AD --- 活動目錄的平常管理操做(2)

第一節:FSMO規劃最佳實踐:將森林級別的FSMO角色放置於森林根域的全局編目服務器上將兩個森林級別的FSMO角色放置於同一臺域控制器上將三個域級別的FSMO角色放置於同一臺高性能的域控制器上不建議將域級別的FSMO角色放置於全局編目服務器上下降PDC仿真器的負載--修改註冊表架構主控的規劃:佔有架構主控的域控制器必需保證高可用性,可是不是必需擁有高性能域命名主控的規劃:佔有域名命主控的域控制器必需保證高可用性,可是不是必需擁有高性能.且該DC必需同時也是全局編錄服務器 PDC仿問器的規劃:佔有PDC仿真器的域控制器必需保證同時擁有高可用性和高性能 RID主控的規劃:佔有RID主控的域控制器必需保證高可用性,可是不是必需擁有高性能基礎架構主控的規劃:佔有RID主控的域控制器能夠忽略可用性和性能方面的考慮,可是不能把基礎架構主控同全局編目服務器放在同一臺與控制器上

第二節:轉移操做主控強佔操做主控

首先從windows server 2000安裝光盤裏面找到SUPPORT文件夾--TOOLS--雙擊SETUP把這個工具安裝上經過開始--運行--輸入cmd按肯定來打開命令提示符在命令提示符裏面輸入netdom query fsmo /domain:Nwtraders.Msft按回車鍵後能夠看到5種角色了都是在Beijing這臺計算機上由於Beijing這臺DC是整個森林內第一臺DC 因此森林裏面的Schema owner Domain role owner 這兩個角色在這臺計算機上森林根域的 PDC role RID pool manager Infrastructure owner這三個角色也在這臺計算機上 netdom這個工具能夠本標識出當前域內的全部FSMO角色我再來查那個子域的FSMO角色看一下輸入netdom query fsmo /domain:Subdom.Nwtraders.Msft按回車鍵後也能夠看到5種角色由於它是一個子域森林裏面的兩個角色在Beijing這臺計算機上而森林根域的三個角色就在本計算機上(Hangzhou)

經過開始--程序--Windows 2000 Support Tools--Tools--按ADSI Edit 實際上就是打開活動目錄數據庫了好比我現想查誰是Schema Master 對着CN=Schema,CN=Configuration,DC=Nwtraders,DC=Msft這一項右鍵--選擇屬性在Select a property to view那一項選擇fSMORoleOwner那一項在Value(s)那一項能夠看到BEIJING那臺DC是Schema Master 另外那四種角色也一樣就這樣查的就是在Select a property to view那一項選擇fSMORoleOwner那一項而後在Value(s)裏面就能夠看到這個角色是在那臺計算機上了

SID的組成是這樣的 s-1-5-21-xxxx-yyyy-zzz-mmmm 中間那三段叫作Domain sid 這三段是用來標識一個域的換句話說同一個域內的全部的用戶這三段都是同樣的最後一段mmmm就叫作rid 若是要保證同一個域內的用戶它們的sid是不衝突的關鍵是rid不同就能夠了怎麼樣確保rid不同呢？就是RIDMaster的做用它分配可用的RID池給域內DC 防止安全主體的SID衝突這個可用的RID池其實是有600個RID 當你的DC去建立用戶的時候就從可用RID池裏面拿只要這個DC保證不分配重複的RID就能夠了假如一個域有10臺DC RIDMaster主要確保這10臺DC可用的RID池是不同的無論在那臺DC上建立用戶建立出來的每一個用戶的SID都不同

在命令提示符裏面輸入dcdiag /v 按回車鍵後能夠看到一項Starting test:RidManager 能夠看到這個域可用的RID池是從2101到1073741823 能夠看到Beijing這臺計算機是RID Master 當前這臺DC可用的範圍是從1101到1600 rIDNextRID:1106 這個表示也就是下一次建立的用戶它的RID是1106

誰是nwtraders.msft這個名稱空間下的DC呢? 能夠查什麼獲得呢? 能夠查SRV記錄獲得展開nwtraders.msft這個域--msdcs--dc--按tcp 能夠看到beijing這臺計算機是DC shanghai那臺計算機也是DC 客戶端經過DNS去查詢客戶端到底要用那臺DC呢? 通常狀況下優先級越低會越被優先使用負擔越高會越被優先使用怎麼樣下降PDC的負載呢? 經過修改PDC的SRV記錄 beijing這臺計算機是PDC 我如今把beijing這臺計算機的優先級改爲10 負擔改爲50 這個時候就不會被優先使用beijing這臺DC了注意:不要在ldap屬性裏面改在這裏改是沒有用的一旦重啓計算機就又變成原值了在命令提示符裏面輸入net stop netlogon & net start netlogon按回車鍵後就中止Net Logon服務而且再重啓NetLogon服務當你重啓計算機的時候這個服務必定會重啓的當你重啓net logon服務後 beijing這臺DC的優先級和負擔又變成原值了你不該該經過這種方式改怎麼改呢? 修改註冊表

