下载文档原格式
AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计,在后期域环境的维护工作中也起着非常重要的作用。
今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。
我习惯把它称为“PDC Emulator” 。
现在咱们就来一步步认识“PDC Emulator” 。
如果我们要设置当前域的“PDC Emulator”角色,必须选择开始- 管理工具- Active Directory 用户和计算机,可以看到当前域的名称为“” 。
鼠标右击当前域,选择“操作主机”,打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能:模拟NT的PDC:所有当您的域环境中有NT的BDC的话,请务必要准备一台PDC ,他才可以把资料复制给NT的BDC。
第二个功能:时间同步或者叫对时:当前域中所有的主机会跟PDC Emulator 对时,当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时,当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时,所以可以让整个森林的时间保持一致。
第三个功能:给NT以前的客户端改密码:因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改,PDC是只读的。
第四个功能:密码仲裁:2000以后的客户端改密码,会用到PDC 来避免密码修改的延迟。
比如说我把密码修改完以后我把它修改到a这台DC,下次我登陆的时候我登陆到B,B还没有来得及把AD数据复制过来,就会有旧密码存在,这样就会有问题,所以客户端就会找PDC Emulator 做仲裁,从而得到最新的密码。
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
第九章实验报告实验任务: (1)一、活动目录的授权还原 (1)二、转移操作主机角色 (1)三、占用操作主机角色 (1)实验要求: (1)1.完成以上实验配置 (1)2.要求截图 (1)实验操作过程: (2)一、活动目录的授权还原 (2)1.安装额外DC (2)2.建立测试用户和OU (2)3.备份系统数据状态 (2)3.恢复数据 (3)5.验证 (4)二、转移操作主机角色 (4)1.注册架构管理工具 (5)2.MMC添加管理单元 (5)3.更改域控制器 (5)4.转移架构主机角色 (5)5.转移域命名主机角色 (6)6.转移RID主机角色 (6)7.转移PDC主机角色 (7)8.转移基础结构主机角色 (8)三、占用操作主机角色 (8)1.占用域命名主机角色 (8)2.占用基础结构主机角色 (9)3.占用PDC主机角色 (9)4.占用RID主机角色 (10)5.占用架构主机角色 (10)6.验证 (11)实验任务:一、活动目录的授权还原二、转移操作主机角色三、占用操作主机角色实验要求:1.完成以上实验配置2.要求截图实验操作过程:一、活动目录的授权还原实验环境:1.两台DC,分别是DC1各DC2,DC2额外DC实验步骤:1.安装额外DC在DC2上安装额外DC,~略~2.建立测试用户和OU在第一台DC上新建用户“aa”、“bb”,新建OU“sales”和“market”,如图1-1所示:图1-1DC2同步数据后,结果如图1-2所示:图1-23.备份系统数据状态备份DC1的系统数据状态,然后删除上面新建的组,如图1-3所示:图1-33.恢复数据重启DC1→F8→进入“目录还原模式”还原系统数据状态,不要重启计算机,在命令行模式做授权恢复,只恢复OU“sales”和用户“aa”,其它不用恢复,输入以下命令:NtdsutilAuthoritative restoreRestore subtree ou=sales,dc=accp,dc=comRestore subtree cn=aa,cn=users,dc=accp,dc=com“sales”OU的恢复如图1-4所示:图1-4用户“aa”的恢复如图1-5所示:图1-55.验证查看Active Directory用户各计算机是否只还原了OU“sales”和用户“aa”,如图1-6所示:图1-6二、转移操作主机角色实验环境:1.两台DC,分别是DC1各DC2,DC2额外DC实验步骤:1.注册架构管理工具运行命令:regsvr32 schmmgmt.dll,结果如图1-1所示:图2-12.MMC添加管理单元运行MMC,并添加架构、用户和计算机等相关的管理单元,如图1-2所示:图2-23.更改域控制器右击“Active Directory架构”→更改域控制器→指定名称,修改成需要转移的域控制器,如图2-3所示:图2-34.转移架构主机角色在DC1上右击“Active Directory架构”→操作主机→更改,转移到上,如图2-4所示:图2-45.转移域命名主机角色在DC2上右击“Active Directory域和信息关系”→操作主机→更改,转移到上,如图2-5所示:图2-56.转移RID主机角色在DC2上右击“”→操作主机→RID→更改,转移到上,如图2-6所示:图2-67.转移PDC主机角色在DC2上右击“”→操作主机→PDC→更改,转移到上,如图2-7所示:8.转移基础结构主机角色在DC2上右击“”→操作主机→结构→更改,转移到上,如图2-8所示:图2-8三、占用操作主机角色1.占用域命名主机角色将DC2挂起,在DC1的命令行输入以下命令:NtdsutilRolesConnectionConnec to server Quit如图3-1所示:占用域命名主机角色,输入命令seize domain naming master,结果如图2-1所示:图3-22.占用基础结构主机角色在fsmo maintenance模式下输入命令seize infrastructure master,结果如图3-3所示:图3-33.占用PDC主机角色在fsmo maintenance模式下输入命令seize PDC,结果如图3-4所示图3-44.占用RID主机角色在fsmo maintenance模式下输入命令seize RID master,结果如图3-5所示图3-55.占用架构主机角色在fsmo maintenance模式下输入命令seize schema master,结果如图3-6所示:图3-66.验证打开挂起的DC2,手动同步数据,如图3-7所示:图3-7 查看操作主机状态,如图3-8所示:图3-8其它操作主机均同上图所示,状态为占用,图略!~~~~~~~~~~~~~~~~~~~~~end~~~~~~~~~~~~~~~~~~~~~。
