Active Directory 产品操作指南

第 3 章 — 详细的维护操作

本页内容

	概述
	过程：备份 Active Directory
	过程：Active Directory 的非授权还原
	过程：Active Directory 对象的授权还原
	过程：通过重新安全恢复域控制器
	过程：为现有域安装域控制器
	过程：删除 Active Directory
	过程：重命名域控制器
	过程：管理 Active Directory 数据库
	过程：管理 SYSVOL
	过程：管理 Windows 时间服务
	任务：配置林的时间源
	任务：在计算机，而不是在 PDC 仿真器上配置可靠时间源
	任务：配置客户端以向特定时间源请求时间
	任务：优化轮询间隔
	任务：禁用 Windows 时间服务
	过程：管理信任
	过程：管理站点
	任务：添加新站点
	任务：将子网添加至网络
	任务：链接复制站点
	任务：更改站点链接属性
	任务：将域控制器移至不同的站点
	任务：删除站点
	过程：管理域控制器上的防病毒软件
	过程：添加全局编录
	过程：从域控制器中删除全局编录
	过程：确认站点中的全局编录服务器
	过程：移动操作主机角色
	步骤：减少 PDC 仿真器的工作量
	过程：传输角色持有者
	过程：占用操作主机角色
	过程：选择备用操作主机

概述

本章提供了有关维护 Active Directory 所必须执行的过程的详细信息。这些过程是按照其所属的 MOF 象限来排列顺序，在每个象限中则遵照构成该象限的 MOF 服务管理功能 (SMF) 指南。

这些象限是：

•	操作象限
•	支持象限
•	优化象限
•	更改象限

操作象限	系统管理 SMF	操作角色群	每日

返回页首

过程：备份 Active Directory

说明

将 Active Directory 作为 Microsoft® Windows 系统状态（彼此依赖的系统组件集合）的一部分进行备份。必须对所有的系统状态组件进行备份并存储在一起。

域控制器上的系统状态组件包括：

•

系统启动（引导）文件。这是 Windows Server 2003 启动所必需的文件。

•

系统注册表。

•

组件服务的类别注册数据库。用于在分布式系统环境中编写组件软件的组件对象模型 (COM) 是二进制标准。

•

系统卷 (SYSVOL)。对于必须在域内共享以用于公共访问的文件，SYSVOL 为其提供了默认的 Active Directory 位置。域控制器上的此 SYSVOL 文件夹包含：

•	网络登录共享文件夹。这些文件夹通常用于存放未运行 Windows 2003 的网络客户端计算机的用户登录脚本和组策略对象 (GPO)。
•	启用 Active Directory 客户端的用户登录脚本。
•	Windows 2003 GPO。
•	文件系统交接点。
•	文件复制服务 (FRS) 临时目录和文件，这些文件要求可用并在域控制器之间同步。

•

Active Directory，其中包括：

•	Active Directory 数据库 (Ntds.dit)
•	检查点文件 (Edb.chk)
•	事务日志，每个大小为 10 兆字节 (MB)，(Edb*.log)
•	保留的事务日志（Res1.log 和 Res2.log）

如果使用集成 Active Directory 的域名系统 (DNS)，请确保备份托管 DNS 的域控制器。如果不使用集成 Active Directory 的 DNS，则必须明确备份区域文件。但是，如果将系统磁盘与系统状态一同备份，则请将区域数据作为系统磁盘的一部分进行备份。

如果在域控制器上安装了 Windows Clustering 或证书服务，也必须将其作为系统状态的一部分进行备份。本指南中未对这些组件进行详细论述。

目的

需要最新的、经过验证的和可靠备份的几个理由：

•	还原丢失或损坏的 Active Directory 数据。使用授权还原过程，可将单个对象或成套对象从删除的状态还原。
•	恢复由于软件或硬件故障而不能正常引导的域控制器。
•	在出现全林范围内损坏的事件中执行林恢复。
•	通过介质操作执行安装。Windows Server 2003 中的该项新功能，允许提升新的域控制器，并用本地源的当前信息对其进行填写，而不是必须等待潜在的非常缓慢的媒体（例如，56K 的连接）的完整同步复制。

