操作主機角色
1 林範圍內:
架構主機
域命名主機
架構主機
域命名主機
2 域範圍內:
域控制器仿真主機
相對ID主機
基礎結構主機
域控制器仿真主機
相對ID主機
基礎結構主機
3 添加架構主機管理工具
架構主機的管理工具不是默認安裝的工具,添加架構主機管理工具:
先在運行中輸入regsvr32 schmmgmt.dll
schmmgmt.dll 的全路徑爲 regsvr32%systemroot%/system32/schmmgmt.dll
運行"MMC",文件---添加/刪除管理單元.
單擊"添加",選擇"Active Diectory 架構"
架構主機的管理工具不是默認安裝的工具,添加架構主機管理工具:
先在運行中輸入regsvr32 schmmgmt.dll
schmmgmt.dll 的全路徑爲 regsvr32%systemroot%/system32/schmmgmt.dll
運行"MMC",文件---添加/刪除管理單元.
單擊"添加",選擇"Active Diectory 架構"
4 架構的內容是活動目錄對象的類別和屬性
5 域命名主機控制林中域的添加或刪除,可以防止林中的域名重複,在整個林中只能有一個域命名主機.
任何運行Windows Server 2003 的域控制器都可以擔當域命名主機這一角色,如果運行Windows Server 2003 的域控制器
擔當域命名主機角色,則必須啓用爲全局編錄服務器.
任何運行Windows Server 2003 的域控制器都可以擔當域命名主機這一角色,如果運行Windows Server 2003 的域控制器
擔當域命名主機角色,則必須啓用爲全局編錄服務器.
6 PDC仿真主機(PDC Emulator Master)
PDC仿真主機作爲混合模式域中的Windows NT PDC.林中的每個域中只能有一個PDC仿真主機
PDC仿真主機作爲混合模式域中的Windows NT PDC.林中的每個域中只能有一個PDC仿真主機
7 PDC仿真主機的主要作用:
管理來自客戶端(Windows NT/95/98)的密碼更改
最小化密碼變化的複製等待時間,
在默認情況下,PDC仿真主機還負責同步整個域內所有域控制器上的時間.
管理來自客戶端(Windows NT/95/98)的密碼更改
最小化密碼變化的複製等待時間,
在默認情況下,PDC仿真主機還負責同步整個域內所有域控制器上的時間.
8 RID主機
RID主機將相對ID序列分配給域中的每個域控制器,林中的每個域中只能有一個RID主機
對象ID=域ID+RID
9 基礎結構主機
基礎結構主機負責更新從它所在的域中的對象到其他域中對象的引用,每個域中只能有一個基礎結構主機
基礎結構主機負責更新從它所在的域中的對象到其他域中對象的引用,每個域中只能有一個基礎結構主機
10 基礎結構主機將其數據與全局編錄進行比較,全局編錄通過複製操作接收所有域中對象的定期更新,從而使全局編錄
的數據始終保持最新,如果基礎結構主機發現數據已過時,則它會從全局編錄請求更新的數據,然後,基礎結構主機再將這些更新的數據
複製到域中的其他域控制器
的數據始終保持最新,如果基礎結構主機發現數據已過時,則它會從全局編錄請求更新的數據,然後,基礎結構主機再將這些更新的數據
複製到域中的其他域控制器
11 使用基礎結構主機的要點如下:
除非域中只有一個域控制器,否則不應將基礎結構主機角色指派給全局編錄所在的域控制器,如果基礎結構主機和全局編錄處於相同的
域控制器中,則基礎結構主機不會運行,基礎結構主機從不查看過時的數據,也從不將任何更改複製到域中的其他域控制器.
12 如果域中的所有域控制器都存在有全局編錄,則所有域控制器都將擁有最新數據,因而無論哪個域控制器承擔基礎結構主機角色均不重要
13 基礎結構主機還負責在重命名或更改組成員時更新"組到用戶"的引用,當重命名或移動組成員(並且該成員駐留在組中的不同域中)時,組中可能暫時不顯示
該成員,組所屬的域的基礎結構主機負責組的更新工作,所以它知道成員的新名稱或位置,這樣當重命名或刪除用戶賬戶時,就可防止與該賬戶相關的組成員的身份丟失.
該成員,組所屬的域的基礎結構主機負責組的更新工作,所以它知道成員的新名稱或位置,這樣當重命名或刪除用戶賬戶時,就可防止與該賬戶相關的組成員的身份丟失.
