实施 Active Directory域服务维护计划

1、第第 10 章章 实施实施 Active Directory 域服务维护计划域服务维护计划章节概述章节概述 第第 1 节：维护节：维护 AD DS 域控制器域控制器 第第 2 节：备份节：备份 AD DS 第第 3 节：还原节：还原 AD DS 实验：实施实验：实施 AD DS 维护计划维护计划第第 1 节：维护节：维护 AD DS 域控制器域控制器 AD DS 数据库和日志文件数据库和日志文件 AD DS 数据库的修改过程数据库的修改过程 使用使用 NTDSUtil 工具管理工具管理 AD DS 数据库数据库 AD DS 数据库碎片整理数据库碎片整理 可重新启动的可重新启动的 AD DS 演

2、示：执行演示：执行 AD DS 数据库维护任务数据库维护任务 锁定锁定 AD DS 域控制器上的服务域控制器上的服务AD DS 数据库和日志文件数据库和日志文件 描述描述 Ntds.ditEdb*.logEdb.chk文件文件 是是 AD DS 数据库文件数据库文件在域控制器上存储所有在域控制器上存储所有 AD DS 对象对象 使用默认位置使用默认位置 systemrootNTDS 文件夹文件夹是事务日志文件是事务日志文件使用默认事务日志文件使用默认事务日志文件 Edb.log是检查点文件是检查点文件跟踪尚未写入跟踪尚未写入 AD DS 数据库文件的数据数据库文件的数据ebdres00001.

3、jrs ebdres00002.jrs是保留的事务日志文件是保留的事务日志文件AD DS 数据库的修改过程数据库的修改过程写入请求写入请求事务启动事务启动写入事务缓冲写入事务缓冲区区写入磁盘上的写入磁盘上的数据库数据库磁盘上的磁盘上的 Ntds.ditEDB.log写入事务日志写入事务日志文件文件提交事务提交事务更新检查点更新检查点Edb.chk使用使用 Ntdsutil.exe 可以：可以： 使用使用 NTDSUtil 工具管理工具管理 AD DS 数据库数据库Ntdsutil.exe 是用来管理某些是用来管理某些 AD DS 组件的命令行工具。组件的命令行工具。 执行执行 AD DS 数据

4、库维护数据库维护 管理和控制单主机操作管理和控制单主机操作 移动移动 AD DS 数据库文件数据库文件 删除已从网络中删除，但卸载不正确的域控制器留下的元数据删除已从网络中删除，但卸载不正确的域控制器留下的元数据 在任何在任何 NTDSUtil 提示符下看输入提示符下看输入 HELP 获得上下文相关的帮助。获得上下文相关的帮助。AD DS 数据库碎片整理数据库碎片整理 新文件可能相当小，具体取决于原数据库文件的分碎程度新文件可能相当小，具体取决于原数据库文件的分碎程度 AD DS 每隔每隔 12 小时自动执行联机数据库碎片整理小时自动执行联机数据库碎片整理 使用使用 NTDSUtil 命令行工

5、具对卸下的数据库执行脱机碎片整理命令行工具对卸下的数据库执行脱机碎片整理 联机碎片整理优化数据库中的数据存储，并回收目录中的空间以存放新对象，但是不会联机碎片整理优化数据库中的数据存储，并回收目录中的空间以存放新对象，但是不会 缩小数据库文件的大小缩小数据库文件的大小 脱机碎片整理会创建一个新的压缩版数据库文件。脱机碎片整理会创建一个新的压缩版数据库文件。 可重新启动的可重新启动的 AD DS可重新启动的可重新启动的 AD DS 允许管理员停止允许管理员停止 AD DS，而无需停止任何，而无需停止任何其他服务。其他服务。在以下情况下可使用可重新启动的在以下情况下可使用可重新启动的 AD DS：

