Active-Directory系列教程完整

1、為什么我們需要域？Active Directory 系列之一為什么需要域？Active Directory。但域?qū)ctive Active Directory 系列AD 的朋友有所幫助。討論這個(gè)問題。Pert hFlorence我們的任務(wù)是要把這個(gè)共享文件夾的訪問權(quán)限授予公司內(nèi)的員工張建國，注意， 首先，如下圖所示，我們?cè)诜?wù)器上為張建國創(chuàng)建了用戶賬號(hào)。授予了用戶張建國。Perth 上準(zhǔn)備訪問服務(wù)器上的共享文件夾了，張建國準(zhǔn)備訪問資源Florence如下圖所示，張建國輸入了自己的用戶名和口令。如下圖所示，張建國成功地通過了身份驗(yàn)證，訪問到了目標(biāo)資源。500 500 臺(tái)服務(wù)器上都有資源要分配給

2、張建國，那會(huì)有什么樣的后5001000 背道而馳的。Active Directory 的數(shù)據(jù)庫中。Active Director y這個(gè)微軟工程師必備的重要知識(shí)點(diǎn)。本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/113185 /2 HYPERLINK /202879/113185 02879/113185部署第一個(gè)域：Active Directory 系列之二部署第一個(gè)域Active Directory； ence 是域控制器，Berlin 是成員服務(wù)器，Perth 是工作站。部署一個(gè)域大致要做下列工作：DNS前期準(zhǔn)備創(chuàng)建

3、域控制器創(chuàng)建計(jì)算機(jī)賬號(hào)創(chuàng)建用戶賬號(hào) DNS 前期準(zhǔn)備DNS DNS NS DNS SRV 記錄來定位域控制器，因此我們?cè)趧?chuàng)建域之前需DNS DNS 服務(wù)器呢？ DNS DNSDNSNSDNS解析支持， DNS服務(wù)器。在創(chuàng)建域之前，DNS 服務(wù)器需要做好哪些準(zhǔn)備工作呢？創(chuàng)建區(qū)域并允許動(dòng)態(tài)更新DNS 算機(jī)的DNS DNS 服務(wù)器上打開DNS 點(diǎn)擊下一步繼續(xù)。區(qū)域類型選擇“主要區(qū)域”。區(qū)域名稱和域名相同，是 。DNS A 錄，SRV Cname 記錄。區(qū)域創(chuàng)建完畢，點(diǎn)擊完成結(jié)束創(chuàng)建。NSSOA記錄NS SOA DN S NS SOA 記錄的意義，NS 記錄描述了有多DNS DNS NS SOA DN

4、S DNS DNS ns ns 域名，我們需要對(duì)它進(jìn)行修改。如下圖所示，我們把 ns 記錄改為 .，解析出的 IP 地址和 DNS服務(wù)器的 IP 是吻合的，這樣我們就完成了 ns 記錄的修改。如下圖所示，我們把區(qū)域的 SOA 記錄也同樣進(jìn)行修改，現(xiàn)在區(qū)域的主服務(wù)器是.，這樣 SOA 記錄也修改完畢了。至此，DNS 準(zhǔn)備工作完成，我們接下來可以部署域了。二 創(chuàng)建域控制器DNSActive Directory，可以說，域控制器就是域的FlorenceFlorenceTCP/IPDNS服務(wù)器。區(qū)域。如下圖所示，在 Florence 上運(yùn)行 Dcpromo，開始域控制器的創(chuàng)建。Active Direc

5、tory Flor ence Active Directory 數(shù)據(jù)庫，點(diǎn)擊下一步繼續(xù)。A 是一個(gè)新創(chuàng)建的域，因?yàn)槲覀冞x擇創(chuàng)建“新域的域控制器”。雖然這個(gè)域林內(nèi)只有一棵域樹，域樹內(nèi)只有一個(gè)樹根。輸入域的 DNS 名稱，。NETBIOS .NETBIOS NETBIOS 名稱就是域名中.之前的部分。Active Directory 數(shù)據(jù)庫的路徑我們使用了默認(rèn)值，如果在生產(chǎn)環(huán)境，可以考慮把數(shù)據(jù)庫和日志部分分開存儲(chǔ)。Sysvol Sysvol 后續(xù)會(huì)有介紹。Active Directory DNS 服務(wù)器進(jìn)行檢測(cè)，檢查是否在DNS 下圖所示，DNS DNS 檢測(cè)有問題，我們應(yīng)該及時(shí)排除故障，而不應(yīng)該

