1、BENET3.0第一学期课程, 理论部分,第八章 活动目录维护,2,内容回顾,林中信任关系的特点是什么?林中默认的信任关系有哪些?外部信任的特点是什么?林信任的特点是什么?,3,技能展示,理解操作主机的概念掌握操作主机的转移了解操作主机的占用理解非授权还原和授权还原掌握授权还原的操作,4,本章结构,活动目录维护,非授权还原,备份活动目录数据库,活动目录数据还原,授权还原,操作主机,操作主机角色,转移操作主机角色,占用操作主机 角色,5,操作主机角色,(FSMO,灵活单操作主机)角色,简称操作主机角色 域环境中同时兼任某一特定功能的域控制器主机操作主机作用AD以单主机方式对某些对象执行更新 更新
2、成功后复制到其它DC防止域中的更新冲突,6,操作主机角色,林范围架构主机域命名主机域范围主域控制器(PDC)仿真主机相对ID(RID)主机基础结构主机,7,架构主机,架构主机(Schema Master)控制整个林的架构的全部更新 在整个林中,只能有一个架构主机 架构主机管理工具默认没有安装查看架构主机注册架构管理工具regsvr32 schmmgmt.dll使用mmc添加【Active Directory架构】查看架构主机,8,域命名主机,域命名主机(Domain Naming Master)控制林中域的添加或删除,可以防止林中的域名重复 在整个林中只能有一个域命名主机使用【Active D
3、irectory域和信任关系】查看域命名主机,PDC仿真主机,林中的每个域中只能有一个PDC仿真主机(PDC Emulator Master)PDC 仿真主机的主要作用 管理来自客户端(Windows NT/95/98)的密码更改 最小化密码变化的复制等待时间 同步整个域内所有域控制器上的时间使用【Active Directory 用户和计算机】查看PDC主机,9,10,RID主机(RID Master),RID主机将相对ID(RID)序列分配给域中每个域控制器对象的SID=域SID+RID林中的每个域中只能有一个RID主机使用【Active Directory用户和计算机】查看RID主机,1
4、1,基础结构主机,负责更新从它所在的域中的对象到其他域中对象的引用林中的每个域只能有一个基础结构主机使用基础结构主机的要点不应将基础结构主机角色指派给全局编录所在的域控制器,除非域中只有一个域控制器如果域中的所有域控制器都存有全局编录 ,则无论哪个域控制器承担基础结构主机角色均不重要 负责在重命名或更改组成员时更新“组到用户”的引用使用【Active Directory用户和计算机】查看基础结构主机,12,操作主机角色总结,林中第一台域控制器默认拥有林范围的两种角色域中第一台域控制器默认拥有域范围的三种角色,13,转移操作主机角色,现操作主机角色的域控制配置较低,需要转移操作主机角色到配置较高
5、的DC图形界面转移通过“ntdsutil”命令转移在“命令提示符”中键入“ntdsutil”键入“roles”键入“connection” connect to server 目标DC的FQDN键入“quit”键入“transfer 操作主机角色”,14,转移操作主机角色总结,当前操作主机和目标操作主机必需同时在线转移角色过程中不会有数据丢失转移操作主机的过程是可逆的执行者必须具有相应权限,15,占用操作主机角色,如果操作主机角色所在的域控制器宕机,并且无法恢复,如何解决,16,占用操作主机角色,只有在原操作主机永远无法再提供服务时,才执行占用操作主机角色与转移一样,执行者需要相应权限只能使用
6、命令行方式占用在“命令提示符”中键入“ntdsutil”键入“roles”键入“connection” connect to server 该DC的FQDN键入“quit”键入“seize 操作主机角色”,17,小结,请思考:有哪几种操作主机角色?什么情况下需要转移操作主机角色?什么情况需要占用操作主机角色?怎样查看操作主机角色?,18,备份活动目录数据库,使用Windows Server Backup备份DC的活动目录数据库备份活动目录数据库必须将所有关键卷备份关键卷包括以下内容系统卷:包括 Bootmgr文件和启动配置数据(BCD) 存储启动卷:包含Windows 操作系统文件、SYSVO
7、L 树、注册表、 AD数据库 (Ntds.dit)、AD数据库日志文件,19,活动目录数据库还原,活动目录数据库还原非授权还原授权还原非授权还原:恢复活动目录到它备份时的状态 执行非授权还原后如果域中只有一个域控制器,在备份之后的任何修改都将丢失 如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态授权还原:恢复活动目录的特定对象授权还原后,被还原的对象的版本号码会被增加,20,执行非授权还原,重启DC,进入【目录还原模式】使用administrator 作为用户名,键入服务器的目录还原模式密码获取备份日期执行还原重启DC,wbadmin get versions
8、 -backuptarget:d:,wbadmin start systemstaterecovery -version:03/10/2009-09:00 -backupTarget:server02share -machine:server01,备份文件的位置,获取的备份日期,备份的存储位置,恢复备份的计算机名,21,授权还原,重启DC,进入目录还原模式同非授权还原步骤还原到原始位置打开命令提示符,键入ntdsutil键入“activate instance ntds” 键入“authoritative restore” 还原a用户退出ntdsutil,重启DC,restore object
9、 “cn=a,cn=users,dc=benet,dc=com”,22,本章总结,活动目录维护,非授权还原,备份活动目录数据库,活动目录数据还原,授权还原,操作主机,操作主机角色,转移操作主机角色,占用操作主机 角色,BENET3.0第一学期课程, 上机部分,第八章 活动目录维护,24,实验案例1:转移操作主机角色,需求描述:BENET公司组建了一个单域,域名为。该域中有两台DC,第一台DC的硬件配置比较低,第二台DC的硬件配置较高。目前5个操作主机角色都在第一台DC上,如何将这些操作主机角色转移到第二台DC上?,架构主机,25,实验案例1:转移操作主机角色,实现思路:域中安装两台DC查看操作
10、主机角色转移时分别用两种方式实现图形界面命令行转移时需要先连接目标DC,26,实验案例1:转移操作主机角色,学员练习:注册架构管理工具使用图形界面转移使用命令行方式转移,40分钟完成,27,实验案例2:执行活动目录授权还原,需求描述:BENE公司日常办公使用的域为,域中有两个DC。管理员创建了sales和project两个OU,管理员在一台DC上备份活动目录数据库后不小心删除了两个OU。现在需要恢复销售部OU“sales”,如何实现?,28,实验案例2:执行活动目录授权还原,实现思路:域中有两台DC,需要还原某一特定对象授权还原需要先执行系统状态备份,29,实验案例2:执行活动目录授权还原,学员练习:执行系统状态备份删除OU执行授权还原,40分钟完成,30,
