对于Windows的网络环境来说,活动目录的作用是极为重要的,在活动目录数据库中存储了和网络管理相关的重要信息。Windows网络环境中,可能存在一台或者多台域控,活动目录数据库信息会在其中自动进行复制。在域控上打开“%systemroot%\ntds”目录,即可显示和AD数据库相关的文件(图1),包括名为“ntds.dit”是活动目录数据库文件,以及与之相关的日志文件等。
1.快速整理AD数据库
活动目录数据库使用时间久了,在其中会产生碎片信息,这会影响其效能。为此以域控管理员身份打开命令提示符窗口,执行“net stop ntds”命令,停止AD域服务(图2)。执行“ntdsutil”命令,显示“ntdsutil:”命令提示符,执行“activate instance ntds”命令,激活名为“ntds”的实例。执行“files”命令,并切换到文件维护模式。
在“file maintenance:”提示符下执行“compact to e:\clsp ”命令,对AD数据库进行压缩整理操作(图3)。完成后连续执行“quit”命令,返回正常的命令窗口。
执行“copy "e:\clsp \ntds.dit" "c:\windows\ntds"”命令,替换原有的AD数据库文件。之后删除“c:\windows\ntds”目录中的所有以“.log”为后缀的日志文件,执行“net start ntds”命令,重启AD DS域服务。
2.备份活动目录数据库
当域控制器正常运作时,对其系统状态参数进行备份,这样当其出现问题时,可以进行快速还原。这里使用Windows Server Backup这一系统工具来执行备份操作。在服务管理器中打开添加功能向导界面(
图4),选择“Windows Server Backup”项,点击下一步按钮,完成该程序的安装操作。
图1
图2
图3
运行Windows Server Backup程序(图5),在其右侧点击“一次性备份”项,在向导界面中选择“其他选项”项(图6),在下一步窗口中选择“自定义”项(图7),来自由定义备份内容。当然选择“整个服务器(推荐)”项,可以备份当前域控的所有磁盘。在下一步窗口中点击“添加项目”按钮,在选择项窗口(图8)中选择“裸机恢复”“系统状态”以及系统盘等项
目。
点击“高级设置”按钮,在“VSS设置”面板(图9)中选择“VSS完整备份”项。点击下一步按钮,选择“本地驱动器”项(图10),之后选择目标磁盘,就可
以执行备份操作了。当然选择“远程共享文件夹”项,可以将备份数据保存到指定的网络共享路径中。在“位置”栏中输入共享路径信息,点击“备份”按钮,完成备份操作。
图5
图6图7
图9
图8
图4
注意,如果域控出现严重故障,或者系统分区受到严重损坏,那么就需要事先(即域控处于正常状态时)使用完整备份来执行还原操作,即在上述备份项目窗口中必须选择“裸机恢复”“系统状态”“系统保留”“本地磁盘(C)”等对象。因为域控已经损坏无法启动,所以需要使用安装光盘或者安装优盘引导系统,在安装界面中点击下一步按钮,在出现“现在安装”界面中点击“修复计算机”项,之后依次点击“疑难解答”“系统恢复映像”等按钮。
在系统映像恢复窗口中点击“Windows Server 2012”项。在恢复向导界面中选择“使用最新的可用系统映
像”项,在下一步窗口中选择“格式化并重新分区磁盘”项,点击“排除磁盘”按钮,选择需要排除的磁盘,将其排除在重新分区的范围外。点击“高级”按钮,选择“完成还原后自动重新启动计算机”和“自动检测和更新磁盘错误信息”项。在下一步窗口点击完成按钮,可以对目标磁盘进行分区和格式化操作。在之后弹出的警告窗口中点击“是”按钮,开始执行还原操作。之后重启域控,就可以将其恢复到可用状态。
3.还原活动目录数据库
如果以后活动目录域服务(即AD DS)数据损坏的话,可以在开机时按下F8键,在开机菜单中选择“目录服务还原模式”项,显示目录服务还原模式(即DSRM)登录界面。在其中点击“切换用户”按钮,点击“其他用户”按钮,在用户名称栏中输入“.\Administrator”,在密码栏中输入管理员密码。
登录后运行Windows Server Backup程序,在其主界面右侧点击“恢复”链接,在向导界面中选择“在其他位置存储备份”项(图11),点击下一步按钮,选择“远程共享文件夹”项(图12),在下一步窗口中输入目标共享文件夹路径,点击下一步按钮,选择备份的时间和日期(图13)。在下一步窗口中选择“系统状态”项,点击下一步按钮,选择“原始位置”项,之后点击“恢复”按钮,并重新启动系统,完成数据恢复操作。注意,为了实现授权还原,需要选择“对Activate Directory文件执行授权还原”项,否则执行的就是非授权还原。
图10
图11
图12
图13
4.使用授权还原,保证账户安全
使用上述操作方法,被称为非授权还原,其只适用于域中只有一台域控制器的情况。如果存在多台域控的话,还需要配合使用授权还原操作。否则很容易造成在某台域控上已经还原的账户,在其他域控上却处于删除状态的情况。
