启计算机,然后选择F8进入还原的界面:然后选择“目录还原模式”;
3.3.5.进入目录还原的界面,找到我们备份的文件然后选择还原已备份的文件当然我们在还原的时候选择位置的时候我们应该选择“原位置”;当然“授权还原”是建立在“非授权还原”的基础上的,所以我们在还原完“非授权还原”然后我们在来完成“授权还原”;如图是“非授权还原”的界面:
3.3.6.当我们在完成“非授权还原”的时候;是否重启的时候我们选择“否”,因为我们在做“授权还原”的时候是在还原的界面下进行的所以我们在这里不选择“重启”;具体如图所示:
3.3.7.完成上面的步骤我们在命令行的模式下输入“ntdsutil”选择“是”,然后单击下一步,然后就会如图所示的界面:
3.3.8.单击确定以后我们在下面的界面来配置具体怎么来还原所要恢复的“OU”,当完成授权还原的配置之后重启计算机;当然我们还可以还原多个“OU”,具体如图所示:
3.3.9.如图是我们通过“授权还原”来完成的“angeldevil”
本文转自devilangel 51CTO博客,原文链接:http://blog.51cto.com/devliangel/159904,如需转载请自行联系原作者