数据库运维说明书数据库运维说明书1、概述1.1 目的1.2 范围1.3 定义2、数据库环境2.1 硬件要求2.2 软件要求2.3 网络要求3、数据库部署3.1 安装数据库软件3.2 配置数据库参数3.3 创建数据库实例3.4 设置访问权限3.5 数据库初始化3.6 数据库备份与恢复4、数据库运维4.1 监控数据库性能4.2 处理数据库故障4.3 数据库优化4.4 数据库迁移与升级 4.5 实施数据库安全策略4.6 数据库定期维护5、数据库备份与恢复策略 5.1 定义备份策略5.2 备份类型5.3 备份工具5.4 恢复数据库6、数据库性能优化6.1 监控数据库性能指标 6.2 优化查询语句6.3 索引优化6.4 内存与磁盘优化6.5 锁和并发控制7、数据库安全策略7.1 设定访问权限7.2 加密数据传输7.3 数据库审计7.4 定期更新和升级数据库软件7.5 数据备份与灾备8、数据库维护8.1 清理数据库日志8.2 数据库碎片整理8.3 统计信息收集8.4 数据库定期备份与归档8.5 监控和修复数据库文件法律名词及注释:1、数据库:指在计算机中存储、管理和维护电子数据的软件系统。
2、备份:将数据库中的数据和结构复制到另一个存储设备或位置,以防止数据丢失。
3、恢复:从备份中恢复数据库的过程,使数据库回到崩溃或故障之前的状态。
4、性能优化:通过改进数据库设计和调整参数来提高数据库性能。
5、安全策略:制定和实施保护数据库安全的策略和规定。
6、维护:定期检查和保养数据库以确保其正常运行和高效性能。
Windows Server 活动目录企业应用项目九 管理操作主机AD DS数据库内绝大部分数据地复制是采用多主机复制模式(multi -master replicationmodel),也就是您可以直接更新任何一台域控制器内绝大部分地AD DS对象,之后这个对象会被自动复制到其它域控制器。
然而只有少部分数据地复制是采用单主机复制模式(single-master replication model)。
在此模式下,当您提出更改对象地请求时,只会由其一台被称为操作主机地域控制器负责接收与处理此请求,也就是说该对象先被更新在这台操作主机内,再由它将其复制到其它域控制器。
Active Directory 域服务(AD DS )内总有五个操作主机角色:架构操作主机(schema operations master )域命名操作主机(domain naming operations master )RID 操作主机(relative identifier operations master )PDC 模拟器操作主机(PDC emulator operations master )基础结构操作主杌(infrastructure operations master )一个林只有一台架构操作主机与一台域命名操作主机,这两个林级别地角色默认都由林根域内地第一台域控制器所扮演。
而每一个域拥有自己地RID操作主机,PDC模拟器操作主机与基础结构操作主机,这三个域级别地角色默认由该域内地第一台域控制器所扮演。
九.一.一架构操作主机扮演架构操作主机角色地域控制器,负责更新与修改架构( schema)内地对象种类与属数据。
隶属于Schema Admins组内地用户才有权利修改架构。
一个林只能有一台架构操作主机。
九.一.二域命名操作主机扮演域命名操作主机角色地域控制器,负责林内域目录分区地新建与删除,即负责林内地域添加与删除工作。
A c t i v e D i r e c t o r y管理之六Active Directory管理之六:活动目录数据库维护维护活动目录数据库是一个很重要的管理任务,它需要定期帮助覆盖丢失和出错的数据,修正活动目录数据库。
活动目录数据库存储包含有 AD中所有数据,所以活动目录数据库维护是一项非常重要的工作。
一般情况下,管理员很少会直接管理活动目录数据库,因为有规律维护活动目录数据库是一个很重要的管理任务,它需要定期帮助覆盖丢失和出错的数据,修正活动目录数据库。
活动目录数据库存储包含有 AD中所有数据,所以活动目录数据库维护是一项非常重要的工作。
一般情况下,管理员很少会直接管理活动目录数据库,因为有规律的自动化数据库管理可以维护数据库健康。
这些自动进程包括活动目录数据库联机碎片整理和清除已删除的垃圾收集。
对于需要直接管理活动目录数据库,可以使用ntdsutil工具进行管理。
一、活动目录数据文件介绍活动目录数据文件默认存储在C:\Windows\NTDS目录下:1.edb.chk:这是检查点文件。
edb.chk文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时。
2.edbxxxxx.log:事务日志文件。
edb.log是日志文件,对数据库进行更改后,将该更改写入到edb.log文件中。
当edb.log文件充满事务之后,会被重新命名为 edbxxxxx.log,日志文件从edb00001开始,并使用十六进制数累加。
由于ActiveDirectory使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及时删除。
在任何时刻都可以找到edb.log文件,而且还可能有一个或多个Edbxxxxx.log文件。
3.edbresxxxx.jrs:这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。
如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件,服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。
AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计,在后期域环境的维护工作中也起着非常重要的作用。
