AD ---- 活動目錄的平常管理操做(3)

大綱:管理SYSVOL文件夾管理時間服務管理長期離線的DC 維護SYSVOL:什麼是SYSVOL 對SYSVOL的平常維護任務:位置規劃日誌監控-文件複製服務日誌性能監視對SYSVOL的特殊維護操做 SYSVOL的很是規維護:移動SYSVOL 爲Staging Area分配額外的空間還原/重建SYSVOL 移動SYSVOL:什麼時候須要移動SYSVOL 如何移動SYSVOL

經過開始--運行--輸入c:\WINNT按肯定後就能夠看到一個SYSVOL文件夾--雙擊SYSVOL文件後就能夠看到一個共享的sysvol文件夾--雙擊共享sysvol文件夾後就能夠看到當前域的域名--雙擊這個域後就能夠看到一個Policies文件夾一個共享的scripts(腳本)文件夾--雙擊Policies文件後就能夠看到兩條默認的策略一條是域安全策略一條是域控制器安全策略相對應的數字和字母是這條策略的GUID名若是在Nwtraders.Msft(域名)這個文件夾裏面新建一個文本文件也會出如今domain這個文件夾裏面

在命令提示符裏面輸入dcdiag /test:replication按回車鍵來測試檢查複製的狀態看它的複製是否能正常啓動和運行在命令提示符裏面輸入dcdiag /test:netlogons按回車鍵來測試netlogon的一個權限看這臺DC是否可以進行相關的複製當這兩個測試都完成了之後證實這臺DC是可以進行復制的

在命令提示符裏面輸入net stop ntfrs按回車鍵中止frs服務由於frs服務(文件複製服務)在運行的過程當中可能會致使這些信息因爲被鎖定而沒法進行調整我在D盤裏面新建一個叫作SYSVOL的文件夾而後把WINNT裏面的SYSVOL文件夾裏面全部的文件複製--粘貼到D盤裏面的SYSVOL文件夾裏面注意:SYSVOL文件夾不要備份到C盤把它放到其餘盤裏面經過開始--運行--輸入regedit按肯定來打開註冊表編輯器找到註冊表編輯器下面那個路徑--雙擊SysVol這個鍵值它記錄了SYSVOL文件夾所定義的位置我把它從新定義到D盤裏面的SYSVOL文件夾裏面在數值數據裏面改爲D:\SYSVOL\sysvol 按肯定經過開始--運行--輸入adsiedit.msc按肯定找到CN=NTFRS這一項對着CN=Domain System Volume右鍵--選擇屬性在Select which properties to view 那一項選擇Mandatory 在Select a property to view那一項選擇fRSStagingPath 在Edit Attribute 那一項輸入D:\SYSVOL\staging\domain 按Set 按肯定就ok了

首先要安裝windows server 2000Resource kit工具包才能使用linkd這個命令在命令提示符裏面輸入cd winnt按回車鍵輸入cd sysvol按回車鍵輸入cd staging areas按回車鍵輸入dir按回車鍵能夠看到一項<JUNCTION> Nwtraders.Msft 它表示是一個掛接點我如今把這個掛接點從新掛接到目標輸入linkd Nwtraders.Msft d:\sysvol\staging\domain按回車鍵後這個掛接點就掛接到新的指向位置了經過開始--運行--輸入adsiedit.msc按肯定打開它找到CN=Domain System Volume 右鍵--選擇屬性在Select which properties to view 那一項選擇Mandatory 在Select a property to view那一項選擇fRSRootPath 在Edit Attribute 那一項輸入D:\sysvol\domain 按Set 按肯定那麼這個值就會更新到數據庫裏面了

在命令提示符裏面輸入cd.. 按回車鍵輸入cd sysvol按回車鍵輸入dir按回車鍵輸入linkd Nwtraders.Msft d:\sysvol\domain 按回車鍵這樣sysvol就能夠定義到新的位置了經過開始--運行--輸入regedit按回車鍵來打開註冊表編輯器找到註冊表編輯器下面的那個路徑雙擊BurFlags這個鍵值在數值數據裏面改爲d2按肯定把它改爲d2的意義在於我設置當前這臺DC的sysvol爲一個不可信的sysvol也就是說它離線了一段時間在它連機的時候它必需立刻從其餘DC上面得到相關的複製才能正常工做因爲frs服務已經中止工做了一段時間在命令提示符裏面輸入net start ntfrs按回車鍵來從新啓動ntfrs(文件複製)服務這個時候sysvol已經轉移到新的位置了

在命令提示符裏面輸入net share按回車鍵後能夠看到 SYSVOL D:\SYSVOL\sysvol Logon server share 已經掛接到D盤了輸入dcdiag /test:netlogons按回車鍵去檢查整個步驟是否正確完成了在命令提示符裏面能夠看到已經完成了全部的測試了