6、繼續(xù)向下進(jìn)行。接下來要選擇用戶和組的默認(rèn)權(quán)限，我們選擇了不允許匿名用戶查詢域中的信息。設(shè)置一下還原模式的管理員口令，我們從備份中恢復(fù) Active Directory 時(shí)需要用到。開工了！如下圖所示，Active Directory Florence Active Dir ectory。如下圖所示，重啟計(jì)算機(jī)后即可完成 Active Directory 的安裝。Florence后我們發(fā)現(xiàn)已經(jīng)可以用域管理員的身份登錄了，已經(jīng)被成功創(chuàng)建了。DNS DNS 區(qū)域中已經(jīng)自動(dòng)創(chuàng)建了很多記錄，這些記錄錄創(chuàng)建出來，如果沒有那就有問題了。至此，我們完成了域控制器的創(chuàng)建， 域誕生了！三 創(chuàng)建計(jì)算機(jī)賬號(hào)Activ

7、e Directory 個(gè)密鑰等等，這些內(nèi)容我們?cè)诤笃跁?huì)為大家介紹。BerlinBerlinDNSBerlinDNS定位域控制器。如下圖所示，在 Berlin 的計(jì)算機(jī)屬性中切換到“計(jì)算機(jī)名”標(biāo)簽，點(diǎn)擊“更改”。我們選擇讓 Berlin 隸屬于域，域名是 。這時(shí)系統(tǒng)需要我們輸入一個(gè)有權(quán)限在Active Directory 中創(chuàng)建計(jì)算機(jī)賬號(hào)的用戶名和口令，我們輸入了域管理員的用戶名和密碼。Berlin Florence Active Direc tory Berlin 來了。四 創(chuàng)建用戶賬號(hào)創(chuàng)建完計(jì)算機(jī)賬號(hào)后，我們需要為企業(yè)內(nèi)的員工在 Active Directory 中創(chuàng)建關(guān)聯(lián)的用戶賬號(hào)。首先

8、我們應(yīng)該在 Active Directory 中利用組織單位展示出企業(yè)ctive Directory 用戶和計(jì)算機(jī)，選擇新建組織單位。輸入組織單位的名稱，點(diǎn)擊確定后一個(gè)組織單位就創(chuàng)建完成了，是不是很簡單呢。們?cè)谌耸虏康慕M織單位中選擇新建一個(gè)用戶。輸入用戶的姓名及登錄名等參數(shù)，點(diǎn)擊下一步繼續(xù)。輸入用戶密碼，選擇“密碼永不過期”。配置工作需要做，我們?cè)诤罄m(xù)的課程中會(huì)有一個(gè)專題為大家介紹。目前為止，我們已經(jīng)創(chuàng)建了一個(gè)域，也在域中創(chuàng)建了計(jì)算機(jī)賬號(hào)和用戶賬號(hào)。那么，域的管理優(yōu)勢(shì)如何能夠加以體現(xiàn)，目前這個(gè)域模型有沒有什么缺陷呢？ 我們?cè)谙缕┪闹袑⒔鉀Q這個(gè)問題?！?HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課

9、堂” HYPERLINK /202879/114661 /2 HYPERLINK /202879/114661 02879/114661用備份進(jìn)行Active Directory 的災(zāi)難重建：Active Directory 系列之三用備份進(jìn)行 Active Directory 的災(zāi)難重建Berlin 上一個(gè)共享文件夾的讀權(quán)限如下圖所示，我們?cè)诔蓡T服務(wù)器 Berlin 上右鍵點(diǎn)擊文件夾 Tools，選擇“共享和安全”，準(zhǔn)備把 Tools 文件夾共享出來。Tools ToolsTool s 文件夾的讀權(quán)限只分配給張建國。Tools Everyone 成員服務(wù)器分配資源時(shí)就可以使用這些用戶賬號(hào)了。