經過開始--運行--輸入regedit按肯定來打開註冊表編輯器在註冊表編輯器裏面的找到左下角那個路徑按Parameters 在右邊的空白處右鍵--新建--選擇雙字節值建立二個一個叫作ldapsrvpriority(優先級)數值數據爲50 一個叫作ldapsrvweight(負擔)數值數據爲10 在命令提示符裏面輸入net stop netlogon & net start netlogon按回車鍵重啓net logon服務後你就發現跟這個DC全部相關的SRV記錄都變成我在註冊表編輯器裏面設置的值了因此你能夠在註冊表編輯器裏面加這二個鍵值來下降客戶端對PDC的訪問展開pdc--按tcp--雙擊ldap後就能夠看到優先級變成50 負擔變成10了

在命令提示符裏面輸入netdom query fsmo按回車鍵後能夠看到這個域內的5種角色都給Beijing這臺計算機佔用可是由於Beijing這臺計算機的性能的緣由我以爲它不適合充當這個角色了我想把它轉移走怎麼轉移呢? 其實是有二種方式一種是經過圖形頁面轉移打開Active Directory用戶和計算機對着域名右鍵--選擇操做主機能夠看到RID PDC 結構你能夠在這裏面作轉移另外一種方式是在命令提示符裏面操做輸入ntdsutil按回車鍵輸入roles按回車鍵輸入con按回車鍵輸入con to ser shanghai.nwtraders.msft按回車鍵就是說我如今要綁定到shanghai這臺計算機上我要把個人全部角色都轉移到shanghai那臺計算機上輸入quit按回車鍵輸入trans sch ma按回車鍵後它就問您確實想讓服務器"shanghai.nwtraders.msft" 到爲企業傳送架構主機? 你按是就ok了

在命令提示符裏面輸入netdom query fsmo /domain:nwtraders.msft按回車鍵後就能夠看到剛纔轉移的Schema owner 已經給Shanghai這臺計算機了在命令提示符裏面輸入trans pdc按回車鍵後它就問您確實想讓服務器"shanghai.nwtraders.msft"到將主機送到域? 你按是就ok了一樣能夠在命令提示符裏面輸入netdom query fsmo /domain:nwtraders.msft按回車鍵後就看到PDC已經轉移到shanghai這臺計算機了

我現把shanghai那臺計算機關掉了反正看成不存在了不可用DC了在命令提示符裏面輸入ntdsutil按回車鍵輸入roles按回車鍵輸入con按回車鍵輸入con to ser beijing.nwtraders.msft按回車鍵後就綁定在beijing這臺計算機上了輸入quit按回車鍵輸入trans pdc按回車鍵後好久沒有反應而後就出現錯誤了請求的 FSMO 操做失敗不能鏈接當前的 FSMO 盒就是說我如今要把之前轉移給shanghai那臺DC的二個角色搶佔過來輸入seize pdc按回車鍵後它就問您確實想讓服務器"beijing.nwtraders.msft" 用下列值取代PDC角色? 你按是就ok了注意:搶佔操做會致使數據丟失咱們絕對不建議搶佔操做的當你把shanghai那臺DC的角色搶佔過來後不再要修復shanghai那臺DC了若是你再把shanghai那臺DC修復好再啓動後會發生一些不可預知的事情就是說你之前有一臺DC 它有操做主控後來被人搶佔走了那要記住原來那臺DC最好不要讓它回到原來那個域當中了不要再啓動它了

經過開始--運行--輸入%systemroot%/ntds按肯定按工具--選擇文件夾選項--查看--把隱藏受保護的操做系統文件(推薦)的溝去掉選擇顯示全部的文件和文件夾把隱藏已知文件類型的擴展名的溝去掉按肯定後就能夠看到ntds.dit這個文件整個活動目錄數據庫都在這個文件裏面 edb.log這個文件表明事務日誌文件 edb.chk是檢查點文件 res1.log res2.log是保留日誌文件

第二節:活動目錄數據庫維護什麼狀況下手動維護數據庫:數據庫所在分區磁盤空間低數據庫容量太大致使備份時間過長硬件失敗轉移活動目錄數據庫:肯定活動目錄數據庫大小備份系統狀態數據從新啓動計算機進入DSRM模式使用NTDSUTIL.exe轉移活動目錄數據庫從新啓動計算機備份系統狀態數據

