1、深圳市海格物流股份有限公司操作主机与 AD DB 管理深圳市索信达实业有限公司文档编号: SXD- HGWL-20150901-01 版 本: VERSION1.6编 写: 索信达运维服务部 最后修订: 2015年09月22日 解决方案Solution 2 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 目录第一章 管理域中的操作主机角色 3(一) 操作主机介绍 3(二) 角色迁移 4(三) 角色抢夺 5第二章 管理活动目录数据库 7(一) 活动目录数据库介绍 7(二) 活动目录数据库的移动 8(三) 活动目录数据库的压缩 10(四) 活动
2、目录数据库的备份和还原 11(五) 活动目录回收站 11解决方案Solution 3 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 第一章 管理域中的操作主机角色(一) 操作主机介绍Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除 AD DS 数据库中出现冲突的项目的可能性。AD DS 中的五个操作主机角色分别是:架构
3、主机(Schema Master) 、域命名主机(Domain Naming Master) 、 RID 主机(RID Master) 、PDC 仿真器(PDC Emulator) 、基础结构主机(Infrastructure Master)架构主机和域命名主机是林范围角色,即每个林只有一台架构主机和一台域命名主机。RID 主机、PDC 仿真器、基础结构主机是域范围角色,这 3 种操作主机角色在林中的每个域中分别只有一个。当在林中安装 AD DS 并创建第一台域控制器时,它会拥有所有 5 个角色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得每域的操作主机角色。架构主机(Sche
4、ma Master )宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其他域控制器则只包含架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的,只能有一个架构主机。域命名主机(Domain Naming Master)域命名主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名主机不可用,则无法向林中添加域或从林中删除域。在整个林中,架构主机是唯一的,只能有一个架构主机。RID 主机(RID Master )RID 主机将相对标识符(RID) 分配给域中每个不同的域
5、控制器,每个域只有一个 RID操作主机角色,用于管理 RID 池,从而在整个域范围内创建的新的安全主体,如:用户、组和计算机。每个安全主体都有一个唯一 SID。RID 主机用于保证域控制器生产的 SID 是唯一的。RID 主机把一些相对标识符 (RID)(称为 RID 池)颁发给域中的每台域控制器。当任解决方案Solution 4 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 何域控制器上的 RID 池中的可用 RID 的数量较少时(小于 100),就会从 RID 主机请求一些RID。每次收到这样的请求, RID 主机都会向域控制器再颁发
6、大约 500 个 RID 的 RID 池。PDC 仿真器(PDC Emulator)PDC 仿真器负责执行很多与域有关的关键功能,主要有:为 Windows 2000 提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。基础结构主机(Infrastructure Master)基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改 cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表,然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用,域之间的组-用户引用就会过时。(二
7、) 角色迁移当部署多台 DC 分担操作主机角色时,可以通过以下命令实现操作主机角色的迁移。以 PDC 主机角色迁移为例:1、查询当前操作主机角色所在的 DC解决方案Solution 5 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 2、打开 CMD 窗口,依次输入命令:ntdsutil roles connections connect to server ad2.hg.local连接到域控制服务器 ad2.hg.local3、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC 主机角色转移
8、至域控制器 ad2.hg.local 上(三) 角色抢夺当拥有某操作主机角色的 DC 宕机时,可以通过以下命令实现操作主机角色的抢夺。以 PDC 主机角色抢夺为例:1、打开 CMD 窗口,依次输入命令:ntdsutil roles connections connect to server ad2.hg.local连接到域控制服务器 ad2.hg.local解决方案Solution 6 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 2、输入 quit 退出 connections 程序,输入命令 transfer PDC 将 PDC 主机
9、角色转移至域控制器 ad2.hg.local 上解决方案Solution 7 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 第二章 管理活动目录数据库(一) 活动目录数据库介绍活动目录数据库默认存储路径为:C:WindowsNTDS其中包含文件分别为: edb.chk: 检查点文件。 edb.chk 文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时。 edbxxxxx.log:事务日志文件。edb.log 是日志文件,对数据库进行更改后,将该更改写入到 edb.log 文件中。当 edb.log
10、文件充满事务之后,会被重新命名为edbxxxxx.log,日志文件从 edb00001 开始,并使用十六进制数累加。由于 Active Directory 使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及时删除。在任何时刻都可以找到 edb.log 文件,而且还可能有一个或多个edbxxxxx.log 文件。 edbresxxxx.jrs:这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件,服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。每一个日志文件也是 10MB
11、 大小 edbtmp.log:该日志是当当前日志文件(Edb.log)填满时的暂时日志。一个edbtmp.log 的新文件被创建来记录处理,同时 edb.log 文件被重命名为下一个以往日志文件,然后 edbtmp.log 文件会被重名为 edb.log。 ntds.dit:数据库文件。 ntds.dit 会随着数据库的填充而不断增大。但是,日志的大小却是固定的 10 MB。对数据库进行的任何更改都会被追加到当前的日志文件中,而且其磁盘映像会不断保持更新。解决方案Solution 8 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD Temp
12、.edb:这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。(二) 活动目录数据库的移动当需要更改 AD DB 的存放路径时,可通过如下操作实现 AD DB 的移动:1、停止目录服务: net stop ntds2、依次输入以下命令进入 AD DB 管理进程:Ntdsuitl activate instance ntds files 解决方案Solution 9 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 3、移动 AD DB 及 LOG 到新的路径 C:NTDSMove DB to C:NTDSMove DB to C:
13、NTDS4、退出进程,并启动目录服务 net start ntds解决方案Solution 10 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 5、可以查看以上文件已经移动到目录 C:NTDS(三) 活动目录数据库的压缩在活动目录的使用过程中,AD DB 会越来越大,必要的时候需要对 AD DB 进行压缩: 在线整理DC 服务器每 12 小时自动进行 离线整理管理员手工压缩 AD 数据库1、使用命令 net stop ntds 停止目录服务之后,依次输入以下命令进入 AD DB 管理进程:Ntdsuitl activate instanc
14、e ntds files 解决方案Solution 11 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 2、输入命令将 AD DB 压缩到指定目录Compact to C:NEW3、将指定目录 C:NEW下文件 ntds.dit 移动到 AD DB 路径,并替换原文件 ntds.dit后,启动 AD 域目录服务Net start ntds(四) 活动目录数据库的备份和还原裸机备份请参见“海格物流 AD 实施:备份和恢复.docx”(五) 活动目录回收站当误删除域中某些对象时,可以使用活动目录回收站进行对象还原。活动目录回收站启用之后,将无
15、法禁用,同时活动目录数据库空间会增长 10% 30%参照如下步骤启用活动目录回收站:解决方案Solution 12 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 1、打开“Active Directory 管理中心” ,选择 HG(本地)并点击右侧“启用回收站”2、启用回收站确认(回收站启用后,便无法禁止)解决方案Solution 13 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD 3、启用回收站后,刷新“Active Directory 管理中心” 后可以看到多出一个容器“Deleted Objects”4、选择所需还原的对象,点击右键选择“还原” ,即可还原此误删除对象