10、我們把 Tools 文件夾的讀權(quán)限授予了張建國。BerlinTools共享文件夾，如下圖所示， 們只把共享文件夾的權(quán)限授予了張建國。如下圖所示，在 Perth 上以張建國的身份登錄。Berlin Tools了目標(biāo)資源，我們的資源分配達(dá)到了預(yù)期的效果。Berlin 文件夾時(shí)，Berlin 的守護(hù)進(jìn)程會(huì)檢查訪問者的令牌，然后和被訪問資源的訪問Berlin 問者就可以透明訪問資源，無需進(jìn)行其他形式的身份驗(yàn)證。要再輸入口令了，這種基于域的資源分配方式是不是非常的高效靈活呢？Active Directory 的備份來實(shí)現(xiàn)域控制器的災(zāi)難重建。Windows e directory 助我們從困境中解脫出來。

11、在 Florence 上依次點(diǎn)擊 開始程序附件系統(tǒng)工具備份，如下圖所示， 出現(xiàn)了備份還原向?qū)Вc(diǎn)擊下一步繼續(xù)。選擇備份文件和設(shè)置。不用備份計(jì)算機(jī)上的所有信息，我們只備份 Active Directory，因此我們手工選擇要備份的內(nèi)容。System State，System State Active DirectorySystem State Active Directory，Regis try Sysvol System State。我們把 System State 備份在 C:ADBAK 目錄下。點(diǎn)擊完成結(jié)束備份設(shè)置。存即可。FlorenceFlorence。Fl orence，IPDNSA

12、DT EST.COMDNS。而且新的計(jì)算機(jī)不需要?jiǎng)?chuàng)建 Active Directory，我們從備份中恢復(fù) Active Dir ectory 即可。系統(tǒng) 屈性囡區(qū)噓畫硬己 醞 已 自動(dòng)更新l程li 使用以下信息在網(wǎng)絡(luò)中標(biāo)識(shí)這臺(tái)計(jì)籩機(jī)。計(jì)籩機(jī)描述Q)空例 “IIS P oduct on Server 或Acco 叩 t i ng Server.完整的計(jì)籩機(jī)名稱邸工作組要重新命名此計(jì)算機(jī)或加入域，單擊“更改”。,打 l . 二一衛(wèi)從文件服務(wù)器上把 System State 的備份復(fù)制到新的 Florence 上，然后啟動(dòng)備份工具，如下圖所示，選擇下一步繼續(xù)。這次我們選擇還原文件和設(shè)置。如下圖所示，

13、通過瀏覽按鈕選擇要還原的文件是 C:ADBAKBACKUP.BKF， 備份工具顯示出了 BACKUP.BKF 的編錄內(nèi)容，勾選要還原的內(nèi)容是 System State，選擇下一步繼續(xù)。還原設(shè)置完畢，點(diǎn)擊完成結(jié)束。Active y的重建工作。重新啟動(dòng) Florence 后，如下圖所示，我們發(fā)現(xiàn) Active Directory 已經(jīng)恢復(fù)了。Florence 的角色也發(fā)生了改變。嘗試讓域用戶進(jìn)行登錄，一切正常，至此，Active Directory 恢復(fù)完成！如果域中唯一的域控制器發(fā)生了物理故障，那整個(gè)域的資源分配就要趨于崩潰， 因此我們很有必要居安思危，未雨綢繆。使用用備份工具對(duì) Active

14、Directory 數(shù)據(jù)庫進(jìn)行備份，然后在域控制器崩潰時(shí)利用備份內(nèi)容還原 Active Directory是工程師經(jīng)常使用的災(zāi)難恢復(fù)手段。這種方案簡單易行，很適合小型企業(yè)使用， 希望大家都能掌握這種基礎(chǔ)手段。下次我們將介紹通過部署額外域控制器來解決Active Directory 的容錯(cuò)和性能問題。本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/116181 /2 HYPERLINK /202879/116181 02879/116181部署額外域控制器,Active Directory 系列之四部署額外域控制器AD 器來

