以下是小编为大家整理的Windows网络服务架构系列课程详解(八) 操作主机与活动目录数据库维护,本文共4篇,欢迎阅读与收藏。
篇1:Windows网络服务架构系列课程详解(八) 操作主机与活动目录数据库维护
实验背景:
在一个大型企业中,为了更好地管理企业内部的人力、物力资源可以通过部署基于活动目录的多区域方案,比如说创建子域或者域树,不过这只是将所有的域控制器组织在一起集中进行层次化的管理而已,而每台域控制器的可靠性又怎样保证呢?这就需要添加附加的域控制器,搭建过辅助域控制器的朋友都知道,这些域名相同的域控制器的地位是平等的,并不像DNS和辅DNS一样有主次之分。随之而来,会产生一些问题:为了保证活动目录数据库(NTDS.DIT)的一致性需要执行复制操作。一般的复制是多主机复制,但某些更改不适合使用多主机复制执行,因此需要又称为“操作主机”的域控制器接受此类更改的请求。而在更过的时候考虑到“操作主机”的可靠性和安全性,因此需要将“操作主机”转移到性能高的域控制器上。
还有,更多的时候,我们需要对活动目录的数据库进行备份和还原,这样才能保证域控制器的安全可靠性。
实验目的:
1、认识林中5种操作主机的角色
2、使用图形界面或者命令转移5种操作主机角色
3、实战活动目录数据库的维护(备份和还原(非授权和授权))
实验网络拓扑:
实验步骤
1. 操作主机的安全使用
在每个林中有5种操作主机角色,在林范围内的操作主机角色有架构主机和域命名主机。而且在每个林中这些角色都必须是唯一的。
在域(主DC和附加DC)范围内的操作主机角色有主域控制器仿真主机(PDC Emulator)、相当ID(RID)主机、基础结构主机。在每个域中这些角色都必须是唯一的。
1.1、架构主机(Schema Master)
架构主机控制整个林的架构的全部更新,比如说两个windows server 版本不一样,可以通过架构主机作修改。在整个林中,只能有一个架构主机。
架构管理工具默认是不安装的,可以在“运行”中输入“regsvr32 shcmmgmt.dll”命令进行添加,运行之后,出现“schmmgmt.dll中的DLLRegisterServer成功”说明添加成功。然后,在运行里输入“mmc /a”打开控制台,添加“Active Directory 架构”即可,最后保存该文件为架构.msc,否则下次还需要添加。
注意:执行次过程的账户必须是Active Directory中的Schema Admins组的成员,或者必须被委派了适当的权限。
下面是“Active Directory 架构”的界面,包括“类别”和“属性”两个选项卡。
通过右键单击“Active Directory 架构”的“操作主机”选项可以查看当前域控制器的角色,有两种显示的结果:如果操作主机是自己,则显示的是同一台主机,如果要更改成其它架构主机,则需要更改域控制器为需要更改成架构主机的域控制器(为林中的任意一台域控制器);如果操作主机是其它域控制器,则可以将架构主机更改为自己,也可以通过更改域控制器更改为其它域控制器做操作主机。
1.2、域命名主机(Domain Naming Master)
域命名主机控制林中域的添加和删除,可以防止林中的域的域名重复。在整个林中只能有一台域命名主机。
注意:
1、任何运行windows server 2003的域控制器都可以担当域明明主机这一角色。如果运行windows server 的域控制器担当域命名主机角色,则必须启用为全局编录服务器。
2、执行次过程的用户必须是Active Directory中Domain Admins组或Enterprise Admins组的成员,或者必须被委派了适当的权限。
打开域命名主机的方法是在“Activer Directory域和信任关系”中右击“Active Directory域和信任关系”选择“操作主机”即可,更改“域命名主机”的方法与更改“架构主机”的方法类似。这里不再重复。
1.3、PDC仿真主机
PDC仿真主机作为混合模式域中的Windows NT PDC(主域控制器)。林中的每个域中只能有一台PDC仿真主机。
PDC仿真主机的主要作用有:
1)、管理来自客户端(Windows NT/95/98)的密码更改
