一、什麼是活動目錄
ad是一種事務性資料庫,它是一種預先寫入記錄的模式,使用了ese97的技術。在磁碟上,ad顯示為幾個檔案,它們是ntds.dit(ad 資料庫),一組交易記錄(即日誌)和記錄資料庫最後乙個緩衝區的檢查點檔案。還有乙個暫時性的資料庫檔案。目錄服務是乙個組合名詞,它包括有目錄資料儲存 和可讓使用者或程式訪問資訊的相關服務的意思。為社呢們要有目錄呢?目錄可提供企業網路所有重要資料的乙個集中存放區域,這些資料報括使用者帳戶、計算機、打 印機、應用程式、安全性與系統原則等各種資源。將大部分的重要的資源集中的放在某個共享的網路資源中,這樣一來可以改善企業的效率與大幅減少網路的總擁有 成本(tco)。win 2k的目錄服務使用的是多控制器模式,也就是說,可以在任意的乙個控制器上修改目錄資源。所以,從上我們可以得知,ad實際是個資料庫,而每個dc都是重 要的資料庫伺服器,所以,我們應象保護重要資料庫一樣來保護dc。
二、活動目錄的幾個概念
1、域:乙個安全邊界。
2、樹:多個域的集合。
3、林:多個有關聯的樹。
4、dns:通向ad的閘道器。dns中的服務記錄,是應用系統查詢ad的根本所在。
5、gc:乙個經常被查詢的ad物件的索引。在本機模式下,gc參與網路客戶端的登入請求處理,提供通用組成員資格,出非域管理員組成員,才可以不需要gc的協助登入網路。在混合模式下,gc就不參與登入處理了但gc對網路中進行目錄查詢與搜尋仍舊很重要。
6、操作主機:雖然多控制器模式是ad的核心功能,但多伺服器之間的潛在衝突也使這樣的方式運作出在一定的不適用性,為了解決這一問題,ad選擇了一些特殊的機器來擔任特殊的角色。每個角色負責處理特定ad區域的改變。
三、ad的維護和備份
1、ad的維護:通過效能監視工具監視ad的執行狀態和元件狀態,可以有效的發現ad故障並及時解決。
2、ad的備份:ad可以通過備份系統狀態來備份,你可以在系統工具裡找到備份工具來完成此工作,也可以使用第三方軟體來實現。但要注意備份ad的一些約束條件:
* ad的備份型別無法選擇,只能使用完全備份。
* 要確保備份中同時包含系統狀態、系統盤的檔案以及sysvol目錄的內容。
* 你只能用原伺服器的備份來恢復該伺服器,不能用另一台伺服器的備份恢復該伺服器。
在dc啟動的時候,按f8進入啟動選單,選擇「目錄恢復模式:進入系統,在命令列下輸入如下命令。
ntdsutil
files
info
注意此時輸出的目錄檔案路徑!
comnpact to c:/mydir
通過這個命令將在指定目錄下的建立乙個壓縮後的資料庫檔案。
quit兩次,退出工具。
接下來,你需要用壓縮後的檔案替換原始的檔案。並重新啟動計算機
四、ad的架構
ad的架構是以結構化的方式定義的資料組成,它通過描述元資料來定義這些結構,通常包括屬性名稱、型別、長度、關係等。看起來,有點象關聯式資料庫裡的字段定義。同時還包括一些擴充套件的屬性。包括:
1、命名上下文:有三個,它們是域命名上下文(儲存當前ad域的資料),配置命名上下文(儲存主要基礎物件和配置資訊),架構命名上下文(儲存定義了所有的ad物件和屬性)。
ad架構的管理:架構管理由架構主機角色控制,預設情況下看不到該管理單元,需要先註冊.schmmgmt.dll,才可以在mmc裡找到它。 註冊方法是執行:regsvr32 %systemroot%/system32/schmmgmt.dll。架構內容是禁止刪除的。
五、ad的修理和恢復
1、ad的維護和修復,都是通過乙個命令列工具--ntdsutil來實現的。修復命令為:
ntdsutil
repair
2、ad的恢復
恢復模式:ad有兩種恢復模式--授權恢復和非授權恢復,其區別在於:
1)授權恢復:當其他的域控制器包含了無效的複製和資料時,可以採用授權恢復方式,這種情況下,你可以手工指定你要恢復整個資料庫或某個分支, 並指定本地的恢復操作是權威的。所謂的權威,就是當發生目錄複製時,以本地資料為準。授權恢復要修改ad的公升級序號,這樣它的序號就高於其他的dc了,從 而使本地的恢復資料能複製給其他的dc。
2)非授權恢復:大多數的恢復操作都是非授權的。當你發現一台dc的資料有問題,而確信其他的dc資料是正常的,就可以使用非授權恢復。恢復完成後,dc會重新比較公升級序號並參與正常的複製。也就是說,通過非授權恢復的資料可能在複製中被再次改寫。
注意點:
如果你沒有達到以下要求,恢復操作必定失敗
* 伺服器名趁應和備份時一樣
* 系統資料夾所在驅動器應與備份時相同
* 目錄儲存路徑應和備份時相同
3、恢復的操作
1)非授權恢復:啟動dc,進入」目錄恢復模式「,執行備份的還原操作。
2)授權恢復:在執行完非授權恢復後,繼續以下操作:
* ntdsutil
authoritative restore
restore database
該命令將授權還原整個資料庫,如果只想還原某個分支,可以用:
restore subtree ou=eng,dc=mycompany,dc=com
系統提示是否正確,回答yes。
quit退出。