15、避免域的崩潰。Directory 數(shù)據(jù)庫。使用額外域控制器的好處很多，首先是避免了域控0.1 秒，那最后一個(gè)用戶登錄進(jìn)入系統(tǒng)肯定要遭遇一定Active Directory Active Directory Active Directory，其他的域控制器都要把這個(gè)修改作用Active Directory Active Directory 數(shù)據(jù)的完整Active Directory NT4 NT4 的域把域DNS 的主服務(wù)器和輔助服務(wù)器的區(qū)別。NT4 Win2000 Active Directory 之后，所有的域控制器都可以自主地修Active Directory Win2003 域中的第一臺(tái)

16、域控制器我們稱之為主域控制器是不太嚴(yán)謹(jǐn)?shù)?，雖然事實(shí)上第一臺(tái)域控制器比其他的域控制器承擔(dān)了更多的任務(wù)。ze DNS 8.11.1 來承擔(dān)。FirenzeTCP/IPFiren zeDNSFirenzeDNS服務(wù)器來定位域控Firenze在 Firenze 上運(yùn)行 Dcpromo，如下圖所示。出現(xiàn) Active Directory 的安裝向?qū)Вc(diǎn)擊下一步繼續(xù)。這次我們選擇創(chuàng)建現(xiàn)有域的額外域控制器，點(diǎn)擊下一步繼續(xù)。輸入域管理員賬號(hào)，用以證明自己有權(quán)限完成額外域控制器的部署。Firenze 將成為 域的額外域控制器。Active Directory 數(shù)據(jù)庫的存儲(chǔ)路徑使用默認(rèn)值即可。Sysvol 文件夾

17、的存儲(chǔ)路徑也可以使用默認(rèn)值。輸入目錄服務(wù)還原模式的管理員密碼，以后我們從備份還原 Active Directory時(shí)可以用到。確認(rèn)所有的設(shè)置無誤，點(diǎn)擊下一步繼續(xù)。如下圖所示，F(xiàn)irenze Florence Active Directory 到本機(jī)。Active Directory 安裝完畢，點(diǎn)擊完成后 Firenze 會(huì)重新啟動(dòng)，至此，額外域控制器部署結(jié)束。Firenze Firenze Active Directory 用戶和計(jì)算機(jī)， Firenze Florence Active Directory 內(nèi)容復(fù)制了過來。檢查 DNS 服務(wù)器，可以看到 DNS 中已經(jīng)有了 Firneze 的

18、SRV 記錄。Firenzeoe和ze是現(xiàn)在域中的兩個(gè)域控制器， FlorenceFirenzeActive Directory內(nèi)容應(yīng)該完全一致，但如果現(xiàn)FlorenceFirenzeActive Directory本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/117599 /2 HYPERLINK /202879/117599 02879/117599Active Directory 的主要還原，Active Directory 系列之五Active Directory 的授權(quán)還原AD Active Active Di

19、rectory Active Active Directory 的變化復(fù)制過去。ive Directory Active Directory 內(nèi)e Directory 的這種情形。Active Directory Active Directory Active Director y 內(nèi)容為準(zhǔn)。Active Directory 的優(yōu)先級(jí)比較主要考慮三方面因素，分別是：版本號(hào)時(shí)間GUIDActive DirectoryAB，Aadministrator4 12345；Badministrator5 123456ABActive Directoryadmi nistratorAB45， 這時(shí)A就會(huì)把

20、B的Active Directory內(nèi)容復(fù)制到本機(jī)的Active Direcotry中。BActive DirectoryActive Directory中所有對(duì)象的版本號(hào)也都完全一致了。A B administrator 4 修改的時(shí)間靠后，時(shí)間靠后者優(yōu)先。這里我們順便提及一下，Active Director y5 ctive Directory 還有一個(gè)墓碑時(shí)間的限制，這些我們以后再詳細(xì)加以說明。A B 兩個(gè)域控制器的版本號(hào)和時(shí)間都完全一致，這時(shí)就要比較兩個(gè)域控GUID 了，顯然這完全是個(gè)隨機(jī)的結(jié)果。一般情況下時(shí)間完全相同的非GUID 這個(gè)因素只是一個(gè)備選方案。Active Directo

