AD實(shí)施：域管理手冊(cè)

2017-03-27

7473

深圳市海格物流股份有限公司操作主機(jī)與AD DB管理文檔編號(hào)：版本：編寫：最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達(dá)運(yùn)維服務(wù)部 2015年09月22日深圳市索信

深圳市海格物流股份有限公司

操作主機(jī)與AD DB管理

文檔編號(hào)：

版本：編寫：

最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達(dá)運(yùn)維服務(wù)部 2015年09月22日

深圳市索信達(dá)實(shí)業(yè)有限公司

解決方案︱Solution

第一章

(一)

(二)

(三)

第二章

(一)

(二)

(三)

(四)

(五)

管理域中的操作主機(jī)角色 . .......................................................................................... 3 操作主機(jī)介紹 . .......................................................................................................... 3 角色遷移 . .................................................................................................................. 4 角色搶奪 . .................................................................................................................. 5 管理活動(dòng)目錄數(shù)據(jù)庫 . .................................................................................................. 7 活動(dòng)目錄數(shù)據(jù)庫介紹 . .............................................................................................. 7 活動(dòng)目錄數(shù)據(jù)庫的移動(dòng) . .......................................................................................... 8 活動(dòng)目錄數(shù)據(jù)庫的壓縮 . ........................................................................................ 10 活動(dòng)目錄數(shù)據(jù)庫的備份和還原 . ............................................................................ 12 活動(dòng)目錄回收站 . .................................................................................................... 12

2 / 14

深圳市索信達(dá)實(shí)業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第一章管理域中的操作主機(jī)角色

(一) 操作主機(jī)介紹

Active Directory 支持域中所有域控制器之間的目錄數(shù)據(jù)存儲(chǔ)的多主機(jī)復(fù)制，因此域中的所有域控制器實(shí)質(zhì)上都是對(duì)等的。但是，某些更改不適合使用多主機(jī)復(fù)制執(zhí)行，因此對(duì)于每一個(gè)此類更改，都有一個(gè)稱為“操作主機(jī)”的域控制器接收此類更改的請(qǐng)求。操作主機(jī)可以保證一致性并消除AD DS數(shù)據(jù)庫中出現(xiàn)沖突的項(xiàng)目的可能性。

AD DS 中的五個(gè)操作主機(jī)角色分別是：架構(gòu)主機(jī)（Schema Master ）、域命名主機(jī)（Domain Naming Master）、RID 主機(jī)（RID Master）、PDC 仿真器（PDC Emulator）、基礎(chǔ)結(jié)構(gòu)主機(jī)（Infrastructure Master）架構(gòu)主機(jī)和域命名主機(jī)是林范圍角色，即每個(gè)林只有一臺(tái)架構(gòu)主機(jī)和一臺(tái)域命名主機(jī)。RID 主機(jī)、PDC 仿真器、基礎(chǔ)結(jié)構(gòu)主機(jī)是域范圍角色，這3種操作主機(jī)角色在林中的每個(gè)域中分別只有一個(gè)。當(dāng)在林中安裝AD DS并創(chuàng)建第一臺(tái)域控制器時(shí)，它會(huì)擁有所有5個(gè)角色，類似地，在向林中添加域時(shí)，每個(gè)新域中的第一臺(tái)域控制器也會(huì)獲得每域的操作主機(jī)角色。

架構(gòu)主機(jī)（Schema Master）

宿主架構(gòu)主機(jī)角色的域控制器負(fù)責(zé)對(duì)林的架構(gòu)進(jìn)行更新和修改，其他域控制器則只包含架構(gòu)的只讀副本。要更新或修改林的架構(gòu)，您必須具備訪問架構(gòu)主機(jī)的權(quán)限。如果做出架構(gòu)改變后，架構(gòu)更新就會(huì)復(fù)制到林中的所有其他域控制器。在整個(gè)林中，架構(gòu)主機(jī)是唯一的，只能有一個(gè)架構(gòu)主機(jī)。

域命名主機(jī)（Domain Naming Master）

域命名主機(jī)主要用于為林中添加或刪除域時(shí)使用，負(fù)責(zé)確保域名的唯一性。如果域命名主機(jī)不可用，則無法向林中添加域或從林中刪除域。在整個(gè)林中，架構(gòu)主機(jī)是唯一的，只能有一個(gè)架構(gòu)主機(jī)。

RID 主機(jī)（RID Master）

RID 主機(jī)將相對(duì)標(biāo)識(shí)符(RID) 分配給域中每個(gè)不同的域控制器，每個(gè)域只有一個(gè)RID 操作主機(jī)角色，用于管理RID 池，從而在整個(gè)域范圍內(nèi)創(chuàng)建的新的安全主體，如：用戶、組和計(jì)算機(jī)。每個(gè)安全主體都有一個(gè)唯一SID 。RID 主機(jī)用于保證域控制器生產(chǎn)的SID 是唯一的。RID 主機(jī)把一些相對(duì)標(biāo)識(shí)符(RID)(稱為RID 池) 頒發(fā)給域中的每臺(tái)域控制器。當(dāng)任何

