下载文档原格式
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
域的详解额外域控制升级为主域控制器- AD服务器- 【服务器技术...2010-08-30 -飞龙在天-额外域控制升级为主域控制器(三)前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC 还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。
额外域控制升级为主域控制器2010-12-23 michael_0207额外域控制升级为主域控制器(三)前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC 还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。
辅助域控及dns设置详解2010-09-19 michael_02075、验证当前FSMO角色所属是否为额外域控制器在命令行里,输入netdom query fsmo chema owner Domain role owner PDC role RID pool manager Infrastructure owner 至此5种FSMO角色转移成功,关闭主域控制器,exhcange运行正常。
我们公司有两台服务器负责域管理功能,server_A是win20...2010-09-19 michael_0207我们公司有两台服务器负责域管理功能,server_A是win2000(原来的主域控),SERVER_B是win2003(额外域控)。
产生主域控制器与备份与控制器不同步的充要条件:1、在备份域控制器中日志中会出现组策略失败:处理组策略失败。
Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini,但是没有成功。
只有解决此事件后才会应用组策略设置。
该问题可能是暂时的,并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。
b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。
c) 分布式文件系统(DFS)客户端已被禁用。
2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。
产生主域控制器与备份与控制器不同步的必要不充分条件:复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件:在主域中新建用户,但在备份域中不存在该用户。
解决方法一:1、在主域控制器中删除备份域控制器(1)查看该主域控制器是否为全局编录服务器查看:3:通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中,有多个命令行工具可以查看全局编录服务器,这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:(2)彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器,进行了第三步操作还是不行,则将服务器重新做系统密码:jgjtgs(重新做系统之后,先升级域,再弄网站)(3)将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。
windows 2012 域控基本知识Windows Server 2012是微软推出的一款服务器操作系统,它具备许多功能和特点,而其中一个重要的功能就是域控制器(Domain Controller)。
一、什么是域控制器域控制器是Windows Server中的一个角色,用于集中管理和控制域中的用户、计算机和资源。
它允许管理员在整个网络中设置和管理全局策略,同时提供用户认证和授权的功能。
域控制器通常作为中心节点,在企业网络中起到关键的作用。
二、域的概念和作用1. 域的定义:在Windows Server中,域是由一组计算机和资源组成的逻辑网络,这些计算机和资源由一个公共的身份认证和安全机制管理。
域允许用户通过单一登录认证访问所有的网络资源。
2. 域的作用:域的建立使得网络管理更加简便和安全。
通过域控制器,管理员可以集中管理用户和计算机账户,实现统一的身份认证和授权机制。
域还提供了分层授权和管理权限的能力,可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。
三、Windows Server 2012中的域控制器安装和配置1. 安装域控制器:要安装域控制器,首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。
然后,通过“服务器管理器”或命令行工具执行“添加角色和功能”向导,选择“域控制器”角色,并按照提示完成安装过程。
2. 配置域控制器:安装完成后,需要进行一些配置来使域控制器正常工作。
首先,需要指定域的名称和安全设置。
然后,设置域控制器的网络连接、IP地址和DNS等网络设置。
还可以配置域的全局策略、用户和计算机对象的属性,以及安全和审计设置。
3. 备份和恢复:域控制器存储着大量的关键数据,因此备份和恢复操作非常重要。
Windows Server 2012提供了一套完整的备份和恢复工具,可以对域控制器的系统状态、活动目录数据库和配置信息进行定期备份,并在需要时进行恢复。
1、正常卸载AD时的常见问题在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC 回复到普通成员/独立服务器身份,这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码2、附加DC卸载后,仍在域中。
3、如果AD不能卸载,应从以下几方面考虑:(1)网卡是否正常工作即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。
网卡不工作或禁用网卡都会导致AD无法卸载,提示“卸载SYSVOL文件夹出错”(2)权限权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(3)DNS一般应保证与安装时所用DNS一致。
如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。
(4)域命名主控卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因,操作失败。
以提供的凭据绑定到服务器xxx失败。
“RPC服务器不可用”。
(5)卸载的顺序与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。
否则将导致子域无法卸载,而存在的子域还有问题,找不到林根域、树根域了。
因为这时极有可能架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已经随林根域的删除而没有了。
为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删除林根域了。
2、AD无法正常卸载,或者说DC无法正常降级为成员服务器?1、Dcpromo /forceremoval强制卸载AD2、重设目录恢复模式下的管理员密码:2000:winnt\system32\setpwd.exe03:使用ntdsutil实用工具,set dsrm password如果按照上例的要求,还是无法正常卸载AD,且出错提示未提到DNS 方面的故障。
讲解活动目录域控制器备份与如何恢复 通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况:
1、 整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”: 再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目: 在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了: 在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。 选择好备份文件的存放路径后,就可以点击“开始备份”了:
点击“开始备份”后,会出现如下画面: 在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:
在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”: 点击上述画面中的“属性”:
在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面: 这次点击“高级”: 在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
每日:以天为单位,每天发生变化的文件都会被备份;
这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了: 整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。 有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:
在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。
在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
继续点击“开始-运行”,输入“Ntbackup”,并回车: 这回可别再选择备份向导了,要用“还原向导(高级)”:
点“下一步”,出来如下画面: 在“文件”上击右键:
点击“文件编录”: 输入备份文件所在的位置,然后确定:
然后点击“下一步”: 在上述画面中确认无误的话,就可以点击“完成”了:
在出来的警告窗口上点击“确定”: 这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。 2、 多域控制器环境下的活动目录恢复 可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。
先来说明一下实验环境: 域名:demo.com 第一台域控制器: 计算机名:server.demo.com IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1 并且FSMO五种角色及GC全部在第一台域控上。 第二台域控制器: 计算机名:test20031.demo.com IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.2 灾难情况:第一台域控制器由于硬件原因,导致无法启动。 这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
一、首先,要把第一台域控制器的所有信息从活动目录里面删除: (1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:
在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令: 然后我们要显示一下Site中的域:
结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”: 选中后,按“q”退出到上一层菜单: 在上图中点击“是”: 然后再按2个“q”退出。
(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象,
ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:
击右键,然后选“删除”就可以了。 (3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置: 把复制连接也删除了:
以上有几个删除几个。 二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了: 我们先要连接到目标服务器上: 连接成功后,按“q”退出到上层菜单,并且看一下帮助信息: 请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”: 这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。 大家了为安全起见,可以运行一下我上次给转给大家的脚本:
由上图可见,所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来: 在“管理工具”里,打开“AD站点和服务”,找到如下位置: 在“属性”上单击: 在“全局编录”前打外勾,然后确定退出就可以了。 最后到客户端去修改一下DNS服务器的位置,就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:
1、 在单域控环境中,请尽量的多备份,以保证备份有效性,最好几种备份类型结合使用。 2、 在多域控环境中,如果用Seize,那么那台坏掉的服务器在重装系统以前请不要回到网络中来,哪怕是已经修好了,也一定要重新安装操作系统,为什么?因为FSMO角色具有唯一性,如果此时回到网络中,那就会出现FSMO角色重复的现象。
3、 在多域控环境中,那台坏域控修复后,重装系统,请尽量不要再使用原来的计算机名,以防止产生一些莫名其妙的问题,就让那台服务器在网络里永远消失吧!
OK,请大家多多指正!E-Mail:hzswg@sohu.com