21、ry Florence Firenze。現(xiàn)在域中Firenze Active Directory 已經(jīng)進(jìn)行了備份。Florence Firenze Act ive Directory Florence Active Directory 保持一致。那么我們應(yīng)該怎么做才能把張建國給恢復(fù)回來呢？很多朋友會(huì)很自然地想到利用Firenze 上的Active Directory 備份來解決這個(gè)OK 兩個(gè)域控制器，我們就要好好考慮一下了。Firenze 從備份還原后，F(xiàn)lorence Firenze Active Directory Florence Firenze Active Directory Flo

22、rence 的版本Firenze ve Directory Firenze Florence 比較Active Directory Florence Active Directory 比自Firenze Florence Active Directory 復(fù)制過來， 這樣一來，剛被還原的張建國肯定會(huì)被重新刪除掉！Firenze Active Direc tory NTDSUTIL.EXE Active Directory Firenze Florence 過一個(gè)實(shí)例為大家演示一下具體過程。FirenzeActive DirectoryFirenze上開始利Firenze上重啟計(jì)算機(jī)，BIOSF

23、8， Active rectoryActive Directory。步繼續(xù)。選擇還原文件和設(shè)置。選擇從備份還原 Active Directory。點(diǎn)擊確定開始 Active Directory 的還原。如下圖所示，還原結(jié)束后，千萬別選擇重啟計(jì)算機(jī)，我們還沒有修改 Active Di rectory 的版本號(hào)呢，確保選擇“否”。還原結(jié)束后在 Firenze 的命令提示符下運(yùn)行 NTDSUTIL，如下圖所示。運(yùn)行了 NTDSUTIL 后，我們可以輸入？來獲取當(dāng)前環(huán)境下的可執(zhí)行命令幫助， 如下圖所示，我們運(yùn)行 Authoritative restore 來修改 AD 對(duì)象的版本號(hào)。restore A

24、D 內(nèi)所有對(duì)10 AD Re store Object AD 中表示張建ADTEST.COM 域中的人事部cn張建國，ou人事部，dcadt est，dccom。如下圖所示，我們輸入修改指令后觀察一下運(yùn)行的效果。系統(tǒng)詢問是否執(zhí)行授權(quán)還原，我們選擇“是”。如下圖所示，授權(quán)還原成功完成，用 quit 命令退出 NTDSUTIL。Firenze，如下圖所示，F(xiàn)irenze AD 中已經(jīng)重新?lián)碛辛擞脩魪埥▏薷陌姹咎?hào)成功了。本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/119477 /2 HYPERLINK /202879/1

25、19477 02879/119477離線部署額外域控制器離線部署額外域控制器ive Directory 數(shù)據(jù)。在線部署額外域控制器是我們部署額外域控制器時(shí)的首Active DirectoryActive Directory 的離線文件復(fù)制，這樣就可有效避免對(duì)網(wǎng)絡(luò)環(huán)境的依賴。Active Directory Active Direct ory Active Directory 備份之后，把離Active Directory D cpromo 來調(diào)用離線文件從而完成額外域控制器的部署。我們通過一個(gè)具體實(shí)例加以說明，實(shí)驗(yàn)拓?fù)淙缦聢D所示，F(xiàn)lorence 是域控制器，F(xiàn)irenze 是準(zhǔn)備用離線方式部

26、署的額外域控制器。具體的部署過程分為下列兩個(gè)階段：1、 獲得 Active Directory 的離線文件2、 離線部署額外域控制器Active Directory的離線文件FlorenceActive Directory進(jìn)行備份，備份工具使Ac tive DirectoryActive DirectoryNTBACKUPSystem State Active DirectorySystem StateActive Directory， Boot Class Registration SYSVOL 。Active Directory，Regis trySYSVOL三部分即可。System St