3 / 14

深圳市索信達(dá)實(shí)業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

域控制器上的RID 池中的可用RID 的數(shù)量較少時(shí)(小于100) ，就會(huì)從RID 主機(jī)請(qǐng)求一些RID 。每次收到這樣的請(qǐng)求，RID 主機(jī)都會(huì)向域控制器再頒發(fā)大約500個(gè)RID 的RID 池。

PDC 仿真器（PDC Emulator）

PDC 仿真器負(fù)責(zé)執(zhí)行很多與域有關(guān)的關(guān)鍵功能，主要有：為Windows 2000提供支持、維護(hù)密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內(nèi)時(shí)間同步、維護(hù)網(wǎng)絡(luò)中主機(jī)列表。

基礎(chǔ)結(jié)構(gòu)主機(jī)（Infrastructure Master）

基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新域之間的組-用戶引用。這個(gè)操作主機(jī)角色確保對(duì)象名稱的改變(常用名稱屬性的更改cn) 反映在位于不同域中的組成員身份信息中。基礎(chǔ)結(jié)構(gòu)主機(jī)維護(hù)這些引用的最新列表，然后將這個(gè)信息復(fù)制給域中所有域控制器。如果基礎(chǔ)結(jié)構(gòu)主機(jī)不可用，域之間的組-用戶引用就會(huì)過時(shí)。

(二) 角色遷移

當(dāng)部署多臺(tái)DC 分擔(dān)操作主機(jī)角色時(shí)，可以通過以下命令實(shí)現(xiàn)操作主機(jī)角色的遷移。以PDC 主機(jī)角色遷移為例：

1、查詢當(dāng)前操作主機(jī)角色所在的DC

4 / 14

深圳市索信達(dá)實(shí)業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

2、打開CMD 窗口，依次輸入命令：

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務(wù)器ad2.hg.local

3、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機(jī)角色轉(zhuǎn)移至域控制器ad2.hg.local 上

(三) 角色搶奪

當(dāng)擁有某操作主機(jī)角色的DC 宕機(jī)時(shí)，可以通過以下命令實(shí)現(xiàn)操作主機(jī)角色的搶奪。以PDC 主機(jī)角色搶奪為例：

1、打開CMD 窗口，依次輸入命令：

5 / 14

深圳市索信達(dá)實(shí)業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務(wù)器ad2.hg.local

2、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機(jī)角色轉(zhuǎn)移至域控制器ad2.hg.local 上

6 / 14

深圳市索信達(dá)實(shí)業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第二章管理活動(dòng)目錄數(shù)據(jù)庫

(一) 活動(dòng)目錄數(shù)據(jù)庫介紹

活動(dòng)目錄數(shù)據(jù)庫默認(rèn)存儲(chǔ)路徑為：C:WindowsNTDS

其中包含文件分別為：

? edb.chk ：檢查點(diǎn)文件。edb.chk 文件存儲(chǔ)數(shù)據(jù)庫的檢查點(diǎn)，這些檢查點(diǎn)標(biāo)識(shí)數(shù)據(jù)庫引

擎需要重復(fù)播放日志的點(diǎn)，通常在恢復(fù)或初始化時(shí)。

? edbxxxxx.log ：事務(wù)日志文件。edb.log 是日志文件，對(duì)數(shù)據(jù)庫進(jìn)行更改后，將該更

改寫入到edb.log 文件中。當(dāng)edb.log 文件充滿事務(wù)之后，會(huì)被重新命名為edbxxxxx.log ，日志文件從edb00001開始，并使用十六進(jìn)制數(shù)累加。由于Active Directory 使用循環(huán)記錄，所以在舊日志文件寫入數(shù)據(jù)庫之后，這些舊日志文件會(huì)及時(shí)刪除。在任何時(shí)刻都可以找到edb.log 文件，而且還可能有一個(gè)或多個(gè)edbxxxxx.log 文件。

? edbresxxxx.jrs ：這些文件是保留的日志文件僅當(dāng)含有日志文件的磁盤空間不足時(shí)使

用。如果當(dāng)前的日志文件填滿了且由于磁盤剩余空間不足服務(wù)器不能創(chuàng)建新的日志文件，服務(wù)器會(huì)將當(dāng)前記憶體中的活動(dòng)目錄處理記錄到兩個(gè)保留日志文件中然后關(guān)閉活動(dòng)目錄。每一個(gè)日志文件也是10MB 大小

? edbtmp.log ：該日志是當(dāng)當(dāng)前日志文件（Edb.log ）填滿時(shí)的暫時(shí)日志。一個(gè)

edbtmp.log 的新文件被創(chuàng)建來記錄處理，同時(shí)edb.log 文件被重命名為下一個(gè)以往日志文件，然后edbtmp.log 文件會(huì)被重名為edb.log 。

? ntds.dit ：數(shù)據(jù)庫文件。ntds.dit 會(huì)隨著數(shù)據(jù)庫的填充而不斷增大。但是，日志的大

小卻是固定的10 MB