指导方针

尽管 Windows Server 2003 中的备份工具支持多种类型的备份（普通、复制、增量、差异和日常），但是支持 Active Directory 并且可用的仅有普通备份，因为 Active Directory 是作为系统状态的一部分来进行备份的。普通备份可在域控制器联机的同时创建整个系统状态的备份。

如果没有使用集成 Active Directory 的 DNS 区域，则除系统状态和/或系统磁盘之外，还应将包含备份中所有 DNS 区域文件的文件路径包括在内，以确保恢复成功。

备份哪些域控制器

可为每个 Active Directory 域定义备份集，该备份集由要求成功还原域的物理域控制器组成。域备份集的集合确保可执行林还原操作。

对于每个域，备份集至少拥有两台或多台域控制器，并且其中至少有一台域控制器是应用程序分区复制集的成员。

备份集必须包括集中每台计算机的系统状态、系统磁盘备份以及全局编录。

如果使用集成 Active Directory 的 DNS，则有助于备份至少一台 DNS 服务器。

注意： 备份仅能用于还原生成备份的域控制器。它不能用于还原不同的域控制器或在不同硬件上的该域控制器。

何时备份 Active Directory

备份集中的每台域控制器在墓碑生存时间内必须至少备份两次。默认情况下，墓碑生存时间为 60 天，因而可将备份集中每台域控制器的备份要求设为每 30 天进行一次。

虽然每月备份操作足以满足成功进行灾难恢复的要求，但它们并不易于进行自最近一次备份以来新信息的恢复。因此在规划备份频率时，应将这些变化考虑在内。备份的频率由业务要求和技术要求来决定，并根据部署的需要进行调节。

默认情况下，每隔 30 天机器帐户会更改一次密码。因此，域控制器也会每隔 30 天更改一次它的机器帐户密码。如果打算使用旧密码还原域控制器，可能会导致域控制器无法通过其伙伴进行复制。所以，为了将使用旧密码还原域控制器的影响降至最低，应在 30 天内执行一次以上的备份。

除定期备份要求外，在下列时刻应立即执行备份：

•	更改了数据库 [Ntds.dit] 或日志文件的存储位置。
•	将域控制器从 Windows 2000 Server 升级至 Windows Server 2003，或任何更进一步地操作系统升级。
•	新域控制器的媒体操作安装要求进行当前备份。
•	更改了墓碑生存时间。

注意： 来自 Windows 2000 Server 的备份不能用于还原运行 Windows Server 2003 的域控制器。

Active Directory 通过不允许还原来保护其自身不会受到比墓碑生存时间更早的数据还原。因此，备份的生命周期与为企业设置的墓碑生存时间相等。

任务：备份 Active Directory 和相关组件

步骤：备份系统状态

可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/msit/security/smtcrdcs.mspx。

步骤：备份系统状态和系统磁盘

可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/msit/security/smtcrdcs.mspx。

依赖性

无

必需的技术

•	备份
•	磁带驱动器或其他备份介质

操作象限	系统管理 SMF	操作角色群	按照需要

返回页首

过程：Active Directory 的非授权还原

说明

非授权还原将域控制器返回至其备份时的状态，然后允许使用备份后出现的任何更改进行正常的复制以覆盖此状态。还原系统状态后，域控制器会查询其复制伙伴。复制伙伴将所有更改复制到还原的域控制器，以确保域控制器具有正确的和更新的 Active Directory 数据库副本。

目的

非授权还原允许还原域控制器上的整个目录，而无须再次引入或更改自备份以来已修改过的对象。非授权还原的最常用于在灾难性或衰弱性硬件故障后进行整个域控制器的恢复。数据损坏时并不常用此非授权还原，除非是本地数据损坏且不能成功加载数据库。

指导方针

如果打算还原已删除的对象，则应参考授权还原的步骤。在单台域控制器上还原整个目录以处理数据损坏或硬件故障时，请使用非授权还原。可在为单机服务器、成员服务器或域控制器的 Windows Server 2003 系统上执行非授权还原。服务器必须是在目录服务还原模式下，方可执行非授权还原。

任务：执行域控制器的非授权还原

非授权还原是还原 Active Directory 的默认方式。要执行非授权还原，必须能够在目录服务还原模式下启动域控制器。从备份介质还原域控制器后，复制伙伴会使用标准的复制协议来更新已还原的域控制器上的 Active Directory 和相关信息。

