一、什麼是活動目錄?
AD是一種事務性數據庫,它是一種預先寫入記錄的模式,使用了ESE97的技術。在磁盤上,AD顯示為幾個文件,它們是ntds.dit(AD數據庫),一組交易記錄(即日志)和記錄數據庫最後一個緩沖區的檢查點文件。還有一個暫時性的數據庫文件。目錄服務是一個組合名詞,它包括有目錄數據存儲和可讓用戶或程序存取信息的相關服務的意思。為社呢們要有目錄呢?目錄可提供企業網絡所有重要數據的一個集中存放區域,這些數據包括用戶帳戶、計算機、打印機、應用程序、安全性與系統原則等各種資源。將大部分的重要的資源集中的放在某個共享的網絡資源中,這樣一來可以改善企業的效率與大幅減少網絡的總擁有成本(TCO)。WIN 2K的目錄服務使用的是多控制器模式,也就是說,可以在任意的一個控制器上修改目錄資源。所以,從上我們可以得知,AD實際是個數據庫,而每個DC都是重要的數據庫服務器,所以,我們應象保護重要數據庫一樣來保護DC。
二、活動目錄的幾個概念
1、域:一個安全邊界。
2、樹:多個域的集合。
3、林:多個有關聯的樹。
4、DNS:通向AD的網關。DNS中的服務記錄,是應用系統查詢AD的根本所在。
5、GC:一個經常被查詢的AD對象的索引。在本機模式下,GC參與網絡客戶端的登錄請求處理,提供通用組成員資格,出非域管理員組成員,才可以不需要GC的協助登錄網絡。在混合模式下,GC就不參與登錄處理了但GC對網絡中進行目錄查詢與搜尋仍舊很重要。
6、操作主機:雖然多控制器模式是AD的核心功能,但多服務器之間的潛在沖突也使這樣的方式運作出在一定的不適用性,為了解決這一問題,AD選擇了一些特殊的機器來擔任特殊的角色。每個角色負責處理特定AD區域的改變。
三、AD的維護和備份
1、AD的維護:通過性能監視工具監視AD的運行狀態和組件狀態,可以有效的發現AD故障並及時解決。
2、AD的備份:AD可以通過備份系統狀態來備份,你可以在系統工具裡找到備份工具來完成此工作,也可以使用第三方軟件來實現。但要注意備份AD的一些約束條件:
* AD只備份當前有效的數據,對於已經標記刪除的對象,不備份。而AD中的對象刪除並不是立即的,需要有60天的刪除標記時間。因此,應避免恢復60天前的AD備份,以免導致AD不完整。
* AD的備份類型無法選擇,只能使用完全備份。
* 要確保備份中同時包含系統狀態、系統盤的文件以及SYSVOL目錄的內容。
* 你只能用原服務器的備份來恢復該服務器,不能用另一台服務器的備份恢復該服務器。
3、AD的整理:AD系統默認每12小時會運行自動在線整理一次。但是在線整理不能減少數據庫的大小,要減少數據庫的大小,需要使用離線整理,其操作為:
在DC啟動的時候,按F8進入啟動菜單,選擇“目錄恢復模式:進入系統,在命令行下輸入如下命令。
ntdsutil
files
info
注意此時輸出的目錄文件路徑!
comnpact to c:\mydir
通過這個命令將在指定目錄下的建立一個壓縮後的數據庫文件。
quit兩次,退出工具。
接下來,你需要用壓縮後的文件替換原始的文件。並重新啟動計算機
四、AD的架構
AD的架構是以結構化的方式定義的數據組成,它通過描述元數據來定義這些結構,通常包括屬性名稱、類型、長度、關系等。看起來,有點象關系數據庫裡的字段定義。同時還包括一些擴展的屬性。包括:
1、命名上下文:有三個,它們是域命名上下文(保存當前AD域的數據),配置命名上下文(保存主要基礎對象和配置信息),架構命名上下文(保存定義了所有的AD對象和屬性)。
2、類別:描述了AD對象及與之相關的特性和屬性。
AD架構的管理:架構管理由架構主機角色控制,默認情況下看不到該管理單元,需要先注冊.schmmgmt.dll,才可以在MMC裡找到它。注冊方法是運行:regsvr32 %systemroot%\system32\schmmgmt.dll。架構內容是禁止刪除的。
五、AD的修理和恢復
1、AD的維護和修復,都是通過一個命令行工具--NTDSUTIL來實現的。修復命令為:
ntdsutil
repair
2、AD的恢復
恢復模式:AD有兩種恢復模式--授權恢復和非授權恢復,其區別在於:
1)授權恢復:當其他的域控制器包含了無效的復制和數據時,可以采用授權恢復方式,這種情況下,你可以手工指定你要恢復整個數據庫或某個分支,並指定本地的恢復操作是權威的。所謂的權威,就是當發生目錄復制時,以本地數據為准。授權恢復要修改AD的升級序號,這樣它的序號就高於其他的DC了,從而使本地的恢復數據能復制給其他的DC。
2)非授權恢復:大多數的恢復操作都是非授權的。當你發現一台DC的數據有問題,而確信其他的DC數據是正常的,就可以使用非授權恢復。恢復完成後,DC會重新比較升級序號並參與正常的復制。也就是說,通過非授權恢復的數據可能在復制中被再次改寫。
注意點:
如果你沒有達到以下要求,恢復操作必定失敗
* 服務器名趁應和備份時一樣
* 系統文件夾所在驅動器應與備份時相同
* 目錄保存路徑應和備份時相同