注意:在恢復完成後,系統會自動的提示是否需要重新啟動伺服器,授權恢復一定要選擇」no「,否則一旦伺服器重新啟動,本次授權恢復就會變成非 授權恢復了。另外,需要注意的是,授權恢復一同還原了sysvol檔案目錄,當計算機帳戶沒有禁用時,系統會每7天查詢確認一次計算機密碼,授權恢復同樣 也還原了這一信任密碼,有可能會導致計算機信任關係丟失,這也需要注意。
4、ad的災難性恢復處理
1)重新安裝恢復ad
還原ad的最簡單方法是重新安裝作業系統,重新提公升dc。這樣就產生了乙個新的dc,但要考慮乙個問題,如果原dc的資料已經損壞,我們將無法 使用dcpromo命令刪除該dc上的ad資料,這樣就可能導致ad資料的不同步性,而且更糟糕的是,在ad使用者和計算機的管理單元裡,你也不能刪除dc 物件。這是你只能從」ad站點和服務「裡先刪除該伺服器,才能刪除該dc。如果你不幸的需要新的dc和原來的dc一樣的名字,那麼你必須先使用 ntdsutil命令刪除ad裡的物件資訊後,才能建立新的dc。具體操作如下:
ntdsutil
metadata cleanup
connections
connect to server
quit
select operation target
list site
select site
list domains
select domain
list servers in site
select server
remove selected server
注意:在刪除原dc之前,應確認原dc上不包含任何角色,如果有,請使用ntdsutil命令奪取角色,方法如下:
ntdsutil
roles
seize domain naming master - 在已連線的伺服器上改寫域角色
seize infrastructure master - 在已連線的伺服器上改寫結構角色
seize pdc - 在已連線的伺服器上改寫 pdc 角色
seize rid master - 在已連線的伺服器上改寫 rid 角色
seize schema master - 在已連線的伺服器上改寫架構角色
被奪取角色的dc在沒有重新安裝作業系統前,不能重新連入網路!
2)從備份中還原ad
從備份檔案恢復ad是非常適合的。但要注意使用的還原模式,如果因恢復錯誤操作的資訊,應記得使用授權恢復模式。
注意:* 過期的備份:前面我們提到,ad的備份不能還原60天前的資料,如果你需要還原60天的備份,需要按kb216993要求修改全域性標記時間後才能還原。其的位置在ad裡的
cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=company,dc=com,名稱為:tombstonelifetime, 該操作需要直接編輯ad資料,可使用adsi,ldp等工具。
注意:請慎重操作!
* 不同硬體下還原:通常情況,不建議你將ad的備份還原到不同的硬體上,除非你確認新機器和原機器的硬體基本一直,並使用同樣的硬體抽象層檔案(hal)。
* 遠端備份和還原:在boot.ini檔案後,可以加上/safeboot:dsrepair命令選項,引導遠端機器進入恢復模式。
附錄:ntdsutil的幫助
ntdsutil: ?
- 列印這個幫助資訊
authoritative restore - 權威性的恢復 dit 資料庫
domain management - 準備新域建立
files - 管理 ntds 資料庫檔案
help - 列印這個幫助資訊
ipdeny list - 管理 ldap ip 否認列表
ldap policies - 管理 ldap 協議策略
metadata cleanup - 清理不使用的伺服器的物件
popups %s - 用「on」或「off」啟用或禁用彈出
quit - 退出實用程式
roles - 管理 ntds 角色所有者令牌
security account management - 管理安全帳戶資料庫 - 複製 sid 清理
semantic database analysis - 語法檢查器
SQL Server備份和災難恢復
資料處理在現代企業運營中變得越來越重要,越來越關鍵,甚至會成為企業發展的一項瓶頸.資料保護的重要性也不言而喻.如果乙個企業沒有很好的資料保護方案或策略的話,一旦發生重要資料丟失,後果將會是災難性的,伴隨著會有經濟利益方面的損失.各大伺服器硬體廠商 ibm,hp等 提供有很好的資料保護策略 硬體或軟體...
AWS災難恢復方案示例 (1)備份和恢復
前面我們介紹了關於disaster recovery dr 的內容包括 disaster recovery dr 災難恢復的定義和內容概述 恢復時間目標 rto 和 恢復點目標 rpo 與災難恢復 dr 相關的aws功能和服務 1 與災難恢復 dr 相關的aws功能和服務 2 與災難恢復 dr 相關...
如何備份與恢復活動目錄
windows 2000活動目錄遷移工具 用windows的備份工具備份與恢復活動目錄 在windows2000中,備份與恢復active directory是一項非常重要的工作。在nt中,所有有關使用者和企業配置方面的資訊都儲存在登錄檔中,因此我們只需要備份登錄檔即可可。但是在windows200...