2)、最小化密码变化的复制等待时间。PDC仿真主机接受域中其它域控制器执行的密码更改的首选复制。如果密码最近被更改,则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登陆身份验证由于密码错误而在另一个域控制器中执行失败,则该域控制器将在拒绝登陆尝试前将身份验证请求转发给PDC模拟器
3)、在默认情况下,PDC仿真主机还负责同步整个域内所有域控制器上的时间
打开“Active Directory用户和计算机”右击域控制器,然后选择“操作主机”即可打开RID,PDC和结构三个操作主机角色。
注意:5种操作主机的方法基本一样,只是应用的位置不一样罢了。
1.4、RID主机
RID主机将相当ID(RID)序列分配给域中每个域控制器。林中的每个域中只能有一个RID主机,
每次当域控制器创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个“域”SID(它域域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。
主意:操作主机角色有时称为Flexible Single Master Operatiors(FSMO)角色。
转移5种操作主机除了使用图形界面进行修改之外,还可以在命令提示符下进行
具体命令如下:将RID主机转移到主机:DSAF-UN4R0YSZRP.beijing.com上
如果要转移其它主机的角色,可以通过在fsmo maintenance ?或者fsmo maintenance help进行查看。
Transfer PDC 转移PDC仿真主机
Transfer RID master 转移RID主机
Transfer schema master 转移架构主机
Transfer infrastructure master转移基础结构主机
Transfer domain naming master 转移域命名主机
主意:这两种转移操作主机的前提是相关DC始终联机,没有数据损失。
1.5、基础结构主机
基础结构主机负责更新从它所在的域中的对象到其它域中对象的引用。每个域中只能有一台基础机构主机。
基础机构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持最新。如果基础机构主机发现数据已过时,则它会从全局编录请求更新的数据,然后,基础机构主机再将这些更新的数据复制到域中的其它域控制器。
打开“基础机构主机”的方法和打开“RID”以及“PDC”的方法一样,转移基础机构主机的方法也和他们类似。
2. 占用操作主机角色
以上介绍的转移操作主机角色的前提条件使当前的操作主机联机,假设存在这样一种情况,公司内部充当5种操作主机中的一种或多种的一台域控制器出了故障,并且无法恢复,如何将这台域控制器上充当的操作主机转移到其它域控制器上呢?比如说林中充当架构主机和域命名主机出现故障了,如果将其转移到林中其它域控制器上;比如说域中某台充当PDC、RID或基础架构主机出现故障了,又如何将其转移到域中的其它域控制器上呢?
当操作主机出现故障就会出现如下图示:
这个必须通过命名行进行恢复。如下图所示:架构主机出现故障的转移情况,将架构主机转移到主机:BENET-ACDVDV599.beijing.com上
注意:由于操作主机角色所在的DC出故障,因此占用操作主机角色可能会有数据损失。
3. 活动目录数据库维护
在一个域种有多个DC,维护相同的活动目录数据库可以实现一定的可靠性。但是,为了让活动目录做到万无一失,还需要定期备份活动目录数据库。因此在操作活动目录时,管理员可能误操作,如删除了某个部门的OU,而这种删除会很快复制到其它DC,要想还原被删除的OU,只能通过事先备份的文件;更严重的就是活动目录的损坏,更需要使用事先备份的文件作还原。
3.1、非授权还原和授权还原的准备工作
活动目录的还原方式有两种:一种是最常见的非授权还原,可以恢复活动目录到它备份时的状态。执行非授权还原有两种情况:1、如果域种只有一台域控制器,在备份之后的任何修改都将丢失。 2、如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态,也就是说备份后添加的和删除的都保持不变。还有一种就是授权还原,需要在使用非授权还原后使用命令进行还原,主要还原备份之后误操作删除的一个或多个OU。
