AD實施：域管理手冊

2017-03-27

7473

深圳市海格物流股份有限公司操作主機與AD DB管理文檔編號：版本：編寫：最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達運維服務(wù)部 2015年09月22日深圳市索信

深圳市海格物流股份有限公司

操作主機與AD DB管理

文檔編號：

版本：編寫：

最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達運維服務(wù)部 2015年09月22日

深圳市索信達實業(yè)有限公司

解決方案︱Solution

第一章

(一)

(二)

(三)

第二章

(一)

(二)

(三)

(四)

(五)

管理域中的操作主機角色 . .......................................................................................... 3 操作主機介紹 . .......................................................................................................... 3 角色遷移 . .................................................................................................................. 4 角色搶奪 . .................................................................................................................. 5 管理活動目錄數(shù)據(jù)庫 . .................................................................................................. 7 活動目錄數(shù)據(jù)庫介紹 . .............................................................................................. 7 活動目錄數(shù)據(jù)庫的移動 . .......................................................................................... 8 活動目錄數(shù)據(jù)庫的壓縮 . ........................................................................................ 10 活動目錄數(shù)據(jù)庫的備份和還原 . ............................................................................ 12 活動目錄回收站 . .................................................................................................... 12

2 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第一章管理域中的操作主機角色

(一) 操作主機介紹

Active Directory 支持域中所有域控制器之間的目錄數(shù)據(jù)存儲的多主機復(fù)制，因此域中的所有域控制器實質(zhì)上都是對等的。但是，某些更改不適合使用多主機復(fù)制執(zhí)行，因此對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。操作主機可以保證一致性并消除AD DS數(shù)據(jù)庫中出現(xiàn)沖突的項目的可能性。

AD DS 中的五個操作主機角色分別是：架構(gòu)主機（Schema Master ）、域命名主機（Domain Naming Master）、RID 主機（RID Master）、PDC 仿真器（PDC Emulator）、基礎(chǔ)結(jié)構(gòu)主機（Infrastructure Master）架構(gòu)主機和域命名主機是林范圍角色，即每個林只有一臺架構(gòu)主機和一臺域命名主機。RID 主機、PDC 仿真器、基礎(chǔ)結(jié)構(gòu)主機是域范圍角色，這3種操作主機角色在林中的每個域中分別只有一個。當(dāng)在林中安裝AD DS并創(chuàng)建第一臺域控制器時，它會擁有所有5個角色，類似地，在向林中添加域時，每個新域中的第一臺域控制器也會獲得每域的操作主機角色。

架構(gòu)主機（Schema Master）

宿主架構(gòu)主機角色的域控制器負(fù)責(zé)對林的架構(gòu)進行更新和修改，其他域控制器則只包含架構(gòu)的只讀副本。要更新或修改林的架構(gòu)，您必須具備訪問架構(gòu)主機的權(quán)限。如果做出架構(gòu)改變后，架構(gòu)更新就會復(fù)制到林中的所有其他域控制器。在整個林中，架構(gòu)主機是唯一的，只能有一個架構(gòu)主機。

域命名主機（Domain Naming Master）

域命名主機主要用于為林中添加或刪除域時使用，負(fù)責(zé)確保域名的唯一性。如果域命名主機不可用，則無法向林中添加域或從林中刪除域。在整個林中，架構(gòu)主機是唯一的，只能有一個架構(gòu)主機。

RID 主機（RID Master）

RID 主機將相對標(biāo)識符(RID) 分配給域中每個不同的域控制器，每個域只有一個RID 操作主機角色，用于管理RID 池，從而在整個域范圍內(nèi)創(chuàng)建的新的安全主體，如：用戶、組和計算機。每個安全主體都有一個唯一SID 。RID 主機用于保證域控制器生產(chǎn)的SID 是唯一的。RID 主機把一些相對標(biāo)識符(RID)(稱為RID 池) 頒發(fā)給域中的每臺域控制器。當(dāng)任何