步骤 1：在目录服务还原模式下重新启动域控制器

注意： 必须重新安装操作系统的情况下：还原此目录前，无须在目录服务还原模式下执行非授权还原。重新安装操作系统后，可在机器正常启动后执行还原。

可在以下网址找到该步骤

http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx

步骤 2：从备份介质还原

可在以下网址找到该步骤

http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：验证 Active Directory 还原

可在以下网址找到该步骤

http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：通过重新安装和之后从介质还原来还原域控制器

如果无法在目录服务还原模式下重新启动域控制器，则可通过重新安装操作系统、之后从备份还原 Active Directory 来还原该域控制器。

为了还原操作成功，必须将 Windows Server 2003 重新安装到与先前相同的驱动器号，并且该驱动器至少具有相同量的物理驱动器空间。重新安装 Windows Server 2003 后，即可执行该系统状态和系统磁盘的非授权还原。

步骤 1：安装 Windows Server 2003

本指南不提供 Windows Server 2003 的安装说明。

步骤 2：从备份介质还原

可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：验证 Active Directory 还原

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

还原该域控制器需要具备先前使用备份工具进行的备份。

必需的技术

备份

操作象限	系统管理 SMF	操作角色群	按照需要

返回页首

过程：Active Directory 对象的授权还原

说明

授权还原过程将对象返回至其最近一次备份时的状态。该过程会将自最近的备份所作的更改清除。这与非授权还原不同。非受权还原依赖于复制伙伴引进当前数据，其中包括有关自该备份以来已删除的对象的信息。

不应将授权还原作为更改控制基础结构的一部分来依赖。管理和更改实施的正确委派将会优化数据的一致性、完整性和安全性。

目的

授权还原常用于从该目录（例如：已删除的用户帐户）中恢复损坏或已删除的对象。不应将授权还原用于恢复整个域控制器。

指导方针

子树或叶对象的授权还原恢复了子树或叶，并将其标记为此目录的权威。这表示还原的对象将会被复制到其他域控制器中，并作为保持移动的数据。在对象已删除的情况下，此对象将会被恢复；在其他情况下，此对象将返回至其先前的状态。

确保正在还原的信息成功恢复至关重要。组成员身份尤其敏感，授权还原期间后续步骤可能会对组成员产生巨大影响。

如同非授权还原，从备份介质还原开始，然后执行以下附加步骤来完成授权还原。

任务：执行一个或多个目录对象的授权还原

注意： 如果此已删除对象不包括组对象，则无需执行步骤 3 到 10。此外，如果已删除的组在已删除对象列表中没有成员，则无需执行步骤 3 到 10。

步骤 1：从备份介质还原

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：标记对象权威

一旦数据从备份中还原，则必须选择要标记为权威的对象，以将这些对象复制到其他域控制器中。要完成这一操作，必须知道其所要还原对象可分辨的全称（即 DN）。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：重新启动隔离的计算机

要解决分布式系统的某些挑战，并确保数据成功还原，就必须在授权还原过程中采取一些额外的预防措施。

重新启动处于隔离状态的机器有助于为下一步骤做好准备，即由于不能在目录服务恢复模式中关掉入站复制，因此需要在这个时候关掉入站复制。

如果需要重新启动，最常用的方法就是通过物理移除网络电缆，从域控制器中移除网络连接。备用方法可能取决于网络硬件以及企业的习惯作法。

防止域控制器与该域或林中任何其他域控制器通信非常重要。也可将此域控制器与可调用目录中任何对象更改的所有客户端隔离。

步骤 4：使用 Repadmin 关掉入站复制

通过关掉入站复制，可确保没有将更改复制到域控制器中，也没有改变组成员身份。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：将计算机重新连接到网络

一旦关闭入站复制，将域控制器重新连接到网络上是安全的。

如果已通过移除网络电缆或断开网络连接将计算机与域控制器隔离，那么将其重新连接以将域控制器接至网络。

如果执行了基于公司网络设备的其他步骤，那么请按照该设备推荐方法将域控制器重新连接到网络。

步骤 6：允许本计算机使用其所有伙伴进行复制

要使用新恢复的对象可用并以其恢复的格式在所有域控制器上实例化，则必须在发生该还原更改的域控制器和其伙伴之间进行成功复制。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 7：在目录服务还原模式下重新启动域控制器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 8：标记对象权威