注意:默认情况下,在域控制器上删除的活动目录对象,会以墓碑的形式保留60天,在此期间执行还原是可以恢复该对象的。如果超过了此限制,则会永久性删除该对象。
首选,在一台DC上创建一个OU名为“测试OU”做测试用。
然后,在运行里输入“ntbackup”打开windows自带的备份还原工具,然后选择“高级选项”即出现下面的界面,选择备份“System State”并将备份文档保持到某一位置即可。
备份的内容为:
注册表(Registry)
COM+类注册数据库(COM+ Class Registration Database)
启动文件(Boot Files)
活动目录(Active Directory)
系统卷(SYSVOL)
注意:前三项是工作组中默认的三项
备份完之后,再新建一个OU名为“备份后建立的OU”做测试用,再删除刚才创建的“测试OU”
3.2、执行非授权还原和授权还原
重启DC,在显示启动菜单时按F8键,选择“目录服务还原模式”并在登陆处输入还原的账号和密码(此帐户和密码在搭建域环境的时候创建)
再次在运行中使用ntbackup命名打开备份和还原工具选择上次创建的还原点,进行非授权还原
还原之后,可以看到刚才创建的“备份后建立的OU”存在,而“测试OU“不存在了,如何将其恢复呢,这就需要使用授权还原。
执行完非授权还原之后,输入以下命令即可:
注意:“ou=测试OU,dc=Beijing,dc=com”是活动目录对象的标识名,代表beijing.com域中的名为“测试OU”的OU。
还原完成之后,重新启动DC,可以查看到刚才删除的“测试OU”已恢复。
出处:dreamfire.blog.51cto.com/418026/145448
篇2:活动目录系列之九:操作主机
今天我们讨论一下有关操作主机的问题,在域环境里,我们不得不考虑活动目录的复制问题,我们知 道大多数DC之间的复制是一种多主复制的机制。而有一些特定的操作必须采用单主机复制,而复制的源就 是操作主机。当然操作主机也是DC,无非有着特殊的功能而矣。
(一)操作主机的角色:
Forest-wide roles:存在于根域DC中
1.Schema master 架构主机
2.Domain naming master域命名主机
Domain-wide roles:每个域中DC会拥有这三种角色
3.PDC emulator PDC仿真主机
4.RID master RID主机
5.Infrastructure master 基础结构主机
(二)操作主机的查看:
架构主机的查看:先运行regsrv32 schmmgmt.dll 后,利用MMC 添加“AD架构”后在根上右击选“操作主机”即可看到。
域命名主机的查 看:打开domain.msc后,在根上右击选“操作主机”即可看到。
域唯一的三种操作主 机的查看:右击“AD用户和计算机”,右击域DD操作主机,可以看到有三个操作主机。
或用命令查看:netdom query fsmo (事先安装支持工具)
(三)操作主机的作用:
1.架构主机:负责森林架构的删除和修改,如何定义AD数据库。比如部属Exchange时需要进行森 林扩展,其实就是对森林的架构进行修改,这个操作必须要能联系上架构主机。
操作权限的用户 必须是schema admins组的成员。
2.域命名主机:如果要新建一个域,由它来检测是否重名。
功能:控制森林内域的添加和删除;添加和删除对外部目录的交叉引用对象。
建议和GC配 置在一台主机上。
操作权限:Enterprise Admins组
3.PDC Emulator:
默认情况 下森林中的GC和每个子域的第一台DC都是PDC Emulator。
功能:
a.模拟Windows NT PDC
b.默认的域主浏览器,如网上邻居的列表。
c.默认的域内权威的时间服务源
d. 统一管理域帐号密码更新、验证及锁定
e.组策略存放地(默认)
4.RID master:
功能:管理域中对象相对标识符(RID)池。
