1、活动目录的组成方式
1)域(Domain):活动目录的基本组成单位,每个活动目录都是由一个或者多个域构成。即活动目录实现的方式就是域。
2)树(TREE):由多个域组成,域和域间形成父域和子域的关系。
3)森林(Forest):由多棵树组成。在一个森林中,所有域间自动建立双向可传递的信任关系,使得一个用户只要在森林中任何一个域中有一个帐户,都可以访问森林中所有域中的资源。
2、AD的构建
1)构建活动目录其实就是构建域
2)而每个域是由域中的域控制器(DC)来代表,所以构建一个域首先要构建域中的域控制器
3)DCPROMO命令
可以将一台成员服务器提升为域控制器,也可以将一台域控制器降级为成员服务器
3、AD中的域的模式:Windows 2000 混合模式(新域的缺省模式)、Windows NT 过渡模式(NT域升到2003域的缺省模式)、Windows 2000 纯模式、Windows server 2003模式。建议使用“Active Directory域和信任关系”工具将域模式和森林模式都提升到Windows Server 2003模式,以实现AD的所有功能。
4、操作主机的角色
1)域命名主机:用于控制森林中域的添加与删除。一个森林中只有一台,而且在森林的根域中。
2)架构主机:用于活动目录架构的修改。一个森林中只有一台,而且在森林的根域中。
3)RID主机:当在活动目录中新建一个对象时,DC会为这个对象分配一个SID号。SID号包括两个部分:域SID,标识该对象所属于的域;RID号,唯一标识该对象。而RID号由RID主机分配。森林中每一个域都有一台RID主机。
4)PDC:在Windows 2000 混合模式或者Windows NT 过渡模式的域中,PDC负责将活动目录数据库复制给NT的BDC。PDC也负责域中组策略的管理与修改。PDC也负责DC间的时间同步。同时,在PDC上也有域中最新的密码,当一个用户密码验证失败时,DC都会去找PDC来查证用户是否有新的密码。森林中每一个域都有一个PDC。
5)结构主机:用于保存森林中其它域的对象的关联信息,方便用户去查询其他域中的对象信息。森林中每一个域中都有一台结构主机。
5、活动目录的架构(schema)
1)定义了活动目录中能够创建的对象类别以及这些对象能够分配什么属性。
2)一个活动目录只有一种架构,由活动目录中的所有域共享。
3)活动目录的架构由架构主机和schema admins组的用户来控制。
4)regsvr32 schmmgmt.dll注册架构插件。
6、管理操作主机的工具
Active Directory架构:架构主机
Active Directory域和信任关系:域命名主机
Active Directory用户和计算机:PDC、RID、结构主机
7、全局编录GC
1)GC中保存了活动目录中所有域中的所有对象的主要信息,为我们查询活动目录中的对象提供了最快响应。
2)通用组成员信息存放在在GC中,当用户登录时,DC都会去找GC以验证用户的通用组成员身份。
3)一个活动目录缺省只有一个GC,而且在根域中。建议在活动目录中至少配置两台GC以支持GC容错。
8、DNS服务器
1)在DNS服务器中存储了活动目录中所有计算机的名称到IP地址的映射,这样,DNS服务器就能将活动目录中的计算机的名称解析为计算机的IP地址。
2)DNS在域中的关键性:域控制器的信息存放在DNS中,客户机只有通过DNS才能找到域控制器,客户机找到域控制器后才能访问和使用活动目录。
9、域控制器在DNS中存储的记录
1)A记录:主机记录,包含域控制器的名称到域控制器的IP地址的映射。
2)SRV记录:服务位置记录,包含域控制器的服务到域控制器的名称的映射。
3)常见的SRV记录
_kerberos:验证服务,用于验证用户的身份和权限。
_ldap:查询服务,用于活动目录中的搜索与查询。
_kpasswd:密码服务,用于控制活动目录中的密码改变。
_gc:全局编录,代表活动目录中的全局编录服务器。
4)客户机通过DNS查询域控制器的过程
客户机首先查询SRV记录,找到域控制器的名称。再查询该名称的A记录,找到域控制器的IP地址。
10、DNS中的反向查找区域
1)DNS中的正向查找区域能将计算机的名称解析为计算机的IP地址。
DNS中的反向查找区域能将计算机的IP地址解析为计算机的名称。
2)在反向区域中,所有IP地址要反转过来,并以in-addr.arpa结尾,区域中的记录也称为PTR(指针)记录
如网络为192.168.1.0/24网段,域控制器为192.168.1.2
则反向区域为1.168.192.in-addr.arpa,域控制器的PTR记录为2.1.168.192.in-addr.arpa
11、DNS查询相关命令
ipconfig /displaydns:显示计算机本机的主机名解析缓存。
ipconfig /flushdns:清空计算机本机的主机名解析缓存。
12、备份和还原活动目录
1)系统状态数据
系统状态数据包含注册表、COM+ 类注册数据库、Windows 文件保护下的文件和系统启动文件等。根据服务器的配置,系统状态数据中可以包含其他数据。例如,如果服务器是证书服务器,则系统状态还包含证书服务数据库。如果服务器是域控制器,Active Directory 和 SYSVOL 目录也包含在系统状态数据中。
2)活动目录的还原
(1)非授权还原:DC重启,按F8进高级选项,选择“目录服务还原模式”启动系统,用administrator登录后,打开“备份”工具,对系统状态数据进行还原,还原完成后,重启计算机,在重启后,DC会自动和域中其它DC同步,以获取最新的AD数据库。
(2)授权还原:在需要把数据恢复到备份时的状态时使用。DC重启,按F8进高级选项,选择“目录服务还原模式”启动系统,用administrator登录后,打开“备份”工具,对系统状态数据进行还原,还原完成后,不重启计算机。先进入命令行,使用ntdsutil命令将恢复过来的数据库设置为授权,再重启DC。这样在重启后,DC会自动和域中其它DC同步,并将所有DC的数据库都同步到备份时的状态。
(3)授权还原时的ntdsutil命令
ntdsutil
authoritative restore
将整个数据设为授权还原 restore database
只是将某个特定对象(如用户zhangsan)设为授权还原 restore subtree "cn=zhangsan,cn=users,DC=DOM1,DC=COM"
13、操作主机的角色转移和占用
1)微软建议将域中操作主机的角色分散到多台DC上,以避免单点故障,同时减轻一个域控制器的压力。角色转移对活动目录正常操作不产生任何影响。
2)操作主机角色的占用
当一台担任操作主机的域控制器出现故障,不能修复时,这时为了保证活动目录的正常运行,可以使用另外一台好的域控制器用ntdsutil命令强行占用失效操作主机的角色。样例:
ntdsutil
roles
connections
connect to server server2.dom1.com
quit
seize schema master(强行占用架构主机的角色)
14、删除失效域控制器在活动目录中的信息
1)在“Active Directory用户和计算机”中删除失效DC的计算机帐户。
2)在DNS中删除失效DC的所有记录。
3)在“Active Directory站点和服务”中删除失效DC的Server对象和连接。
C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server server2.dom1.com
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
找到 2 域
0 - DC=DOM1,DC=COM
1 - DC=cd,DC=DOM1,DC=COM
select operation target: select domain 0
select operation target: list sites
找到 1 站点
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOM1,DC=COM
select operation target: select site 0
select operation target: list servers for domain in site
找到 2 服务器
0 - CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=DOM1,DC=COM
1 - CN=LODON,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
DOM1,DC=COM
select operation target: select server 1
select operation target: quit
metadata cleanup: remove selected server
“CN=LODON,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DO
M1,DC=COM”删除了,从服务器“server2.dom1.com”