3 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

域控制器上的RID 池中的可用RID 的數(shù)量較少時(小于100) ，就會從RID 主機請求一些RID 。每次收到這樣的請求，RID 主機都會向域控制器再頒發(fā)大約500個RID 的RID 池。

PDC 仿真器（PDC Emulator）

PDC 仿真器負(fù)責(zé)執(zhí)行很多與域有關(guān)的關(guān)鍵功能，主要有：為Windows 2000提供支持、維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內(nèi)時間同步、維護網(wǎng)絡(luò)中主機列表。

基礎(chǔ)結(jié)構(gòu)主機（Infrastructure Master）

基礎(chǔ)結(jié)構(gòu)主機負(fù)責(zé)更新域之間的組-用戶引用。這個操作主機角色確保對象名稱的改變(常用名稱屬性的更改cn) 反映在位于不同域中的組成員身份信息中?；A(chǔ)結(jié)構(gòu)主機維護這些引用的最新列表，然后將這個信息復(fù)制給域中所有域控制器。如果基礎(chǔ)結(jié)構(gòu)主機不可用，域之間的組-用戶引用就會過時。

(二) 角色遷移

當(dāng)部署多臺DC 分擔(dān)操作主機角色時，可以通過以下命令實現(xiàn)操作主機角色的遷移。以PDC 主機角色遷移為例：

1、查詢當(dāng)前操作主機角色所在的DC

4 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

2、打開CMD 窗口，依次輸入命令：

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務(wù)器ad2.hg.local

3、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機角色轉(zhuǎn)移至域控制器ad2.hg.local 上

(三) 角色搶奪

當(dāng)擁有某操作主機角色的DC 宕機時，可以通過以下命令實現(xiàn)操作主機角色的搶奪。以PDC 主機角色搶奪為例：

1、打開CMD 窗口，依次輸入命令：

5 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務(wù)器ad2.hg.local

2、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機角色轉(zhuǎn)移至域控制器ad2.hg.local 上

6 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第二章管理活動目錄數(shù)據(jù)庫

(一) 活動目錄數(shù)據(jù)庫介紹

活動目錄數(shù)據(jù)庫默認(rèn)存儲路徑為：C:WindowsNTDS

其中包含文件分別為：

? edb.chk ：檢查點文件。edb.chk 文件存儲數(shù)據(jù)庫的檢查點，這些檢查點標(biāo)識數(shù)據(jù)庫引

擎需要重復(fù)播放日志的點，通常在恢復(fù)或初始化時。

? edbxxxxx.log ：事務(wù)日志文件。edb.log 是日志文件，對數(shù)據(jù)庫進行更改后，將該更

改寫入到edb.log 文件中。當(dāng)edb.log 文件充滿事務(wù)之后，會被重新命名為edbxxxxx.log ，日志文件從edb00001開始，并使用十六進制數(shù)累加。由于Active Directory 使用循環(huán)記錄，所以在舊日志文件寫入數(shù)據(jù)庫之后，這些舊日志文件會及時刪除。在任何時刻都可以找到edb.log 文件，而且還可能有一個或多個edbxxxxx.log 文件。

? edbresxxxx.jrs ：這些文件是保留的日志文件僅當(dāng)含有日志文件的磁盤空間不足時使

用。如果當(dāng)前的日志文件填滿了且由于磁盤剩余空間不足服務(wù)器不能創(chuàng)建新的日志文件，服務(wù)器會將當(dāng)前記憶體中的活動目錄處理記錄到兩個保留日志文件中然后關(guān)閉活動目錄。每一個日志文件也是10MB 大小

? edbtmp.log ：該日志是當(dāng)當(dāng)前日志文件（Edb.log ）填滿時的暫時日志。一個

edbtmp.log 的新文件被創(chuàng)建來記錄處理，同時edb.log 文件被重命名為下一個以往日志文件，然后edbtmp.log 文件會被重名為edb.log 。

? ntds.dit ：數(shù)據(jù)庫文件。ntds.dit 會隨著數(shù)據(jù)庫的填充而不斷增大。但是，日志的大

小卻是固定的10 MB