还原对象及其组成员身份的挑战之一是成员身份和对象可能会以不同的顺序进行复制。如果成员身份复制在还原用户前完成，由于此用户不存在，那么接收域控制器将不会对成员身份进行更新。为避免这种现象，就必须对已经还原的对象进行第 2 次权威标记，并再次将此信息复制出来。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 9：如果第二次完成此对象或多个对象的授权还原，那么重新启动计算机，该域控制器会重新引导至正常模式。注意，此处没有更多关于此步骤的信息。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：执行应用程序分区的授权还原

应用程序分区的还原将此应用程序分区中的所有数据标记为副本集的权威。应用程序分区内包含的信息将会复制到林中所有的域控制器，该林之前在副本集中。应在还原前具备应用程序分区的当前有效备份，以防止备份后由于更改所引起的特定对象更改丢失。

如希望从应用程序分区中还原对象（一个或多个），那么请参考“任务：执行一个或多个目录对象的授权还原”。

步骤 1：从备份介质还原

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：将应用程序分区标记为权威

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：重新启动计算要

如果第二次完成此对象或多个对象的授权还原，可将该域控制器重新启动至正常模式。

任务：执行组策略的授权还原

还原 GPO 是将 GPO 还原至先前状态。还原操作可用于以下两种情况：已备份 GPO，但此后将其删除，或 GPO 存在而希望返回至已知的先前状态。即使还原操作正在重新创建一个已删除的 GPO，但仍保留初始的 GPO GUID。这是还原操作和本指南中后续部分要讨论的导入或复制操作的主要不同之处。

还原操作替换了 GPO 中的以下组件：

•	GPO 设置
•	GPO 上的 ACL
•	WMI 筛选器链接（但非筛选器本身）

还原操作不还原到 SOM（管理范围）的链接。任何现有的链接将继续使用，例如，现有的 GPO 还原至以前状态时。然而，如果用户删除了 GPO 以及所有到 GPO 的链接，那么此用户必须在还原 GPO 后重新创建这些链接。为便于创建这些链接，可查看备份中的报告，以标识 GPO 域中的所有链接。

有关详细信息，请参见 使用 GPMC 管理组策略 ，位于以下网站 http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx。

步骤 1：还原组策略

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

操作象限	系统管理 SMF	操作角色群	按照需要

返回页首

过程：通过重新安全恢复域控制器

说明

通过重新安装进行恢复与创建一个新的域控制器相同。它不涉及从备份介质中还原。此方法依赖 Active Directory 复制将域控制器还原至工作状态，而且仅在另一个运行正常的域控制器存在于同一域中时，此域控制器才有效。此选项通常用于仅作为域控制器运转的计算机。

目的

通过重新安装进行恢复是还原不作为备份集一部分的域控制器的唯一方法。此外，由于备份介质的不可访问性或为了方便，可从非授权还原中选择此步骤。

指导方针

本过程假设已完成装操作系统的重新安装。建议在安装操作系统前，对整个系统磁盘进行格式化，这将删除此系统磁盘中的所有信息。确保在进行这些操作前已移动或备份所有重要或相关的数据。

通过重新安装进行还原操作不能替代日常定期备份。日常定期备依赖于同一域中另一域控制器的存在的同时，可确保成功恢复。

带宽是通过重新安装恢复域控制器时所要考虑的首要因素。所需带宽与 Active Directory 数据库大小以及在功能状态下域控制器必需时间成正比。理想情况下，为减小网络影响和重新安装至完成所需要的时间，现有的功能域控制器应与复制的域控制器（新域控制器）处于同一 Active Directory 站点下。

任务：通过重新安装还原域控制器

过程 1：清理元数据

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：安装 Windows Server 2003

假设将要安装新的 Windows Server 2003。这将会受到正在为此安装做准备的磁盘驱动器上的分区或格式化操作的阻碍。

步骤 3：确认 DNS 注册和功能

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：确认与其他域控制器间的通信

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

过程 5：确认操作主机的可用性

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：安装 Active Directory

在安装过程中会进行复制操作，以确保域控制器正确以及 Active Directory 的升级复制。也可使用与此域控制器的信息作为其替换的域控制器的信息。站点位置、域控制器名称以及域成员身份都应保持相同。如果计划在不同的名称下安装域控制器，还可参考“过程：为现有域安装域控制器”。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 7：验证 Active Directory 安装