經過開始--運行--輸入regedit按肯定來打開註冊表編輯器找到註冊表編輯器裏面的左下角那個路徑雙擊Staging Space Limit in KB 選擇十進制因爲它的值是以KB計算的也就是它的最小單位以KB來計算的咱們須要額外地把它算成平常習慣以1M爲結尾的數據了在數值數據裏面改爲975840 大概有900多M 這時候sysvol中的Staging Space它就能得到更多的額外空間了在交換的時候它就更有利而不會再出現frs13522 ID的錯誤了

一樣在命令提示符裏面輸入dcdiag /test:replication按回車鍵來測試檢查複製的狀態看它的複製是否能正常啓動和運行輸入net stop ntfrs按回車來中止文件複製服務確保能對裏面的文件進行足夠地操做經過開始--運行--輸入regedit按肯定來打開註冊表編輯器找到註冊表編輯器左下角那個路徑雙擊BurFlags--一樣在數值數據裏面改爲D2 接下來咱們就能夠從另外一臺DC得到一個新的sysvol

經過開始--運行--輸入\\加另外一臺DC的計算機名稱好比 \\Shenzhen\admin$ 按肯定去進入管理模式下的共享而且從這個共享裏面把對方的SYSVOL文件夾複製過來複製成功之後就在命令提示符裏面輸入net start ntfrs按回車鍵來啓動文件複製服務當文件複製服務啓動的時候Beijing這臺DC就會把Shenzhen那臺DC的SYSVOL文件夾信息複製到Beijing這臺計算機裏面

管理時間服務:什麼是時間服務:同步客戶端時間客戶端和成員服務器以驗證DC爲時間源 DC以本域PDC模擬器爲時間源 PDC模擬器以上級域PDC模擬器爲時間源森林根域PDC模擬器爲森林權威時間源管理時間服務時間服務平常管理:配置時間源配置外部時間源 Internet上的時間服務器 KB262680

經過開始--運行--輸入regedit按肯定來打開註冊表編輯器找到註冊表編輯器左下角那個路徑在右邊空白處右鍵--新建一個雙字節值命名爲Reliable TimeSource 雙擊打開它把它的數值數據設置爲1 按肯定雙擊LocalNTP 把它的數值數據修改爲1 按肯定這兩個值修改爲功之後就從新啓動時間服務在命令提示符裏面輸入net start win32time按回車鍵來啓動時間服務雙擊type 把它的數值數據修改成NTP 按肯定接下來新建一個字串值命名爲NtpServer 雙擊打開它在數值數據裏面輸入peers 按肯定再新建一個雙字節值命名爲TimeInSeconds 雙擊打開Period 在它的數值數據裏面能夠設置成幾種方式第一種能夠設置成24 它表明每一天的時間內當前的這臺時間服務器以邏輯上面的可靠時間服務器同步24次也就是平均每小時一次 65531它設置爲每45分鐘同步一次當有一次成功之後它就天天再進行同步一次 65532它設置爲每45分鐘同步一次若是連續三次同步成功那麼每8個小時設置一次這是一個默認的設置值 65533它設置爲每7天才進行一次同步 65534它設置爲每3天進行同步一次 65535它設置爲每2天進行同步一次還有一個數值0 它並不表明不復制或者是立刻同步以及長時間不進行同步它對應的還必須要看type值若是type值是默認的NT5ds 也就是本地時間源那麼它將每45分鐘同步一次直到三次同步成功而後每8個小時同步一次若是設置的是NTP 那麼它每8個小時同步一次在修改註冊表鍵值完成之後須要從新啓動時間服務在命令提示符裏面輸入net stop win32time按回車鍵先中止時間服務再輸入net start win32time按回車鍵啓動時間服務接下來若是要同步當前客戶端的時間就輸入w32tm -s按回車鍵來強制計算機同步這是一個本地時間源的設置

管理長期離線的DC:長期離線的DC帶來的危害:幽錄帳號無效的SYSVOL Operation Master 無效 DC長期離線前的準備工做長期離線DC上線前的準備工做:檢查FSMO角色強制AD複製系統備份/系統狀態備份 Tombstone Lifetime

經過開始--運行--輸入adsiedit.msc按肯定在Configuration裏面找到CN=Directory Service這一項右鍵--選擇屬性在Select a property to view那一項選擇tombstoneLifttime 能夠看到默認值是<not set>沒設置也就是60天在Edit Attribute那一項能夠設置新的值好比設置成90 表明90天那麼之後你所刪除的對象它不會在90天以內被清除AD數據庫它會在AD數據庫裏面存儲90天按Set 按肯定

長期離線DC上線:查看Tombstone Lifetime 禁用離線DC的OUTbound複製連接 repadmin /options ServerName+disable_outbound_repl 刪除Lingering Object 恢復SYSVOL