今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。
我习惯把它称为“PDC Emulator” 。
现在咱们就来一步步认识“PDC Emulator” 。
如果我们要设置当前域的“PDC Emulator”角色,必须选择开始- 管理工具- Active Directory 用户和计算机,可以看到当前域的名称为“” 。
鼠标右击当前域,选择“操作主机”,打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能:模拟NT的PDC:所有当您的域环境中有NT的BDC的话,请务必要准备一台PDC ,他才可以把资料复制给NT的BDC。
第二个功能:时间同步或者叫对时:当前域中所有的主机会跟PDC Emulator 对时,当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时,当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时,所以可以让整个森林的时间保持一致。
第三个功能:给NT以前的客户端改密码:因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改,PDC是只读的。
第四个功能:密码仲裁:2000以后的客户端改密码,会用到PDC 来避免密码修改的延迟。
比如说我把密码修改完以后我把它修改到a这台DC,下次我登陆的时候我登陆到B,B还没有来得及把AD数据复制过来,就会有旧密码存在,这样就会有问题,所以客户端就会找PDC Emulator 做仲裁,从而得到最新的密码。
A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下:Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令(创建活动目录对象):用于在AD中创建OU、用户、组、联系人等对象,但是不能对AD中的对象进行修改,下面逐一进行介绍。
1、创建组织单位:命令格式:dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在域中建立一个名为finance的OU,可以执行以下命令:C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式:dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式:dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式:dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令(修改活动目录对象):用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
任务一:转移操作主机角色
实验拓扑图
查看单前操作主机角色
1.使用管理员账号登录到DC1。
如下图所示:
2.分别使用“Active Directory 用户和计算机”、“Active Directory 域和信任关系”、“Active Directory 架构”查看当前操作主机角色。
1)单击“开始”——>“管理工具”——>“Active Directory 用户和计算机”,在打开的“Active Directory 用户和计算机”窗口中,右击bb.local,在弹出的快捷菜单中选择“操作主机”。
如下图所示:
在“操作主机”窗口,可以查看到“PDC仿真主机”为Srv1.bb.local、“RID主机”为Srv1.bb.local 和“基础结构主机”为Srv1.bb.local。
如下列图所示:
2)单击“开始”——>“管理工具”——>“Active Directory 域和信任关系”,在打开的“Active Directory 域和信任关系”窗口中,右击“Active Directory 域和信任关系”,在弹出的快捷菜单中选择“操作主机”。
如下图所示:
在“更改操作主机”窗口,可以查看到“域命名主机”为Srv1.bb.local。
如下列图所示:
3)单击“开始”——>“运行”,输入“mmc”,打开控制台,单击“文件”——>“添加/删除管理单元”,单击“添加”按钮,在弹出的界面中选择“Active Directory 架构”,单击“添加”按钮(在此之前要完成下列步骤:单击“开始”——>“运行”中输入“regsvr32 schmmgmt.dll”命令,单击“确定”按钮,注册架构管理工具。
)
右击“Active Directory 架构”,在弹出的快捷菜单中选择“操作主机”。
如下图所示:
在“更改操作主机”窗口,可以查看到“架构主机”为Srv1.bb.local。
如下列图所示:
用ntdsutil命令转移主机角色
1.打开“命令提示符”命令。
2.键入“ntdsutil”命令。
如下图所示:
3.在ntdsutil命令提示符下,键入“roles”命令。
如下图所示:
4.在fsmo maintenance命令提示符下,键入“connections”命令。
如下图所示:
5.在service connections命令提示符下,键入“connect to server Client.bb.local”命令。
如下图所示:
6.在service connections命令提示符下,键入“quit”命令(返回上一级命令提示符)。
如下图所示:
7.在fsmo maintenance命令提示符下,键入“transfer schema master”命令,按提示完成操作。
如下图所示:
8.在fsmo maintenance命令提示符下,键入“transfer domain naming master”命令,按提示完成操作。
如下图所示:
9.在fsmo maintenance命令提示符下,键入“transfer PDC”命令,按提示完成操作。
如下图所示:
10.在fsmo maintenance命令提示符下,键入“transfer RID master”命令,按提示完成操作。
如下图所示:。