阅读并执行“任务：验证 Active Directory 安装”中的步骤。可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

域管理员凭据

必需的技术

Dcpromo.exe 或备份

更改象限	发布管理 SMF	发布角色群	按照需要

返回页首

过程：为现有域安装域控制器

说明

本过程包括在 Windows Server 2003 系统上安装 Active Directory，此系统将会成为现有 Active Directory 域中的域控制器。有关规划、测试以及部署 Active Directory 的最佳做法，请参阅 Windows Server 2003 部署工具包：设计和部署目录及安全服务 ，该信息位于以下网站 http://www.microsoft.com/downloads/details.aspx?familyid=6cde6ee7-5df1-4394-92ed-2147c3a9ebbe&displaylang=en。

要确保成功安装新域控制器，应确定 Active Directory 所依赖的所有关键服务都使用了以下 Microsoft 最佳做法。

通过运行 Active Directory 安装向导将 Active Directory 安装在 Windows Server 2003 服务器上。此向导尽可能自动安装以简化升级过程。要运行此 Active Directory 安装向导，您必须是此域管理员组的成员。

目的

添加新的域控制器有几个目的。可能需要附加应用程序（集成 Active Directory 的应用程序，相对于域控制器上运行的应用程序）以满足增加的容量需求，提供升级和容错功能并减少故障。有关部署新域控制器标准和 Active Directory 最佳做法的详细信息，请参阅 Windows Server 2003 部署工具包：设计和部署目录及安全服务。

指导方针

在开始安装前，环境中必须具备以下条件：

•	Active Directory 林根域中必须已存在至少两个运行正常的域控制器。
•	为子域安装有新域控制器，在林根域中应至少有两个运行正常的域控制器。
•	DNS 必须运行正常。
•	本指南假定使用的是集成 Active Directory 的 DNS 区域。必须配置至少一台域控制器作为 DNS 服务器。

在本指南指导范围外创建或删除域或林。

任务：准备安装 Active Directory

为安装 Active Directory 进行适当的准备工作，减少在安装过程中出现问题的机率，并帮助您快速完成操作。准备工作包括安装和配置 DNS 以及收集安装所需要的信息。

配置 DNS

DNS 客户端始终位于 Windows Server 2003 服务器上。应正确配置 DNS 客户端和 DNS 服务器，以确保名称解析和相关依赖性可发挥其在安装 Active Directory 过程中的预期作用。

确保具备所有必需的配置、转发器或区域，并在安装操作前均可访问。有关 DNS 配置最佳做法的详细信息，请参阅 Windows Server 2003 部署工具包：设计和部署目录及安全服务 ，该信息位于以下网站 http://www.microsoft.com/downloads/details.aspx?familyid=6cde6ee7-5df1-4394-92ed-2147c3a9ebbe&displaylang=en。

站点位置

在安装过程中，Active Directory 的安装向导会试图将新域控制器放置在恰当的站点上。此恰当站点由域控制器的 IP 地址和子网掩码来决定。向导使用此 IP 信息来计算域控制器的子网地址并查看此子网地址的子网对象是否出现在该目录中。如果该子网对象出现在目录中，那么向导就使用它将新服务器对象放置在恰当的站点上。否则，向导会将新服务器对象放置在与域控制器所在的相同站点，此域控制器为将此目录数据库复制到新域控制器的源。确保在运行向导前已创建用于所需站点的子网对象。

根据以下规则分配站点：

1.	如果在用于创建新域控制器的无人参与文本文件中指定了站点，那么在构建此域控制器时，系统将会直接将其放入这个站点。
2.	如果在生成新域控制器时，没有在无人参与文本文件中指定站点，那么默认的域控制器会将其放入基于其 IP 地址的站点。
3.	如果在无人参与文本文件中指定了复制伙伴，但没有指定站点，那么系统会将新域控制器放入此复制伙伴所在的站点。
4.	如果没有指定复制伙伴或站点，那么对站点进行分配就是随机进行的。这取决于所选择用于初始复制的复制伙伴。