一般RID主机会一次分给域内不同的DC各500个RID号 ,当每个DC用到80%时会向RID主机提出申请。
5. Infrastructure master:
功能:负责对 跨域对象引用进行更新。
比如本地域组中有一个其它域的用户,当这个用户被删除后,由基础结 构主机负责更新这个组的内容,并将其复制到同一个域内的其他DC,
这个更新操作由基础结构主机通过查 询GC来完成。故在多域情况下不能把二者放在一台机器上。否则Infrastructure master不起作用。
单域情况下不需要工作,而在多域情况下不能和GC在一起。
(四)操作主机的布局原则:
考虑和GC的冲突、性能-----所以要更改主机。
a.基础结构主机与GC不放在一起(多域下 )
b.域命名主机与GC放在一起:如果林功能级别是win2000模式,二者必须在一起,如果是2003模 式,可以分开。
c.架构主机与域命名主机可放在一起
e.PDC模拟主机建议单独放置
注意:
**一般建议:架构主机、域命名主机、GC可以考虑放在一起。
**PDC单独存放。
(五)操作主机角色的转移和占用(图形方式和命令方式)
根据上述的分析,我们有两种 情况需要对操作主机的角色进行更改,一种情况就是为了性能或与GC的冲突考虑,在这种情况下我们要对 操作主机进行转移。第二种情况就是原来操作主机的角色的DC发生的故障,此时我们考虑进行强夺。下面 是当操作主机出现问题时的行为考虑:
a. 当网络中的schema master/domain naming master/RID 三种角色如果存在有故障,则由其它DC来强夺,但如果前者再恢复好,也不要再联机,最好格式化硬盘。
b. 当网络中的PDC、基础结构主机这两种角色出现故障,可以由其它DC强夺,不过当前者恢复好 后,发现角色已被占用,会自动失效,不过可以再转移过来。
具体的操作:
1. 转移:前 提是相应的操作主机的角色在线。
比如转移PDC主机
a. 利用图形方式:
打开PDC这 台DC的dsa.msc,在域上右击--连接到域控制器(选择欲成为PDC角色的DC)如图所示:
再次右击该域--选择操 作主机--找到PDC,如下图所示:
单击更改,即完成的 操作主机的转移工作。至于其它操作主机的转移工作类似操作。不再赘述。
b. 利用命令方式:我 们把操作主机再从n2转到n1,如下操作:
单击“是 ”,即完成的操作主机的转移工作。如上图中如果选择seize...即是强夺操作。其它操作主机的角 色的更改,就不用说了吧。
2. 占用:联系不上相应的操作主机时。(尽可能用命令方式,具体要 求操作如上图所示,无非选择seize行即可。此处略了吧~~~)
(六)建议:
上面五种操作 操作,如果PDC操作主机出问题,要马上解决或进行强夺,架构主机和域命名主机出问题,可以暂不解决 ,先进行原有主机的修复,实在修复不了,再考虑强夺。RID主机出现问题,在域环境相对稳定的情况下 也没有大的影响,也可以先对原有主机进行修复,实现修复不了,再考虑强夺。在单域情况下,不用考虑 基础结构主机。多域下如果坏了,强夺吧。
终于写完了,希望这篇文档能对各位有所帮助。
节目欲告:活动目录系列之十:活动目录的维护
篇3:Windows网络服务架构系列课程详解(七) windows域环境多区域间访问
实验背景:
一个企业如果没有分公司,在单域环境下是可以实现大部分的用户需求的;但是,当公司的规模越来越多,在多个地区都建立了自己的分公司,用户账户和各种资源比较多,不同的分总司对用户的要求不一样(比如说密码策略,访问权限的设置等等),大量的活动目录给管理造成了一定的麻烦,域之间的复制负担过重等等,而公司又需要统一管理,这在单域环境下是很难完成的,维护起来也是相当的困难,因此,多域环境便应运而生,大型企业通过多个区域管理企业内部的用户和资源,而各个区域之间又存在上下级之间的关系,相当于总公司和分公司之间的关系,这样更有利于层次规划管理,从而提高了企业整体办公效率。总公司和分公司之间通过建立树根信任或者父子信任关系,进行单向或者双向的网络资源互访,不同两个公司之间可以通过建立外不信任或者林信任进行单向或者双向的网络资源互访,最终实现多个企业之间的网络互连和资源共享。
实验目的:
1、理解区域之间的上下级关系