27、ate 480M Active Directory N TBACKUPFlorence NTB ACKUP 后，選擇“還原文件和設(shè)置”。System State em State 的備份中包含了五部分內(nèi)容。如下圖所示，千萬不要選擇完成，一定要點(diǎn)擊“高級(jí)”按鈕進(jìn)行設(shè)置，否則系統(tǒng)會(huì)把備份文件還原到原位置。C:ADBAKC:ADBAK 中。還原選項(xiàng)使用默認(rèn)值即可。仍然保留默認(rèn)設(shè)置。如下圖所示，還原順利完成。e Directory，Registry SYSVOL 三個(gè)文件夾的內(nèi)容，這三個(gè)文件夾的數(shù)據(jù)40M 480M Active Directory 離線文件的準(zhǔn)備。二 離線部署額外域控制器Active

28、 Directory Firenze 上部署額外域Firenze Dcpromo /adv。出現(xiàn) Active Directory 安裝向?qū)?，點(diǎn)擊下一步繼續(xù)。選擇成為額外域控制器。Active Florence Directory，Registry SY SVOL。Firenze Fir enze 輸入域管理員的口令用以在 Firenze 上創(chuàng)建 Active Directory。輸入還原模式口令，下一步繼續(xù)。如下圖所示，F(xiàn)irenze 上開始離線部署額外域控制器。Active Directory 創(chuàng)建完成，重啟后就可以發(fā)現(xiàn) Firenze 已經(jīng)成為了域控制器，至此，利用備份離線部署額外域控制

29、器順利完成！本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/121735 /2 HYPERLINK /202879/121735 02879/121735Active Directory 的脫機(jī)碎片整理，Active Directory 系列之七Active Directory 的脫機(jī)碎片整理Active Directory 是一個(gè)被設(shè)計(jì)用于查詢的非關(guān)系型數(shù)據(jù)庫，Active Directo ry 使用一段時(shí)間后，需要對(duì)數(shù)據(jù)庫內(nèi)容進(jìn)行維護(hù)，以減少數(shù)據(jù)碎片及提高查詢Active Directory 的數(shù)據(jù)庫進(jìn)行離線維護(hù)。Ac

30、tive Directory 創(chuàng)建時(shí)默認(rèn)的數(shù)據(jù)庫及事務(wù)日志的存放路徑是C:WindowsC:WindowsNT DSNTDS.DITActive Directory的數(shù)據(jù)庫文件，EDB.LOG10M，如果事務(wù)日edb00001.logedb00001.logedb00002.log，以此Win2003Active Dire ctoryWin2000Active Directory的數(shù)據(jù)庫和事務(wù)日志可以存儲(chǔ)在不同的硬盤上。EDB.CHK Active Directory 和內(nèi)Active Directory Active Directory RES1.LOG 和RES2.LOG 20M Acti

31、ve Directory 的事務(wù)20M 空間，避免當(dāng)硬盤空間用光后無法正常關(guān)機(jī)。Active DirectoryActive Direct oryActive Directory做一些碎片整理了。Active Directory的碎片整理分為在線和離線兩部分，默認(rèn)情況12Active Directory，用戶不會(huì)受到影響；缺點(diǎn)是在線整理只能在已分配Active Dir ectory的規(guī)模不大，數(shù)據(jù)變更不頻繁，我們使用默認(rèn)的在線整理也就可以了。Active DirectoryGActive Directory Active DirectoryActiv e DirectoryAD Directo

32、ry進(jìn)行脫機(jī)碎片處理后，可以有效地減少Active DirectoryActive Dir ectoryActive Directory11G6 GActive DirectoryActive Directory內(nèi)包含海量數(shù)據(jù)的單位來說，離線維護(hù)還是很有必要做的。如何才能對(duì)Active Directory Fl orence Florence 上要進(jìn)入目錄服務(wù)還原模式，在這個(gè)模式下，Active Directory 將被脫機(jī)掛起，然后我們就可Active Directory Flor enceF8 鍵選擇進(jìn)入“目錄服務(wù)還原模式”。進(jìn)入目錄服務(wù)恢復(fù)模式后，我們輸入命令 NTDSUTIL，如下圖所