例如,在某台域控上按照上述方法执行非授权还原操作,当还原完毕后,在系统提示重新启动时,不要立即重启。在CMD窗口中执行“ntdsutil”命令,显示“ntdsutil:”命令提示符,执行“activate instance ntds”命令,激活名为“ntds”的实例,执行“authoritative restore”命令,在“authoritative restore:”提示符下,可以针对目标账户进行授权还原操作。本例中假设名为“newuser”的账户隶属于名为“depart1”的组织单元,域名为“xxx”。当在当前的域控中被删除后,其信息会自动同步到其他域控中。
当需要恢复该账户时,可以先在当前域控中恢复。执行“restore object CN=newuser,OU=depart1,DC=XXX. DC=com”,在弹出的确认窗口中点击“是”按钮,当显示“Authoritati
ve Restore成功完成”字样时,连续执行“quit”命令,退回正常操作状态。之后重启系统,等待一段时间(同一站点内默认为15秒),让不同域控制器之间自动完成同步操作,也可以执行“repadmin / /e /d /A /P”命令,手工执行域控制器之间的Activate Directiry数据库的同步操作。当完成以上操作后,该账户的信息就会在所有的域控中恢复了。windowsserver能日常用吗
5.重设目录还原管理员密码
如果在执行上述还原操作时,忘记了目录服务还原模式管理员密码,就无法进入目录还原模式。为此,可以在正常模式下重设上述密码。在局域网中的某台主机上以域管理员身份登录,在命令提示符窗口中执行“ntdsutil”命令,在“ntdsutil:”提示符下执行“set DSRM password”命令,在“重设DSRM系统管理员密码”提示符下执行“reset password on server dc1. xxx”命令,在“请键入DS还原模式Administrator 账户的密码:”栏中输入新的密码(图14),完成密码重设操作。
这里假设域控制器名称为“”。当然,必须确保该域控制器上的AD域服务处于运行状态。当域中存在多台域控制器的情况下,即使某台域控制器上的AD域服务处于停止状态,管理员依然可以在该机上利用域账户登录到域环境中。如果在域中只存在单台域控制器,而且其上的AD域服务处于停止状态,则只能利用目录还原模式的系统管理员账户,来进入目录还原模式。
6.清理AD数据库中的无效信息
如果采用克隆方式安装系统,会存在S I D 信息重复的问题。为此可以执行“n t d s u t i l”命令,在“ntdsutil:”提示符下执行“security account management”命令,进入安全策略账户维护模式(图15),继续执行“connect to server xxx”“check duplicate sid”“clean duplicate sid”命令(图16),连接到目标域控上,在当前活动目录数据库中检查是否存在重复的SID信息,并将这些重复的SID信息清除掉。
在AD数据库运行过程中,可能会因为各种异常操作产生一些无效信息,将其及时清除,可以优化活动目录数据库。在CMD窗口中执行“ntdsutil”程序,在提示符下依次执行“metadata cleanup”“select operation target”“connections”“connect to server xxx. com”“quit”命令。连接到名为“xxx”的目标站
图14
图15
点(图17)。在“select operation target:”提示符下执行“list site”命令,显示域中所有的可用站点。在“select opeartion target:”栏中输入目标站点,例如“select site 2”等。在“select opeartion target:”栏中继续输入“list domains”,回车后显示该站点中的域信息(图18)。
根据显示的结果,来进一步选择目标域,例如输入“select domain 1”等。选择了目标站点后,在“select operation target:”栏中输入“list servers for domain in site”,回车后列出其中所有可用的域控(图19)。
例如输入“select server x”命令,选择目标域控,这里的“x”为具体的序号。执行“quit”命令后,在“meta cleanup:”栏中执行“remove select server”命令,在弹出的警告窗口中点击“是”按钮,即可对目标AD数据库中的垃圾数据进行清理。完成以上操作后,进入Activate Directory站点和服务窗口(图20),在对应站点中删除目标Server对象,在Activate Directory用户和计算机窗口(图21)中删除目标域控对象。对于域对象来说,在执行了以上清理操作后,还需要在Activate Directory域和信任关系窗口中清除已经失效的域信任关系。
7.移动活动目录数据库
为了更好地保护活动目录数据库的安全,最好将其移动到别的磁盘中。在命令提示符窗口,执行“net stop ntds”命令,关闭AD域服务。执行“ntdsutil”
图16
图17图18
图19图20图21
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论