2、掌握林、域树和子域的部署过程
3、掌握林中的信任关系(父子信任和树根信任)
4、掌握林之间的信任关系(外部信任和林信任)
5、掌握AGDLP规则,并利用其规则进行区域间资源的访问
实验环境:
本实验搭建了两个独立的林(两家独立的公司),其中一个林(企业—1)里建有一棵域树(也称之为一个林),通过根域和子域构成;根域和子域之间通过父子信任进行互访;另一个林(企业—2)里建有两棵域树(也称之为一个林),域树之间通过树根信任进行互访;另外两个林(企业—1与企业—2)之间通过外部信任或林信任进行互访。
实验网络拓扑:
实验步骤
1. 准备实验环境,并创建林、子域和域树。
1.1、首先,将Srv 1和Srv3分别升级为域控制器,升级过程中选择“新林中的域”,做为两个企业的根域,并将Srv 2加入到Srv 1域中,Srv 4加入到Srv 3中,加入域之后,在各自的根域DNS中会默认添加相应的主机记录。如下图Srv 1中DNS的记录
1.2、添加用户xiaonuo和danuo分别到域beijing.com和guangzhou.com中,并将它们都加入各自的Enterprise Admins组中,通过这两个用户分别对各自的林的修改进行管理,也避免了管理员密码的多次使用造成泄露。在根域中存在两个全局安全组,分别为Enterprise Admins和Schema Admins,其他域是没有的。(以beijing.com为例)
Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构,比如说Windows server R2和Windows server 2003 SP1的架构信息默认就不相同,如果SP1为根域,那么R2是不能够新建一个独立的域树的,原因是架构信息不一样造成的。
1.3、在Srv 2上创建现有域树beijing.com中的一个子域
Srv 1上已经创建好了域根,也称之为一棵域树,也可以称之为一个林。向域树中添加的新域叫做子域(xiaonuo.beijing.com),名称是由子域本身的名称和父域域名结合而成的DNS名,子域上层的域是父域(beijing.com)。
在beijing.com存在且在线的情况下,在Srv 2上运行“dcpromo”选择“在现有域树中的子域”即可
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者xiaonuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入父域(beijing.com),然后输入添加子域的NETBIOS名称(xiaonuo),最终形成的域名为xiaonuo.beijing.com(域名必须符合DNS的命名规则)
输入域的NetBIOS名称,默认为域名的最前部分,到这一步的时候,安装向导会在同一网段检查是否有重名,如果有重名,会在默认NetBIOS后面加上1,也可以更改成其它NetBIOS名称,客户端在登陆域的时候,只显示域的NetBIOS名称;客户端在加入域的时候,如果没有填写DNS,输入NetBIOS名称是可以加入到域的,使用的是NetBIOS协议,不过,前提是加入域的用户必须和域在同一个网段。
配置完成之后,可以通过下一步进行域信息的复查,如果配置错误,可以单击“上一步”继续配置。确定无误之后,向导便开始安装域环境,首先会从以前加入的域(beijing.com)中脱离出来,然后,创建新的域。DNS中也会将此用户的记录删除。
1.4、在Srv 4上创建现有的林guangzhou.com中的域树tianjing.com
假如您不想使新域成为现有域的子域,想拥有属于自己的一个域名,可以建立一个与现有树分开的、新的域树,它和域根之间通过建立树根信任进行互相通信,单个域树(只有一台DC)或多棵域树构成一个林。
键入网络凭据,键入具有beijing.com域的管理权限的账户和密码(administrator或者danuo,也就是该账户必须是Enterprise Admins或者Domain Admins成员)