33、示，我們將使用 NTDSUTIL 對(duì) Active Directory 進(jìn)行碎片整理。如下圖所示，我們?cè)?NTDSUTIL 中輸入 Files。Compact To C:Active Directory數(shù)據(jù)庫CCActive DirectoryNtds.dit。Active DirectoryExchangeActive Directory，Exchange，WINS等服務(wù)器都使用了類似的非關(guān)系型數(shù)據(jù)庫引擎。如下圖所示，壓縮成功后我們用新的 ntds.dit 覆蓋了原來的 Active Directory數(shù)據(jù)庫文件，同時(shí)刪除了原有的日志文件，但仍然保留 edb.chk 文件。如下圖所示，這就是

34、我們進(jìn)行碎片整理后的 Active Directory 文件，如果在一個(gè)大型網(wǎng)絡(luò)中，經(jīng)過這種離線整理后可以很明顯地看出對(duì)磁盤空間的釋放。Active Directory ctive Directory Active Directory Acti ve Directory 的復(fù)制?！?HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” HYPERLINK /202879/123829 /2 HYPERLINK /202879/123829 02879/123829Active Directory 的復(fù)制拓?fù)?，Active Directory 系列之八Active Directory 的復(fù)制拓?fù)銩cti

35、ve Directory Active Directory NT4 PDC BDCPDC 是主域控制器的縮寫，BDC PDC，BDC 可以有多個(gè)， BDC PDC PDC 才可以更改域中的用戶賬號(hào)，計(jì)算機(jī)賬號(hào)等目錄數(shù)據(jù)，BDC DNS 服務(wù)器的輔助服務(wù)器和主服務(wù)器的關(guān)系。單主復(fù)制模型比較簡單，管理難度不大，但較容易構(gòu)成單點(diǎn)故障。Win2000 Directory Active Directory PDC BDC 的區(qū)別了。Win2003 Win2000 Win2008 RODCWin2008 RODC BDC 是有些關(guān)聯(lián)的。Win2003 Active Directory 中使用了多主復(fù)制的模

36、型，也就是任何一個(gè)域控制器都可以修改 Active Directory。為了維護(hù) Active Directory Active Directory 內(nèi)容應(yīng)該都相同。那么，如Active DiretorDirectory Active Directory KCC Active Directory LSACC KCC 可以自動(dòng)計(jì)算出域控制器進(jìn)行復(fù)制時(shí)KCC ctive Directory Active Directory 內(nèi)容發(fā)生變化KCC 器都有兩個(gè)復(fù)制伙伴，Active Directory 的復(fù)制沿著順時(shí)針和逆時(shí)針兩個(gè)方向進(jìn)行。Active Directory DC1 Active Dire

37、ctory 后，DC1 5 AD 中有些新內(nèi)容”。DC2 Active Directory DC1 Active Directory DC2。Active Directory 中發(fā)生了一些緊急事件，例如用戶口令被修改，那么此時(shí)5 Active Directory 復(fù)制PDC 操作主機(jī)。如果一個(gè)域控制器在一個(gè)小時(shí)之內(nèi)都沒有收到復(fù)制伙伴發(fā)來的通知，它就會(huì)向復(fù)制伙伴發(fā)出一個(gè)查詢，詢問復(fù)制伙伴是否在線。我們通過一個(gè)實(shí)例來觀察一下域控制器的復(fù)制拓?fù)?，A Flor ence，F(xiàn)irenze Berlin Florence Active Director y 站點(diǎn)和服務(wù)，可以看到每個(gè)域控制器的復(fù)制伙伴。如下

38、圖所示，F(xiàn)lorence Berlin Firenze。而 Firenze 的復(fù)制伙伴是 Florence 和 Berlin。Berlin 的復(fù)制伙伴是 Florence 和 Firenze。Active Directory 的復(fù)制拓?fù)?，這是一個(gè)標(biāo)準(zhǔn)的雙環(huán)拓?fù)?，拓?fù)淙缦聢D所示。Active Directory DC1 Active Directory DC1 DC2，DC2 可DC4 DC5 DC1 DC5 Active Directory 復(fù)制時(shí)環(huán)形拓?fù)鋵?dǎo)致的延遲100 5 5 00 KCC 會(huì)使用網(wǎng)狀拓?fù)洌W(wǎng)KCC Florence Florence Active Directory 如下