域连接性

在安装过程中，为将新域控制器加入到该域中，Active Directory 安装向导需要与其他域控制器进行通信。向导需要与该域成员进行通信以接收用于新域控制器目录数据库的初始复制。它与仅用于域安装的域命名主机进行通信，这样就能将新域控制器添加到此域中。向导还需要与相关的 ID (RID) 主机进行联系，这样，此域控制器就能够接收其 RID 池，为了填充位于新域控制器上的 SYSVOL 共享文件夹，此向导还需要与另一个域控制器进行通信。所有这些通信都取决于正确的 DNS 安装和配置。通过使用 Netdiag.exe 和 Dcdiag.exe，可在开始运行 Active Directory 安装向导前测试所有这些连接。

必需的信息

此安装向导在开始安装 Active Directory 前询问以下指定配置信息：

•	域控制器用户名和密码
•	存储目录数据库和日志文件的位置
•	目录服务还原模式密码
•	新域控制器将要添加进入的域的完全限定 DNS 名

在运行 Active Directory 安装向导前准备好此信息。

过程 1：安装 DNS 服务器服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：收集 SYSVOL 路径安装信息

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：确认 DNS 注册和功能

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：确认 IP 地址映射到子网并确定站点关联

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：确认与其他域控制器间的通信

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

过程 6：确认操作主机的可用性

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

告诫：如果任何一个验证测试失败，则不要继续进行，直到确定错误并解决问题为止。如果这些测试失败，那么此安装可能也会失败。

任务：安装 Active Directory

当在新域控制器上安装 Active Directory 时，有几点元素需要考虑。此任务解决了有关站点位置、连接性以及 Active Directory 安装向导的一般需求。

Active Directory 安装向导

在收集完运行 Active Directory 安装向导所需的所有信息，并且已经执行了测试操作确认所有必须的域控制器都可用后，就已经为在服务器上安装 Active Directory 并将其转变成为域控制器做好了准备工作。

在安装过程中，向导会询问为需要用于正确配置新域控制器的信息。首先，它会询问希望在新域中安装域控制器还是希望在现有的域中安装额外的域控制器。由于本指南适用于在现有域中添加域控制器，因此请选择 Additional domain controller in an existing domain。

在安装过程中，为将此新域控制器添加至该域中，向导需要与其他域控制器进行通信，并使正确信息进入到 Active Directory 数据库。为了维护安全，必须提供具有对此目录管理访问权的凭据。

步骤 1：安装 Active Directory

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：从介质中安装 Active Directory

从介质中安装 Active Directory 可减少在 Active Directory 域中安装额外域控制器过程中所引发的复制流量，从而减少安装复制域控制器所需要的时间。

此任务包括 3 个步骤：

•	备份位于与此新域控制器所在域相同的现有域控制器的系统状态。
•	在新域控制器上将系统状态还原至本地备用位置
•	使用 dcpromo /adv 选项，将此服务器提升至域控制器。

步骤 1：备份系统状态

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：还原系统状态至备用位置

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：提升服务器至域控制器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：Active Directory 的无人参与安装

运行无人参与安装简化了在多台计算机上设置 Active Directory 的过程。此无人参与安装功能使用应答文件为在正常安装过程中提出的问题提供解答。这使得安装过程从开始到结束连续工作，而不受用户干预。当 Active Directory 在多台计算机上安装了相同的选项时，此方法效果最佳。

过程 1：安装和运行安装管理来创建应答文件 (Unattend.txt)

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：运行 Active Directory 自动安装

•	在 Run 对话框中，键入 dcpromo /answer:<应答文件> （其中应答文件是通过安装管理创建的文件），然后单击 OK。

任务：验证 Active Directory 安装

在新提升的域控制器上可进行一些验证任务。成功完成每个验证任务需求后，表示提供的域控制器状态良好，可供操作。

步骤 1：确定服务对象是否拥有子对象

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：确认域控制器的站点分配

必须确保新域控制器位于正确的站点，这样，在安装全部完成后，新域控制器可定位复制伙伴，并成为复制拓扑的一部分。如果站点错误，可在 Active Directory 安装完成后，使用 Active Directory 站点和服务管理单元将此域控制器的服务对象移动至正确的站点。

注意： Active Directory 安装向导所显示的最后的对话框列出了新域控制器所安装的站点。如果站点不正确，就必须在此服务器重新启动后移动该服务器对象。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：如果域控制器位于错误站点，请将服务器对象移至不同的站点

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：配置 DNS 服务器转发器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：确认 DNS 配置

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：检查共享 SYSVOL 状态

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx.