输入与guangzhou.com不同的域名,此域名没有父域和子域之间的关系,只要符合DNS的域名命名标准就可以,输入完成之后,开始检查tianjing.com的NetBIOS名称tianjing是否在同一网段中使用,如果没有,默认域的NetBIOS名就为tianjing。
创建子域和创建域树的一个重要区别就是,子域是通过父域的DNS进行名称解析的,而另外一棵域树是通过自己搭建的DNS进行名称解析的,当然,子域也可以搭建自己的DNS,一般在公司里,子域用于一些部门,而域树用于一些分公司,管理的范围大小不同。所以,子域是没有必要搭建一 立的DNS,而域树需要搭建一 立的DNS服务器进行本域树以及所有子域的名称解析。
本实验搭建如果出现一下问题,说明您的两台域控制器版本不一样,比如说windows server 2003 SP1和windows server 2003 R2之间由于版本不一样,所以搭建的域架构信息也不一样。
2. 林中的信任关系
2.1、查看林中的信任关系
林中的信任关系默认在安装域控制器时自动创建,父域和子域之间形成父子信任,如beijing.com和xiaonuo.beijing.com之间的信任;域树和域树之间形成树根信任,如guangzhou.coom和tianjing.com之间的信任。
林中信任关系的特点是自动创建;而且可以传递信任,也就是说域A直接信任域B,域B直接信任域C,那么域A直接信任域C;还可以双向信任,两个域之间可以互相信任,处于平等地位,
打开“Active Directory 域和信任关系”右击域的属性,可以查看域在林中的信任关系
2.2、使用ADGLP规则实现林中跨域访问
林中的所有域之间的信任关系时自动创建的,而且时双向的和棵传递的信任关系,这会不会造成林中的任何账户都能轻易访问其他域的资源呢?答案是否定的。信任关系的建立仅仅只为跨域访问资源提供了前提条件,但是要成功访问资源还必须设置要访问文件夹的共享和安全权限。
AGDLP规则:首先将具有相同访问权限的用户加入的全局组,然后,将所有具有相同性质的全局组加入到一个本地域组,然后给本地域组赋予权限即可。
现在存在这样一个环境,域beijing.com全局组quanjuzu里的一个用户ceshi想访问域xiaonuo.beijing.com中的共享资源。
首先,在域bingjing.com上创建一个用户ceshi,然后创建一个全局组quanjuzu,将ceshi加入到quanjuzu中,而实际应用中,quanjuzu中应该有多个具有同样性质的用户,然后,在子域xiaonuo.beijing.com上创建一个本地域组bendiyuzu,并将域beijing.com中全局组quanjuzu加入到子域xiaonuo.beijing.com中的本地域组bendiyuzu中。
注意:加入的时候,需要修改查找位置,将当前位置改为beijing.com
然后在子域xiaonuo.beijing.com上新建一个文件夹,命名为ceshi,并设置其共享权限为bendiyuzu读取,NSFS权限为bendiyuzu读取和运行,最终的权限为两者的叠加,即为读取权限。
然后在加入域beijing.com的机器上使用用户ceshi登陆到域beijing.com上,通过UNC路径访问域xiaonuo.beijing.com上的共享文件。
注意:上面只是其中的一种访问方法,另外一种是可以到加入域xiaonuo.beijing.com的机器上登陆到域beijing.com,然后进行共享资源的访问。
3. 林之间的信任之一:外部信任
外部信任是指在不同林的域之间创建的不可传递的信任,外部信任在windows 混合模式、windows 2000 纯模式或者windows 2003上都可以做。
假如现在有这样一个环境,域bejing.com里的用户ceshi想访问guangzhou.com中资源,而域guangzhou.com中的用户不能够访问域beijing.com中资源。
3.1、配置各自根域DNS的转发器指向对方的DNS上。
要使两个根域的计算机互相解析出对方的DNS域名,需要将各自在DNS上配置“转发器”,互相指向对方。例如,下面是将Srv 1上DNS的“转发器”指向Srv 3的DNS上。
注意:配置完成之后,一定要在各自的DNS服务器上解析一些对方的域名,看是否能够解析成功。