39、圖所示，F(xiàn)lorence 可以從域控制器列表中選擇自己的復(fù)制伙伴。這樣一來，我們就完成了對(duì) Florence 復(fù)制伙伴的手工指定。KCC DNS SRV Active Directory Active Directory 問題。本文出自 “ HYPERLINK / 岳雷的微軟網(wǎng)絡(luò)課堂” 博客，請(qǐng)務(wù)必保留此出處 HYPERLINK /202879/126641 /2 HYPERLINK /202879/126641 02879/126641詳解操作主機(jī)角色，Active Directory 系列之九Active Directory 操作主機(jī)詳解在前面的博文中，我們已經(jīng)了解到每個(gè)域控制器都能自主修

40、改 Active Direct ory，而且修改后的結(jié)果會(huì)被其他的域控制器所承認(rèn)。從這個(gè)角度講，域控制器之間的地位是平等的，但我們決不能認(rèn)為域控制器之間是沒有區(qū)別的！事實(shí)上， 域中的第一個(gè)域控制器往往比其他的域控制器承擔(dān)了更多的任務(wù)。Exc hange，無法部署子域等等。原因很簡單，第一個(gè)域控制器承擔(dān)的任務(wù)并沒有被了哪些更多的任務(wù)呢？這就是我們今天要討論的話題，操作主機(jī)！PDC 主機(jī)，RID PDC NT4 備份域控制器PDC PDC Win2000 Active Directory 了，那為什么Win2003 PDC 主NT4 Win2003 NT4 P DC PDC NT4 PDC NT4

41、 服務(wù)器。PDC Windows workgroup 3.1 機(jī)選舉時(shí)首先比較操作系統(tǒng)版本，版本新的優(yōu)先成為主瀏覽器，例如 Win2003 Win2000PDC PDC 們之間又如何進(jìn)行主瀏覽器的選舉呢？它們之間會(huì)通過GUID 者。PDC Active Directory 的優(yōu)先復(fù)制權(quán)，正常情況下，A ctive Directory 5 Active Directory PDC Active Directory Active Directory 中存儲(chǔ)的口令不一致，域控制器考Active Directory 還沒有接收到最新的變化。域控制器為了避PDC PDC PDC 主機(jī)。PDC 主機(jī)除了上

42、述的幾種用途，還可用于充當(dāng)域內(nèi)的權(quán)威時(shí)間源，同時(shí) PDC 主機(jī)也是組策略的首選存儲(chǔ)地點(diǎn)。順便提一下，PDC 主機(jī)的作用級(jí)別是域級(jí)別， 也就是說，在一個(gè)域中只能有一臺(tái)域控制器充當(dāng) PDC 主機(jī)。PDC RID 主機(jī)。RID SID 的一部分，什SID 呢？SID （Security Identify）的縮寫，當(dāng)我們?cè)谟蛑袆?chuàng)建用SID是說，SID SID 格式是這樣的，S-1-5-21-D1-D2-D3-RID，S SID 1 SID 的版本號(hào)，5 代表授權(quán)機(jī)構(gòu)，21 代表子授權(quán)，D1-D2-D3 RI D SID S-1-5-21-3855104193-3464347045-3256418734

43、-500RID 500。RID SID 的組成部分，RID Active Directory RID （500 個(gè)RID 被消耗到一定程度后再自動(dòng)補(bǔ)充RID DC 主機(jī)類似，RID 主機(jī)的作用級(jí)別也是域級(jí)別。A 域的一個(gè)用戶加B A 域的這個(gè)用戶是否發(fā)生了什GC（全局編錄）放在同一臺(tái)域控制器上，否則結(jié)構(gòu)主機(jī)無法正常工作。結(jié)構(gòu)主機(jī)的作用級(jí)別也是域級(jí)別。機(jī)還要負(fù)責(zé)添加或刪除描述外部目錄的交叉引用對(duì)象。Active Directory Active Direct ory Exchange，Office Communications Server，SMS 等。Exchange Exchange 時(shí)無法在線聯(lián)系Exchange 的部署就無法