1、第05部,配置AD站点和DC间复制、域信任,站点复制、AD备份及恢复,本章重点,AD域的定义及功能域控制器多域的架构站点与GC之间,何谓域,简言之,共享同一份AD数据库之计算机所组成的集合便是一个域!由于AD数据库里头包含了用户帐户、用户密码、计算机帐户、权限设定等等资讯,所以同域内的计算机和使用者,都是由同一份AD数据来决定谁可以存取哪些资源、谁可以做哪些工作等等。说实在的,管理网络并非一定要有域不可但是有域可以省下很多工夫!,域中央集权的架构,要管理分散于各服务器的帐户数据库,是一件让人头痛的事,不如选一部计算机专门负责管理帐户资料,让其它的计算机都以它的帐户数据库为准。如此一来,无论使用
2、者或服务器的数量增加多少,网络管理员都只要维护一个数据库即可。同样以10部服务器和100位使用者的环境为例,假设我们将10部服务器的帐户数据库整合成一个,储存在A服务器。,域中央集权的架构,域名,在不同的应用场合,我们会使用不同的格式来表示域名称,其中较常用到的2种格式,便是DNS域名和LDAP域名:DNS域名AD域的命名方式与DNS相同,例如:LDAP域名DNS域名利用.来区隔域,但是LDAP则是以DC (Domain Component,域组件)来代表每一层域。因此用LDAP域名将FLAG.COM.CN表示如下:DC=FLAG,DC=COM,DC=CN,域控制器DC,先前曾介绍过,存放AD
3、数据库、管理域中的AD对象,并提供身分验证服务的计算机称为域控制器(DC, Domain Controller)。倘若不用域控制器这个微软发明的术语,我们可以称它为身分验证服务器(AuthenticationServer)因为它主要用来执行身分验证工作。又因为通常是在登入时执行验证,所以也可以称为登入服务器(Logon Server)。,建立多部DC的考虑,因为单靠一部DC的话,万一它无法提供服务(关机、当机或断线),会导致所有使用者都无法登入,整个域形同瘫痪。如果有其它DC,便可以照常提供服务,域功能不会停摆,等于提供了容错(FaultTolerance)机制。此外,由于域可涵盖多个区域网路
4、,而这些局域网络之间可能透过低带宽的因特网连线,为了避免登入迟缓或失败,便可在各局域网络中架设DC,以提升效率。,DC之间的复制机制,当域中有多部DC时,为了使每个AD数据库有相同的内容,每部DC会将异动的数据复制给其它DC,这种机制称为复制(Replication) 。然而复制并非只是单存地将整个数据库复制(Copy)过去,而是会遵循以下的基本原则来运作:采用局部复制减低数据量当两部DC进行AD数据的同步化时,并不会复制全部的AD资料库,而只是复制变动的部份。DC复制时会自动协调出合适的方式,其中直接相互复制的对象称为复制伙伴(Replication Partner)。,DC之间的复制-更新
5、序号,每部DC各有自己的更新序号(USN, Update Sequence Number),当AD数据库更新完毕后,即自动将本身的更新序号加1。而每部DC也记录复制伙伴的更新序号。因此,当某部DC的更新序号变动时,其复制伙伴随即就会知道,然后开始执行复制动作。复制动作会沿既定的顺序执行,直到所有的AD数据库内容都同步为止。,DC之间的复制-冲突,发生冲突时以更新戳记决定优先级由于在域的每部DC都可修改AD资料库,因此若两位使用者分别在不同DC上修改同一对象的属性,在复制过程即会造成冲突。此时系统会以更新戳记(Stamp)判定以何者的资料为准。更新戳记中包括版本、时刻和GUID等3项资讯,系统首
6、先比较版本,版本数字愈高者愈优先。若版本相同则比较时刻,愈晚修改者愈优先;万一连时刻都一样(虽然这种机会微乎其微),就以GUID较大者为优先,域树,域树是由多个域以阶层式组织成树状,如下图:,域树,域树:域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,域林,域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和
7、全局目录。,何谓域的信任关系?,假设A域信任B域,代表A域的资源开放给B域的使用者来使用;同理, B域若要提供自己的资源给A域的使用者,就必须信任A域。这种信任机制从Windows NT时代就存在。将AD域加入域树或林时,各域彼此会自动建立信任关系,这种预设建立的信任关系具有以下的特色:单向性双向性(Two-way),单向信任,单向信任是两个域之间创建的单向身份验证路径,即受信任域中的用户账户可以使用信任域上的身份验证方式,并访问域中的资源,但反之则无法实现。,双向信任,默认情况下,Windows Server 2008和Windows Server 2003林中的所有域信任关系都是双向、可传
8、递的。创建新的子域时,双向可传递信任在新的子域和父域之间自动建立,这意味着身份验证求可按两种方向在两个域之间传递。,林,在中小企业中,考虑到效能与管理,大多不会采用林架构。一般比较常用到林的时机,是在两个或多个公司合并时,将各公司原本的域树整合起来。,站点与GC服务器,在AD目录架构中,除了域和域控制器之外,还可能遇到的两个名词为站点(Site)和GC服务器(GC Server, Global Catalog Server)。AD站点GC服务器,AD站点,何谓站点站点的功能站点的规划,何谓站点,所谓AD站点(以下简称为站点)是指透过高速联机所连接的一群电脑,而且这群计算机位于相同的IP子网。所
9、谓的高速连线,微软预设是以500 Kbps为界线,低于此带宽便视为低速联机。因此常见的局域网络联机都算是高速连线,而透过传统调制解调器所建立的拨接连线则是低速联机。,站点的功能,站点的主要两项功能如下:控制登入速度因为客户端登入域时,会优先与相同站点内的DC建立连线,所以若将距离最近的DC划分到不同的站点;将距离最远或最忙碌的DC划分到相同的站点,便会将降低登入的速度。控制复制方式DC之间的复制动作,若是发生在相同站点内,会自动协调出一套方式,毋须人为干预;若是不同站点间的复制,则必须人工设定各种参数,系统才能判断出最好的方式。,什么是站点和子网对象?,什么是站点链接?,Site,IP Sub