步骤 7：确认 DNS 注册和功能

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 8：确认新域控制器的域成员身份

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 9：确认与其他域控制器间的通信

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 10：确认与其他域控制器间的复制

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 11：确认操作主机的可用性

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

以下访问级别需要：

•	域用户
•	域管理

必需的技术

•	Active Directory 站点和服务（管理工具）
•	DNS 管理器
•	事件查看器
•	Netdiag.exe
•	Dcdiag.exe
•	Ntdsutil.exe（系统工具）

更改象限	更改管理 SMF	发布角色群	按照需要

返回页首

过程：删除 Active Directory

说明

可使用两种方法中的一种将域控制器从域中删除：删除 Active Directory，或由于系统故障使域控制器无法操作，因此不能将其还原以用于服务。

目的

在以下情况可能需要删除域控制器：

•	不再需要域控制器。
•	域控制器到网络其余部分的连接不够。
•	域控制器遇到不会尽快修复的硬件故障。

指导方针

与如何安装 Active Directory 以将基于 Windows 2003 的服务器变成域控制器相同，可删除 Active Directory 来使基于 Windows 2003 的域控制器重新转变为服务器。本过程从目录中删除大部分到域控制器的引用。必须在删除 Active Directory 后，从计算机容器中手动删除代表域控制器的服务器对象。此方法可从目录中正确删除域控制器。

域控制器上的硬件故障可能导致域控制器无法操作。如果问题很严重，有可能再不能将域控制器返回至服务状态。在这种情况下，其他域控制器最终进行自我配置，以便于可继续复制目录信息，而不使用故障的域控制器。

如果从域中删除了域控制器而没有删除 Active Directory，那么所有关于此域控制器的信息都将保留在此目录中。必须采取另外的步骤以从此目录中删除该信息。

任务：不再使用此域控制器

降级域控制器可有效删除所有 Active Directory 和相关组件，并将域控制器返回至成员服务器角色。

步骤 1：查看当前操作主机角色持有者

为避免出现问题，在运行 Active Directory 安装向导前将任一操作传输至不再使用的域控制器，以便可控制操作主机角色位置。如果需要从域控制器中传输任何角色，就要在执行传输操作前了解所用于角色位置的所有建议。

告诫：：在取消过程中，Active Directory 安装向导将试图将任一剩余操作主机角色传输至其他域控制器，而不需要任何用户的交互操作。然而，如果失败，向导将会继续降级，并使您的域外于无角色状态。此外，您还没有控制接收此角色的域控制器。向导将角色传输至任一可用的域控制器，但没有指示由哪一个域控制器来托管这些角色。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：传输林级别的操作主机角色

只有此域控制器托管架构主机或域命名主机角色时，才需要这一步骤。

可在以下网址找到该步骤

http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：传输域级别的操作主机角色

只有此域控制器托管 PDC 仿真器、基础结构主机或 RID 主机时，才需要这一步骤。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：确定域控制器是否为全局编录服务器

如果从托管全局编录的域控制器中删除 Active Directory，Active Directory 安装向导会确认希望继续删除 Active Directory。此确认确保您知道正在从您所在的环境中删除全局编录。由于用户在没有可用全局编录服务器的情况下不能登录，因此不要从您所在的环境中删除最后一个全局编录服务器。如果不能确信，就不要继续删除 Active Directory，直到您知道至少有一个其他全局编录服务器可用为止。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：确认 DNS 注册和功能

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：确认与其他域控制器间的通信

在删除 Active Directory 过程中，需要联系其他域控制器，以确保：

•	所有未复制的更改已复制到另一台域控制器中。
•	从目录中删除域控制器。
•	传输所有剩余的操作主机角色。

如果域控制器在删除 Active Directory 期间不能联系其他域控制器，那么取消操作失败。在安装过程中，在运行安装向导前测试通信基础结构。在删除 Active Directory 时，使用与安装 Active Directory 时所用相同的连接性测试。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 7：确认操作主机的可用性