打开域beijing.com的属性窗口,并选择“新建信任”
输入将要信任或者被信任的域guangzhou.com
选择“单向:内传”也就是说这个域bejing.com中的用户可以到域guangzhou.com中得到身份验证。
由于信任关系是在两个域之间建立的,如果在域beijing.com建立一个“单向:内传”信任,则需要在域guangzhou.com上必须建立一个“单向:外传”信任。如下图所示,选择第二项,可以在对方域中自动创建一个“单向:外传”的信任。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以。只要是Enterprise admins组中用户都可以。
联系到域guangzhou.com之后,便显示了信任的基本设置,确认无误之后,选择“下一步”建立信任关系。
在这一步的时候,一定要选择“是,确定传入信任”,否则,刚做的操作都实现不了了。
创建完成之后,可以通过打开“Active Directory”在beijing.com或者guangzhou.com的属性选项卡上进行查看,然后以利用AGDLP规则进行测试。
注意:如果两个林域根建立的外部信任之后,林中的每个域都可以和另外一个林中其中的一个域建立信任关系,这个叫快捷信任。
4. 林之间的信任之一:外部信任
4.1、搭建林信任之间的必须条件
林信任是windows server 2003林特有的信任,是windows server 2003林根域之间建立的信任。在两个windows server 2003林之间创建林信任棵为任一林内的各个域之间提供一种单向或双向的可传递信任关系。它的传递性区别于外部信任。
林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业Extranet以及寻求管理自治解决方案的公司。
创建林信任和创建外部信任类似,不同的是创建林信任之前要升级为林功能级别为windows server 2003,这是创建林信任的前提条件。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003
打开“Active Directory 域和信任关系”,将所有的域提升为windows 2000纯模式。
提升完域控制器之后,右击“Active Directory 域和信任关系”,选择“提升林功能级别”,然后提升为windows server 2003,注意,如果域控制器没有提升为windows 2000 纯模式或者windows 2003,那么提升域功能级别就会报一个警告。
4.2、创建林信任
打开域bejing.com的属性,选择“信任”,然后选择“新建信任”输入被信任或者将要信任的域guangzhou.com
然后,选择“林信任”
创建一个双向信任,也可以创建单向(内传,外传)信任,根据具体情况而定。
选择第二项,域guangzhou.com上同时创建双向的林信任关系。
接下来键入指定域guangzhou.com中具有管理权限的账户名称和密码,输入用户administrator和danuo都可以,前提必须是Enterprise admins组中用户。
选择“全林性身份验证”,windows 将自动对指定林(guangzhou.com)的所有用户使用本地林(beijing.com)的所有资源进行身份验证。
建立好林信任之后,可以通过在“Active Directory 域和信任关系”选择域beijing.com或者域guangzhou.com进行查看,从下图可以看出,林信任是具有传递性的。
出处:dreamfire.blog.51cto.com/418026/144361
篇4:活动目录系列之十:活动目录数据库的维护
今天我们来学习活动目录数据库的维护,各位都知道,在%systemroot%\ntds\下面有一个ntds.dit的 文件,这个文件就是我们的AD数据库,但在这个目录下,还存在一些其它文件,试问这些是做什么的呢? 再者,如果我的AD数据库出问题了,怎么来修复呢?还有,能不能把AD数据库移动位置呢?怎么对AD数据 库进行优化呢?带着这些问题,我们来看今天的课程!