14 非授權還原
非授權還原可以恢復到活動目錄到它備份時的狀態,執行非授權還原後,有如下兩種情況
1>如果域中只有一個域控制器,在備份之後的任何修改都將丟失.例如,備份後添加了一個OU,則執行還原後,新添加的OU不存在
2>如果域中有多個域控制器,則恢復已有的備份並從其他域控制器複製活動目錄對象的當前狀態,例如,備份後添加了一個OU,則執行還原後,
新添加的OU會從其他域控制器上覆制過來,因此該OU存在,如果備份後刪除了一個OU,則執行還原後也不會恢復該OU,因爲該OU的刪除狀態會從其他的域控制器上覆制過來
1>如果域中只有一個域控制器,在備份之後的任何修改都將丟失.例如,備份後添加了一個OU,則執行還原後,新添加的OU不存在
2>如果域中有多個域控制器,則恢復已有的備份並從其他域控制器複製活動目錄對象的當前狀態,例如,備份後添加了一個OU,則執行還原後,
新添加的OU會從其他域控制器上覆制過來,因此該OU存在,如果備份後刪除了一個OU,則執行還原後也不會恢復該OU,因爲該OU的刪除狀態會從其他的域控制器上覆制過來
佔用操作主機角色
1 此種情況爲域控制器都可用的情況下分解域控制器的負擔.
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com
綁定到 vm01.ibm.com ...
用本登錄的用戶的憑證連接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com
綁定到 vm01.ibm.com ...
用本登錄的用戶的憑證連接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
? - 顯示這個幫助信息
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的服務器上覆蓋域角色
Seize infrastructure master - 在已連接的服務器上覆蓋結構角色
Seize PDC - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master - 在已連接的服務器上覆蓋 RID 角色
Seize schema master - 在已連接的服務器上覆蓋架構角色
Select operation target - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定爲域命名主機
Transfer infrastructure master - 將已連接的服務器定爲結構主機
Transfer PDC - 將已連接的服務器定爲 PDC
Transfer RID master - 將已連接的服務器定爲 RID 主機
Transfer schema master - 將已連接的服務器定爲架構主機
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的服務器上覆蓋域角色
Seize infrastructure master - 在已連接的服務器上覆蓋結構角色
Seize PDC - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master - 在已連接的服務器上覆蓋 RID 角色
Seize schema master - 在已連接的服務器上覆蓋架構角色
Select operation target - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定爲域命名主機
Transfer infrastructure master - 將已連接的服務器定爲結構主機
Transfer PDC - 將已連接的服務器定爲 PDC
Transfer RID master - 將已連接的服務器定爲 RID 主機
Transfer schema master - 將已連接的服務器定爲架構主機
fsmo maintenance: transfer pdc
服務器 "vm01.ibm.com" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
結構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
從 vm01.ibm.com 斷開...
服務器 "vm01.ibm.com" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Site
=Configuration,DC=IBM,DC=com
結構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sit
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
從 vm01.ibm.com 斷開...
C:\Documents and Settings\administrator.IBM>
2 此種情況是有一臺域控制器不可用了,需要將操作主機角色轉移出來, 是強佔式的
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com 連接的主機爲目錄主機.
綁定到 vm01.ibm.com ...
用本登錄的用戶的憑證連接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server vm01.ibm.com 連接的主機爲目錄主機.
綁定到 vm01.ibm.com ...
用本登錄的用戶的憑證連接 vm01.ibm.com。
server connections: quit
fsmo maintenance: ?
? - 顯示這個幫助信息
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的服務器上覆蓋域角色
Seize infrastructure master - 在已連接的服務器上覆蓋結構角色
Seize PDC - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master - 在已連接的服務器上覆蓋 RID 角色
Seize schema master - 在已連接的服務器上覆蓋架構角色
Select operation target - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定爲域命名主機
Transfer infrastructure master - 將已連接的服務器定爲結構主機
Transfer PDC - 將已連接的服務器定爲 PDC
Transfer RID master - 將已連接的服務器定爲 RID 主機
Transfer schema master - 將已連接的服務器定爲架構主機
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的服務器上覆蓋域角色
Seize infrastructure master - 在已連接的服務器上覆蓋結構角色
Seize PDC - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master - 在已連接的服務器上覆蓋 RID 角色
Seize schema master - 在已連接的服務器上覆蓋架構角色
Select operation target - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定爲域命名主機
Transfer infrastructure master - 將已連接的服務器定爲結構主機
Transfer PDC - 將已連接的服務器定爲 PDC
Transfer RID master - 將已連接的服務器定爲 RID 主機
Transfer schema master - 將已連接的服務器定爲架構主機
fsmo maintenance: seize infrastructure master
在索取之前嘗試安全傳送 infrastructure FSMO。
ldap_modify_sW 錯誤 0x34(52 (不可用).
Ldap 擴展的錯誤消息爲 000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE
), data 1722
在索取之前嘗試安全傳送 infrastructure FSMO。
ldap_modify_sW 錯誤 0x34(52 (不可用).
Ldap 擴展的錯誤消息爲 000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE
), data 1722
返回的 Win32 錯誤爲 0x20af(請求的 FSMO 操作失敗。不能連接當前的 FSMO 盒。)
)
根據錯誤代碼這可能表示連接
ldap, 或角色傳送錯誤。
infrastructure FSMO 的傳送失敗,用索取繼續 ...