6、 应用修改域控制器上的应用修改域控制器上的 AD DS 服务文件的更新服务文件的更新 执行执行 AD DS 数据库的脱机碎片整理等任务数据库的脱机碎片整理等任务目录服务还原模式必须用于还原目录服务还原模式必须用于还原 AD DS 数据库。数据库。演示：执行演示：执行 AD DS 数据库维护任务数据库维护任务 在本演示中，你将看到如何：在本演示中，你将看到如何： 启动和停止启动和停止 AD DS 服务服务 使用使用 NTDSUtil 和和“AD DS 已停止已停止”模式模式进行脱机碎片整理进行脱机碎片整理 使用使用 NTDSUtil 将将 AD DS 数据库移到其他数据库移到其他驱动器驱动器 最

7、佳做法：最佳做法：锁定锁定 AD DS 域控制器上的服务域控制器上的服务为正确运行为正确运行 AD DS 而必需的服务：而必需的服务： 分布式文件系统分布式文件系统 DNS 服务器服务器 文件复制服务文件复制服务 Kerberos 密钥分发中心密钥分发中心 站点间消息传递站点间消息传递 远程过程调用（远程过程调用（RPC）定位器）定位器 在域控制器上安装最少数量的服务器角色和应用程序在域控制器上安装最少数量的服务器角色和应用程序 使用使用“安全配置向导安全配置向导”锁定域控制器上的服务锁定域控制器上的服务 Active Directory 域服务域服务 DNS 客户端客户端 Net Logon

8、 TCP/IP NetBIOS Helper Windows 时间时间 工作站工作站第第 2 节：备份节：备份 AD DS 备份备份 AD DS 介绍介绍 Windows Server Backup 功能功能 演示：备份演示：备份 AD DS备份备份 AD DS 介绍介绍为了备份为了备份 AD DS，必须备份所有关键卷。，必须备份所有关键卷。关键卷包括：关键卷包括： 系统卷：承载启动文件的卷系统卷：承载启动文件的卷 启动卷：承载启动卷：承载 Windows 操作系统和注册表的卷操作系统和注册表的卷 承载承载 SYSVOL 树的卷树的卷 承载承载 AD DS 数据库（数据库（Ntds.dit）的

9、卷）的卷 承载承载 AD DS 数据库日志文件的卷数据库日志文件的卷 所有这些文件可以存储在一个卷中，也可以分散在多个卷。所有这些文件可以存储在一个卷中，也可以分散在多个卷。有了有了 Windows Server Backup，你可以：，你可以：Windows Server Backup 功能功能 Windows Server Backup 是是 Windows Server 2008 的一项功能，用于备份和恢复的一项功能，用于备份和恢复操作系统和数据。操作系统和数据。 无需使用第三方备份和还原工具即可恢复服务器无需使用第三方备份和还原工具即可恢复服务器 执行手动或自动备份执行手动或自动备份

10、备份整个服务器或选定的卷备份整个服务器或选定的卷 恢复单项或整个卷恢复单项或整个卷 使用使用 DVD 或或 CD 作为备份介质作为备份介质 Windows Server Backup 不支持备份单个文件或目录，只备份整个卷。不支持备份单个文件或目录，只备份整个卷。演示：备份演示：备份 AD DS在本演示中，你将看到如何备份在本演示中，你将看到如何备份 AD DS。第第 3 节：还原节：还原 AD DS 还原还原 AD DS 概述概述 非授权非授权 AD DS 还原还原 授权授权 AD DS 还原还原 数据库装载工具数据库装载工具 演示：使用数据库装载工具演示：使用数据库装载工具 恢复逻辑删除的

11、恢复逻辑删除的 AD DS 对象对象 还原还原 AD DS 概述概述还原还原 AD DS 的选项包括：的选项包括： 常规还原常规还原 授权还原授权还原 全服务器还原全服务器还原 备用位置还原备用位置还原非授权非授权 AD DS 还原还原非授权或非授权或 AD DS 还原可将目录服务恢复到创建其备份时的状态。还原可将目录服务恢复到创建其备份时的状态。 AD DS 复制将以自创建备份以来发生的更改更新域控制器复制将以自创建备份以来发生的更改更新域控制器 以目录服务还原模式重新启动域控制器以执行非授权还原以目录服务还原模式重新启动域控制器以执行非授权还原 重新启动服务器的步骤：重新启动服务器的步骤：