(一)活动目录数据的修改过程:(具体修改过程如下图所示)
在C:\windows\ntds\(如果系统装在C盘)目录下有几个文件,数据库ntds.dit,日志文件edb.log, 这个文件最大是10M,当不够时会生成 edb00001.log等文件,当创建或删除用户时会写入此文件,(其实 首先写出缓存)然后再写入edb.log和ntds.dit,并把该操作记入 edb.chk文件,当C盘空间不够时,系统 会删除res1.log和res2.log两个文件,这样又有了20M空间可用。
(二)AD数据库的优化:
1.移动AD数据库(进入AD的恢复模式,开机F8,选目录还原模式)
应用场合:当C盘空间不够了,可以实现。
ntdsutil
files
info 查看当前数据库等信息存放的情况。
move db to d:\ 该操作适宜场合:原来C盘的空间不够了,或为了提高性能,把数据库和日志文件 分开存放。
只移动的是:ntds.dit和edb.chk
move log to d:\ 这是移动日志文件,一般情况下可把日志文件和DB分开存放。
2.压缩AD数据库
有两种压缩方式:一种是在线整理(由DC自动完成),一种是离线整理(手动进行)
a.在线整理:DC会每隔12小时自动运行所谓的“垃圾收集程序”来整理AD库,它只是将资 料有效率的重新整理、排列。不会减小空间。此时AD在线。
b.离线整理:在目录还原模式内手动进行,会压缩空间,AD离线。
操作方式:进入目录还原模式后,
运行ntdsutil
file
compact to d:\temp 压缩后的文件一般会变小,文件名还是ntds.dit
然后手动复制到原来的位置,你会发现数据库变小了,而且AD的性能会变好。
Integrity 检查AD数据库文件是否有损坏,
(三)AD数据库备份和还原:
1.备份:对于AD的备份,不能单独备份,可以通过备份“系统状态”来实现。
操作:运行ntbackup,高级模式,备份,系统状态,然后选择备份位置和文件名即可,大约需要10几 分钟左右时间,要看你AD的大小了。
2.还原:(只能还原60内的备份数据)分主还原、正常还原、授权还原。
a.主还原:AD和操作系统都坏掉了。
操作:当域内所有的DC都坏掉了,可以在第一台DC上进行主还原,然后再在其它DC上依次进行标准还 原(正常还原),这样其它DC会从第一台DC上的数据来同步。
**主还原和正常还原一样,只不过在进行还原时,单击高级后,选择“当还原复制的数据集时, 将还原的数据作为所有副本的主要数据”一项,即可结束。
b.正常还原:AD坏但操作系统好(F8进入目录恢复还原模式,运行ntbackup,还原,选择备份文件还 原即可)不用演示了吧~~~~
c.授权还原:一般对某个用户的删除进行恢复。
如果有多个DC,之间进行多主控复制,但当你删除了一个对象,想还原之,其它DC的AD中还会有这个 用户。但如果你使用正常还原,即原来备份的AD数据库来还原的话,由于原备份的对象的ID号肯定会比现 存的小,所以即使你还原了,过一段时间又会消失了,怎么办呢?最好采用这里的授权还原。它可以把还 原的对象的ID号每隔一天增加10万次。
具体操作如下:(还原AD后,不要重启,运行ntdsutil,进行相应的操作,如下所示:)
ntdsutil
authoritative restore
restore object cn=bob,cn=users,dc=nwtraders,dc=com 如果删除的是bob这个用户。
Restore subtree u=sails,dc=hp,dc=com 针对hp.com内的sails的OU实施强制性还原。
Restore database 授权还原整个数据库
注:你要注意,你所删除的用户或OU必须在备份文件中!!!
授权还原后,进入正常模式,运行 Repadmin /showmeta. cn=test,cn=users,dc=hp,dc=com 可以 查看版本号的变化情况。
结束语:有关AD的维护就讲完了,各位还有什么问题吗?在企业环境里,记得要经常做AD备份,最后 做备份计划!别到时你的DC崩了,想哭都没地方哭去~~~~
文档为doc格式