AD实施域管理手册

1、解决方案 Solution深圳市海格物流股份有限公司操作主机与 AD DB 管理文档编号：SXD- HGWL-20150901-01版 本：VERSION1.6编 写：索信达运维服务部最后修订：2015年09月22日深圳市索信达实业有限公司目录第一章管理域中的操作主机角色 3（ 一 ）操作主机介绍 3（ 二 ）角色迁移 4（ 三 ）角色抢夺 5第二章管理活动目录数据库 7（ 一）活动目录数据库介绍 7（ 二 ）活动目录数据库的移动 8（ 三）活动目录数据库的压缩 10（ 四）活动目录数据库的备份和还原 11（ 五）活动目录回收站 11第一章 管理域中的操作主机角色( 一) 操作主机介绍Acti

2、ve Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中 的所有域控制器实质上都是对等的。 但是， 某些更改不适合使用多主机复制执行， 因此对于 每一个此类更改，都有一个称为 “操作主机” 的域控制器接收此类更改的请求。操作主机可 以保证一致性并消除 AD DS 数据库中出现冲突的项目的可能性。AD DS 中的五个操作主机角色分别是： 架构主机( Schema Master )、域命名主机 (Domain Naming Master )、RID 主机( RID Master )、PDC 仿真器( PDC Emulator )、基础结构主机 ( Infrastruc

3、ture Master )架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。RID 主机、 PDC 仿真器、基础结构主机是域范围角色，这 3 种操作主机角色在林中的每个 域中分别只有一个。当在林中安装 AD DS 并创建第一台域控制器时，它会拥有所有5个角色，类似地， 在向林中添加域时， 每个新域中的第一台域控制器也会获得每域的操作主机角 色。架构主机( Schema Master ) 宿主架构主机角色的域控制器负责对林的架构进行更新和修改， 其他域控制器则只包含 架构的只读副本。 要更新或修改林的架构， 您必须具备访问架构主机的权限。 如果做出架构 改变后，架构更新

4、就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的， 只能有一个架构主机。域命名主机( Domain Naming Master ) 域命名主机主要用于为林中添加或删除域时使用， 负责确保域名的唯一性。 如果域命名 主机不可用，则无法向林中添加域或从林中删除域。在整个林中， 架构主机是唯一的， 只能 有一个架构主机。RID 主机( RID Master )RID 主机将相对标识符 (RID) 分配给域中每个不同的域控制器，每个域只有一个 RID 操作主机角色， 用于管理 RID 池，从而在整个域范围内创建的新的安全主体，如：用户、 组和计算机。 每个安全主体都有一个唯一 SID 。

5、RID 主机用于保证域控制器生产的 SID 是唯一 的。RID 主机把一些相对标识符 (RID)( 称为 RID 池)颁发给域中的每台域控制器。当任何域 控制器上的 RID 池中的可用 RID 的数量较少时 （小于 100），就会从 RID 主机请求一些 RID 。 每次收到这样的请求， RID 主机都会向域控制器再颁发大约 500 个 RID 的 RID 池。深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD3 / 13PDC 仿真器（ PDC Emulator ）PDC 仿真器负责执行很多与域有关的关键功能，主要有：为 Windows 2000 提

6、供支持、 维护密码更新来避免密码修改的延迟、 管理域中组策略的更新、 域内时间同步、 维护网络中 主机列表。基础结构主机（ Infrastructure Master ）基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变（常用名称属性的更改 cn）反映在位于不同域中的组成员身份信息中。 基础结构主机维护这些 引用的最新列表， 然后将这个信息复制给域中所有域控制器。 如果基础结构主机不可用， 域 之间的组 -用户引用就会过时。（ 二） 角色迁移当部署多台 DC 分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。 以 PDC 主机角色迁移为例：、查询当前操作主机