12、 重新启动服务器时按重新启动服务器时按 F8，并选择，并选择“目录服务还原模式目录服务还原模式”，或输入命令，或输入命令 bcdedit /set safeboot dsrepair 并重新启动服务器并重新启动服务器1 提供目录服务还原模式密码提供目录服务还原模式密码2授权授权 AD DS 还原还原 授权还原过程分成授权还原过程分成 4 个步骤：个步骤： 以以 DSRM 模式启动域控制器模式启动域控制器 1 使用使用 Ntdsutil.exe 将所要的对象、容器或分区标记为授权将所要的对象、容器或分区标记为授权3 以常规模式重新启动域，以便复制更改以常规模式重新启动域，以便复制更改 4 还原所

13、要的备份，通常是最近的备份还原所要的备份，通常是最近的备份2授权还原是恢复已从授权还原是恢复已从 AD DS 中删除的对象和容器的方法。中删除的对象和容器的方法。若要将对象标记为授权，则使用如下的命令若要将对象标记为授权，则使用如下的命令：restore subtree “OU=Marketing,DC=EMEA,DC=WoodgroveBank,DC=com” 数据库装载工具数据库装载工具数据库装载工具可用于：数据库装载工具可用于： 创建和查看存储在创建和查看存储在 AD DS 中的数据的快照中的数据的快照 提供了一种将不同时刻所获快照中存在的数据进行比较的方法，从而改善公司提供了一种将不同

14、时刻所获快照中存在的数据进行比较的方法，从而改善公司 的恢复过程的恢复过程 省去了为比较多个备份所包含的省去了为比较多个备份所包含的 AD DS 数据而恢复多个备份的需要数据而恢复多个备份的需要 查看，但不还原已删除的对象和容器查看，但不还原已删除的对象和容器 演示：使用数据库装载工具演示：使用数据库装载工具在本演示中，你将看到如何使用数据库装载在本演示中，你将看到如何使用数据库装载工具来查看已删除的工具来查看已删除的 AD DS 对象。对象。恢复逻辑删除的恢复逻辑删除的 AD DS 对象对象以下情况下，你可以在以下情况下，你可以在 AD DS 中手动恢复已删除的对象：中手动恢复已删除的对象：

15、 删除了用户帐户或安全组的域没有最新的删除了用户帐户或安全组的域没有最新的 AD DS 备份备份 被删除的对象尚未从被删除的对象尚未从 AD DS 数据库中清除数据库中清除 发生删除的域只包含发生删除的域只包含 Windows Server 2003 或更高版本的域控制器或更高版本的域控制器 要恢复逻辑删除的要恢复逻辑删除的 AD DS 对象：对象： 使用使用 LDP.exe 查找被删除的对象查找被删除的对象 修改对象的修改对象的 isDeleted 属性，并提供可分辨名称属性，并提供可分辨名称 启用对象，然后重新配置对象属性启用对象，然后重新配置对象属性实验：实施实验：实施 AD DS 维护计划维护计划 练习练习 1：维护：维护 AD DS 域控制器域控制器 练习练习 2：备份：备份 AD DS 练习练习 3：执行：执行 AD DS 数据库的授权还原数据库的授权还原 练习练习 4：使用：使用 AD DS 数据装载工具还原数数据装载工具还原数据（可选）据（可选）登录信息登录信息虚拟机虚拟机NYC-DC1用户名用户名Administrator 密码密码Pa$w0rd实验预估时间：实验预估时间：75 分钟分钟备注页专用。无需打印此页。参见备注窗格。备注页专用。无需打印此页。参见备注