10、net,IP Subnet,A1,A2,RPC or SMTP,Site Link,IP Subnet,IP Subnet,Site,B3,B1,B2,Cost,一个站点连接:,启用站间的复制通讯展现站点间的物理连接,站内复制 vs. 站间复制,什么是桥头堡服务器Bridgehead Server?,A bridgehead server:,Sends and receives replicated dataIs designated for each partition in the site,什么是站内拓扑生成器Intersite Topology Generator?,为什么禁用默认的所
11、有站点链接的桥接?,GC服务器,GC(Global Catalog,全局编录)是一份清单,记载了林(Forest)内所有对象的资讯,而储存这份列表的计算机便是GC服务器。事实上, GC也是储存在AD数据库内,亦即NTDS.DIT档案中,所以GC服务器这个角色一定依附在DC(域控制器)。换言之, GC服务器一定是DC,但是DC未必是GC服务器。,GC的内容,更进一步地看, GC服务器所储存的对象信息区分为以下两种:自己域中,所有对象的完整信息。同林的其他域中,所有对象的部份信息。所谓的部分资讯,代表经常被查询或执行特定功能时必要的信息。以用户对象为例,使用者名称就是经常被查询的信息;但是对于打印
12、机对象,我们很少查询其打印速度,因此该信息(属性)便不在GC内。,GC服务器的功能,GC服务器的主要功能为加速查询和提供登入时所需的信息。在多域的架构中,用户要查询的对象信息可能位于不同的域,必须透过DC的转介功能,询问其它域的DC,往往降低查询的效率。有了GC服务器之后,搜寻对象信息时会先查询GC的内容,若找到了当然就可以直接使用,缩短了查询的时间。若是在单一域的环境,因为没有跨域查询的问题,所以就不容易彰显出GC服务器的功用。,第05部,AD备份及恢复,站点复制、AD备份及恢复,本章重点,活动目录数据库文件活动目录数据修改流程维护活动目录数据库简介Windows Server Backup
13、ActiveDirectory 备份ActiveDirectory 还原ActiveDirectory 回收站,活动目录数据库文件,活动目录数据修改流程,修改请求,初始化事务,写入事务缓冲,写于数据库文件,Ntds.dit,EDB.log,写入事务日志文件,事务完成,更新检查点文件,Edb.chk,维护活动目录数据库简介,移动活动目录数据库及整理,停止活动目录服务net stop ntds输入ntdsutil回车。然后依次键入activate instance ntds、files命令输入compact to c:,压缩活动目录数据库,将压缩后的文件放在c:。压缩完成后,需将c:ntds.di
14、t文件复制到原来文件夹,并删除文件夹的*.log日志文件。键入move db to c:ntds.这个命令将完成将数据库文件复制到c:ntds.,Windows Server Backup的特点,与先前的版本相比, Server Backup具有以下的特点:与NTBackup不相容。就算是将Server 2003升级到Server 2008,原先在NTBackup的设定统统无效、不能沿用,必须再从头设定一次。而且, Server Backup也不认得以前用NTBackup所备份的档案。可是,万一要用到NTBackup所备份的历史资料时怎么办?http:/ 非授权还原,启动计算机时,按F8选择目
15、录还原模式启动计算机出现用户时,输入administraor和DSRM状态下的密码登录计算机输入 wbadmin get versions获取备份标识符输入wbadmin start systemstaterecovery -version:备份标识符 进行非授权还原,ActiveDirectory授权还原,在上面操作之后,暂时不启动计算机。在命令行状态下运行Ntdsutil依次输入authoritative restorerestore object cn=testuser,cn=users,dc=hbycrsj,dc=com出现授权还原提示,选择是开始还原。还原成功,重启计算机,Activ
16、eDirectory 回收站,在 Windows Server 2008 R2 中启用 Active Directory 回收站之后,当删除某个 ActiveDirectory 对象时,系统将保留该对象的所有链接值属性和未链接值属性,并且该对象进入逻辑删除状态,该状态是 Windows Server 2008 R2 引入的新状态,Active Directory回收站的要求,在WindowsServer2008R2上,至少要运行一个域控制器。AD的功能级别必须是WindowsServer2008R2。要启用AD回收站。AD对象的中被删除对象的没有超出有效期。,启用AD回收站,有两种方法可以启用
17、回收站功能。我们可以使用PowerShell或者Ldp.exe,后者是一个管理轻量级目录访问协议(LDAP)的GUI工具。,import-module activedirectoryEnable-ADOptionalFeatureIdentityCN=RecycleBinFeature,CN=Optional Features,CN=DirectoryService,CN=WindowsNT,CN=Services,CN=Configuration, DC=test,DC=localScopeForestOrConfigurationSetTargettest.local,AD对象回收,使用Get-ADObject -ldapFilter:(msDS-LastKnownRDN=test) IncludeDeletedObjects | Restore-ADObject,demo,实验5-2 Windows 2008中Active Directory备份和还原,