7、角色所在的 DC解决方案 Solution2、打开 CMD 窗口，依次输入命令：ntdsutil roles connections connect to server ad2.hg.local 连接到域控制服务器 ad2.hg.local17 / 13深圳市索信达实业有限公司 SHENZHE SUOXINDA INDUSTRY CO.,LTD3、输入 quit 退出 connections 程序，输入命令 transferPDC将 PDC 主机角色转移至域控制器 ad2.hg.local 上（ 三） 角色抢夺当拥有某操作主机角色的 DC 宕机时，可以通过以下命令实现操作主机角色的抢夺。 以

8、PDC 主机角色抢夺为例：1、打开 CMD 窗口，依次输入命令：ntdsutil roles connections connect to server ad2.hg.local 连接到域控制服务器 ad2.hg.local2、输入 quit 退出 connections 程序，输入命令 transferPDC将 PDC 主机角色转移至域控制器 ad2.hg.local 上第二章 管理活动目录数据库( 一) 活动目录数据库介绍活动目录数据库默认存储路径为： C:WindowsNTDS其中包含文件分别为：edb.chk ：检查点文件。 edb.chk 文件存储数据库的检查点， 这些检查点标识数据

9、库引 擎需要重复播放日志的点，通常在恢复或初始化时。edbxxxxx.log ：事务日志文件。 edb.log 是日志文件，对数据库进行更改后，将该更 改写入到 edb.log 文件中。当 edb.log 文件充满事务之后，会被重新命名为 edbxxxxx.log ，日志文件从 edb00001 开始，并使用十六进制数累加。由于 Active Directory 使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及 时删除。在任何时刻 都可以 找到 edb.log 文件，而且 还可能 有一个 或多 个 edbxxxxx.log 文件。edbresxxxx.jrs ：这些文件是保留的

10、日志文件仅当含有日志文件的磁盘空间不足时使 用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件， 服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目 录。每一个日志文件也是 10MB 大小edbtmp.log ： 该日志 是当 当前日志 文件( Edb.log ) 填满时 的暂时日志 。一个 edbtmp.log 的新文件被创建来记录处理，同时 edb.log 文件被重命名为下一个以往 日志文件，然后 edbtmp.log 文件会被重名为 edb.log 。ntds.dit ：数据库文件。 ntds.dit 会随着数据库的填充而不断增大。 但是

11、， 日志的大 小却是固定的 10 MB。对数据库进行的任何更改都会被追加到当前的日志文件中，而且其磁盘映像会不断保持更新。Temp.edb ： 这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。AD DB 的移动：（ 二） 活动目录数据库的移动当需要更改 AD DB 的存放路径时，可通过如下操作实现1、停止目录服务 : net stop ntds2、依次输入以下命令进入 AD DB 管理进程： Ntdsuitl activate instance ntds files3、移动 AD DB 及 LOG 到新的路径 C:NTDS Move DB to C:NTDS4、退出进程，并启动

12、目录服务net start ntds5、可以查看以上文件已经移动到目录C:NTDS（ 三） 活动目录数据库的压缩AD DB 进行压缩：在活动目录的使用过程中， AD DB 会越来越大，必要的时候需要对在线整理DC 服务器每 12 小时自动进行离线整理管理员手工压缩 AD 数据库1、使用命令 net stop ntds 停止目录服务之后，依次输入以下命令进入 AD DB 管理 进程：Ntdsuitl activate instance ntds files2、输入命令将 AD DB 压缩到指定目录Compact to C:NEW3、将指定目录下文件 ntds.dit 移动到 AD DB 路径，并替换原文件 ntds.dit后，启动 AD 域目录服务Net start ntds（ 四） 活动目录数据库的备份和还原裸机备份请参见“ 海格物流 AD 实施：备份和恢复 .docx ”（ 五） 活动目录回收站当误删除域中某些对象时，可以使用活动目录回收站进行对象还原。10% 30%活动目录回收站启用之后，将无法禁用，同时活动目