3、恢復的操作
1)非授權恢復:啟動DC,進入”目錄恢復模式“,執行備份的還原操作。
2)授權恢復:在執行完非授權恢復後,繼續以下操作:
* ntdsutil
authoritative restore
restore database
該命令將授權還原整個數據庫,如果只想還原某個分支,可以用:
restore subtree ou=eng,dc=mycompany,dc=com
系統提示是否正確,回答YES。
quit退出。
注意:在恢復完成後,系統會自動的提示是否需要重新啟動服務器,授權恢復一定要選擇”NO“,否則一旦服務器重新啟動,本次授權恢復就會變成非授權恢復了。另外,需要注意的是,授權恢復一同還原了SYSVOL文件目錄,當計算機帳戶沒有禁用時,系統會每7天查詢確認一次計算機密碼,授權恢復同樣也還原了這一信任密碼,有可能會導致計算機信任關系丟失,這也需要注意。
4、AD的災難性恢復處理
1)重新安裝恢復AD
還原AD的最簡單方法是重新安裝操作系統,重新提升DC。這樣就產生了一個新的DC,但要考慮一個問題,如果原DC的數據已經損壞,我們將無法使用DCPROMO命令刪除該DC上的AD數據,這樣就可能導致AD數據的不同步性,而且更糟糕的是,在AD用戶和計算機的管理單元裡,你也不能刪除DC對象。這是你只能從”AD站點和服務“裡先刪除該服務器,才能刪除該DC。如果你不幸的需要新的DC和原來的DC一樣的名字,那麼你必須先使用NTDSUTIL命令刪除AD裡的對象信息後,才能建立新的DC。具體操作如下:
ntdsutil
metadata cleanup
connections
connect to server <good dc>
quit
select operation target
list site
select site <ID>
list domains
select domain <ID>
list servers in site
select server <bad dc>
remove selected server
以上命令,就可以刪除壞掉的DC信息。更詳細的資料,請參考NTDSUTIL的幫助,執行NTDSUTIL ?即可閱讀幫助信息。
注意:在刪除原DC之前,應確認原DC上不包含任何角色,如果有,請使用NTDSUTIL命令奪取角色,方法如下:
ntdsutil
roles
Seize domain naming master - 在已連接的服務器上改寫域角色
Seize infrastructure master - 在已連接的服務器上改寫結構角色
Seize PDC - 在已連接的服務器上改寫 PDC 角色
Seize RID master - 在已連接的服務器上改寫 RID 角色
Seize schema master - 在已連接的服務器上改寫架構角色
被奪取角色的DC在沒有重新安裝操作系統前,不能重新連入網絡!!
2)從備份中還原AD
從備份文件恢復AD是非常適合的。但要注意使用的還原模式,如果因恢復錯誤操作的信息,應記得使用授權恢復模式。
注意點:
* 過期的備份:前面我們提到,AD的備份不能還原60天前的數據,如果你需要還原60天的備份,需要按KB216993要求修改全局標記時間後才能還原。其的位置在AD裡的
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名稱為:tombstoneLifetime,該操作需要直接編輯AD數據,可使用ADSI,LDP等工具。
注意:請慎重操作!
* 不同硬件下還原:通常情況,不建議你將AD的備份還原到不同的硬件上,除非你確認新機器和原機器的硬件基本一直,並使用同樣的硬件抽象層文件(HAL)。
* 遠程備份和還原:在BOOT.INI文件後,可以加上/safeboot:dsrepair命令選項,引導遠程機器進入恢復模式。
5、結語
本文簡單的描述了活動目錄的整體概念和基本理論,並重點闡述了AD的備份和恢復技巧和操作,以及災難性的恢復手段。
附錄:NTDSUTIL的幫助
ntdsutil: ?
? - 打印這個幫助信息
Authoritative restore - 權威性的恢復 D99v 數據庫
Domain management - 准備新域創建
Files - 管理 NTDS 數據庫文件
Help - 打印這個幫助信息
IPDeny List - 管理 LDAP IP 否認列表
LDAP policies - 管理 LDAP 協議策略
Metadata cleanup - 清理不使用的服務器的對象
Popups %s - 用“on”或“off”啟用或禁用彈出
Quit - 退出實用程序
Roles - 管理 NTDS 角色所有者令牌
Security account management - 管理安全帳戶數據庫 - 復制 SID 清理
Semantic database analysis - 語法檢查器