在地址裏面輸入c:\boot.ini按回車鍵後就能夠看到裏面的內容了而後你把multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Advanced Server" /fastdetect複製粘貼到下一行再加上DSRM /safeboot:dsrepair按保存就ok了當你再從新啓動的時候就出現二個選項你按DSRM那一項就直接進入活動目錄還原模式了

注意:在進入活動目錄還原模式前一步的管理員密碼不是域管理員密碼而是你安裝活動目錄的時候輸入的密碼假如我忘記活動目錄還原模式密碼了怎麼辦呢？若是是在windows2000上就用域管理員登陸到常規模式在命令提示符裏面輸入setpwd按回車鍵而後再從新設置活動目錄還原模式的密碼就ok了

我如今已經進活動目錄還原模式了在命令提示符裏面輸入ntdsutil按回車鍵輸入file按回車鍵輸入move db to c:\ntds按回車鍵就ok了就是說我如今要把活動目錄數據庫轉移到C盤下的ntds文件夾裏面能夠在命令提示符裏面看到工做目錄:c:\ntds表示已經轉移成功了我如今把ntds這個文件夾打開已經能夠看到ntds.dit(活動目錄數據庫)文件和edb.chk(檢查點)文件了

在命令提示符裏面輸入ntdsutil按回車鍵輸入file按回車鍵輸入move log to c:\ntdslog按回車鍵就把log文件轉移到ntdslog這個文件夾了打開ntdslog這個文件夾後能夠看到edb.log res1.log re2.log這三個文件了轉移成功後就從新啓動計算機立刻備份系統狀態數據

收縮活動目錄數據庫:查看數據庫空閒空間大小(online) 備份系統狀態數據從新啓動計算機進入DSRM模式使用ESENTUTL工具查看數據庫空間(offline) 使用NTDSUTIL.exe工具收縮數據庫從新啓動計算機備份系統狀態數據

在命令提示符裏面輸入esentutl /ms c:\ntds\ntds.dit /8按回車鍵由於活動目錄的數據庫每一個頁面大小是8K 因此就在後面加/8 而後能夠看到一張表 Owned表示這個活動目錄的每個表格佔用了多少頁 Available表示這個表格有多少空閒的頁最後有一個總結能夠看到一共空閒了273頁我用計算機來算一下每一頁是8K 273X8=2184 能夠知道大概空閒2M空間

在命令提示符裏面輸入ntdsutil按回車鍵輸入file按回車鍵輸入compact to c:\temp按回車鍵 c:\temp就是說我要把這個壓縮文件放到C盤下的temp這個文件夾裏面你也能夠看到是經過那一個執行指令來完成壓縮的壓縮完成以後就從新啓動計算機備份系統狀態數據

從活動目錄數據庫中刪除對象:isDeleted 屬性 Deleted Objects 容器 TombStone 週期 Garbage Collection 機制 Garbage Collection 週期

假如我如今把ccc這個聯絡人刪除掉經過開始--運行--輸入adsiedit.msc按肯定找到CN=Users--CN=ccc 雙擊它打開屬性在Select a property to view那一項選擇isDeleted 若是下面Edit Attribute那一項顯示爲True就表示這個聯絡人已經被刪除掉了

在命令提示符裏面輸入ldp按回車鍵按connection--按connect 輸入beijing按ok 按connection--按Bind 輸入用戶名和密碼按ok 按View--按Tree 輸入cn=deleted objects,dc=nwtraders,dc=msft按ok 這個容器其實是存在的可是它告訴我無所對象爲何呢？你要看容器裏面的東西要作一下設置的按Options--按Controls 在裏面輸入一些東西在windows2000上要本身手動輸入若是你用的是windows 2003的支技工具它把那個GUID給列出來你能夠直接在這個地方把OID添加進去就能夠了在Contols右邊它會列出一項叫作return deleted object 而後你選擇return deleted object 選擇Check in 再打開這個容器你就能夠看到你全部的從這個DC上刪除的對象了你能夠從這裏把一個對象恢復出來對象放在這裏有一個TombStone 週期是60天過了60天后就等垃圾回收來清理它

在ADSI Edit裏面找到 CN=Directory Service 右鍵--選擇屬性在Select a property to view那一項選擇garbageCollPeriod 這個表示垃圾回收的一個週期若是我在Edit Attribute裏面設置成1 那麼過1小時後就把deleted object裏面的清理掉已通過期的對象做處理在Select a property to view那一項選擇tombstoneLifetime 若是我在Edit Attribute裏面設置成1 那麼被刪除的對象它在deleted object裏面存在1天按Set 按肯定就開始生效了