服務器 "vm01.ibm.com" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
結構 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
從 vm01.ibm.com 斷開...
)
根據錯誤代碼這可能表示連接
ldap, 或角色傳送錯誤。
infrastructure FSMO 的傳送失敗,用索取繼續 ...
服務器 "vm01.ibm.com" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=VM02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
域 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=IBM,DC=com
PDC - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
RID - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=IBM,DC=com
結構 - CN=NTDS Settings,CN=VM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=IBM,DC=com
fsmo maintenance: quit
ntdsutil: quit
從 vm01.ibm.com 斷開...
C:\Documents and Settings\administrator.IBM>
授權還原
在目錄還原模式下進行域控的還原後,不重啓機器,進入命令行,恢復指定的刪除內容.
C:\Documents and Settings\Administrator>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore subtree "ou=qq,dc=ibm,dc=com" //authoritative restore: restore object "cn=name,ou=xxx,dc=xxx,dc=xxx"還原某個具體的用戶.
C:\Documents and Settings\Administrator>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore subtree "ou=qq,dc=ibm,dc=com" //authoritative restore: restore object "cn=name,ou=xxx,dc=xxx,dc=xxx"還原某個具體的用戶.
正在打開 DIT 數據庫... 完成現在時間是 03-08-08 16:36.24。
最近的數據庫更新發生在 03-08-08 15:46.52。
增加屬性版本號 100000。
最近的數據庫更新發生在 03-08-08 15:46.52。
增加屬性版本號 100000。
計算需要更新的記錄...
找到的記錄: 0000000002
完成
找到 2 要更新的記錄。
找到的記錄: 0000000002
完成
找到 2 要更新的記錄。
更新記錄...
所剩記錄: 0000000000
完成
成功的更新了 2 個記錄。
所剩記錄: 0000000000
完成
成功的更新了 2 個記錄。
已經在當前工作目錄創建了下列帶權威性地還原的對象列表的文本文件:
ar_20080308-163624_objects.txt
指定的對象中沒有一個包含這個域中的返回鏈接。沒有創建鏈接還原文件。
ar_20080308-163624_objects.txt
指定的對象中沒有一個包含這個域中的返回鏈接。沒有創建鏈接還原文件。
Authoritative Restore 成功完成。
authoritative restore:quit
ntdsutil: quit
ntdsutil: quit
更改活動目錄還原模式密碼
C:\Documents and Settings\administrator.IBM>ntdsutil
ntdsutil: ?
ntdsutil: ?
? - 顯示這個幫助信息
Authoritative restore - 授權還原 DIT 數據庫
Configurable Settings - 管理可配置的設置
Domain management - 準備新域創建
Files - 管理 NTDS 數據庫文件
Help - 顯示這個幫助信息
LDAP policies - 管理 LDAP 協議策略
Metadata cleanup - 清理不使用的服務器的對象
Popups %s - 用“on”或“off”啓用或禁用彈出
Quit - 退出實用工具
Roles - 管理 NTDS 角色所有者令牌
Security account management - 管理安全帳戶數據庫 - 複製 SID 清理
Semantic database analysis - 語法檢查器
Set DSRM Password - 重置目錄服務還原模式管理員帳戶密碼
Authoritative restore - 授權還原 DIT 數據庫
Configurable Settings - 管理可配置的設置
Domain management - 準備新域創建
Files - 管理 NTDS 數據庫文件
Help - 顯示這個幫助信息
LDAP policies - 管理 LDAP 協議策略
Metadata cleanup - 清理不使用的服務器的對象
Popups %s - 用“on”或“off”啓用或禁用彈出
Quit - 退出實用工具
Roles - 管理 NTDS 角色所有者令牌
Security account management - 管理安全帳戶數據庫 - 複製 SID 清理
Semantic database analysis - 語法檢查器
Set DSRM Password - 重置目錄服務還原模式管理員帳戶密碼
ntdsutil: set dsrm password
重置 DSRM 管理員密碼: ?
? - 顯示這個幫助信息
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Reset Password on server %s - 在指定域控制器上重置目錄服務還原模式管理員帳戶
密碼。本地計算機使用 NULL。
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Reset Password on server %s - 在指定域控制器上重置目錄服務還原模式管理員帳戶
密碼。本地計算機使用 NULL。
注意: 如果目標域控制器當前處於目錄服務還原模式,您不能使用 ntdsutil 重置此密碼。
重置 DSRM 管理員密碼: reset password on server vm01.ibm.com
請鍵入 DS 還原模式管理員帳戶的密碼: ********
請確認新密碼: ********
密碼設置成功。
請鍵入 DS 還原模式管理員帳戶的密碼: ********
請確認新密碼: ********
密碼設置成功。
重置 DSRM 管理員密碼: quit
ntdsutil: quit
ntdsutil: quit
C:\Documents and Settings\administrator.IBM>