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

注意： 如果任一验证测试失败，则不要继续下去，直到确定并解决问题为止。如果这些测试全部失败，则删除操作可能也会失败。

步骤 8：删除 Active Directory

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 9：确定服务器对象是否拥有子对象

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 10：从站点上删除服务器对象

注意： 如果服务器对象托管了一些除 Active Directory 以外的角色（如 Microsoft Exchange），那么管理员可能不希望删除该服务器对象。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：强制删除域控制器

强制删除域控制器仅在用作不需要重新安装操作系统时，还原域控制器的最后方法。

然而，它并不能替换正常的删除过程，事实上，其相当于永久性的断开域控制器

有相当多关于域控制器的元数据存储于 Active Directory 中。在正常降级过程中，将清理此元数据。强制删除假设没有到此域的连接，并不尝试任何清理操作。

域控制器的强制删除后应始终进行相关元数据的清理工作，从而有效清除所有从域和林中对域控制器的引用。

不应在域中的最后一个域控制器上进行强制降级操作。

步骤 1：确认复制伙伴

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：强制域控制器删除

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：清理元数据

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

无

必需的技术

无

操作象限	系统管理 SMF	操作角色群	按照需要

返回页首

过程：重命名域控制器

说明

重命名运行 Windows Server 2003 （与 Windows 2000 Server 相反）的域控制器功能为您提供了执行以下操作的灵活性：

•	重新编制用于网络和业务需要的网络结构。
•	简化管理和管理控制。

虽然可通过系统属性 GUI（同任一其他计算机）重命名域控制器，但是，Active Directory 和 DNS 副本延迟可能临时阻止客户端查找和/或身份验证已重命名的域控制器。要消除此问题，建议将用 Netdom 命令行工具重新命名域控制器。

目的

在很多组织中，重新命名域控制器是常用操作，并常在以下情况中使用：

•	购置了新硬件来替换现有的域控制器。
•	已将域控制器取消或升级并重新命名以维护命名约定。
•	域控制器的移动或站点放置。

指导方针

域控制器名称主要对管理产生影响，而不是客户端访问，注意这一点很重要。重新命名域控制器是一项可选操作，应在重新命名前对其影响有很好的了解。

可使用 GUI 或 Netdom 工具来重新命名域控制器。此域功能等级必须设置到 Windows Server 2003 ，以便可使用此 Netdom 工具。在其他情况下，应使用 GUI。

任务：使用系统属性用户界面重新命名

过程 1：使用系统属性界面更改名称

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：更新 FRS 成员对象

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：使用 Netdom 命令行工具重新命名

此 netdom 命令更新 Active Directory 中用于计算机帐户的服务主体名称 (SPN)属性，并注册用于新计算机名称的 DNS 资源记录。必须将此计算机帐户的 SPN 值复制到此域中所有域控制器，必须将新计算机名称的 DNS 资源记录分配到用于此域名称的所有授权的 DNS 服务器上。如果在删除旧计算机名称前没有进行更新和注册，那么某些客户端可能无法使用新或旧的名称查找此计算机。

过程 1：添加新域控制器名称

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：将新名称指定为主计算机名称

在进行此操作前，必须确保已将 SPN 值注册到 Active Directory 中，且用于新计算机名称的 DNS 记录已在 DNS 中注册。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：删除旧域控制器名称

在进行此项操作前，必须确保计算机帐户中用于新计算机名称更新的 dnsHostName 属性已在 Active Directory 中注册，并且此 SRV DNS 记录也已在授权的 DNS 服务器中注册。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：更新 FRS 成员对象

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

•	域管理或企业管理
•	Windows Server 2003 功能等级

必需的技术

•	Netdom 命令行工具
•	系统属性工具

优化象限	可用性管理 SMF	基础结构角色群	按照需要

返回页首

过程：管理 Active Directory 数据库

说明

Active Directory 存储在 Ntds.dit 数据库文件中。除此文件外，目录还使用日志文件，用于在将事务提交至数据库文件前存储事务。基于最佳性能考虑，将日志文件和数据库存储在单独的硬盘驱动器中。

Active Directory 数据库是一个自我维护的系统，不需要日常维护，它不同于日常操作中的定期备份。然而，如果出现下列情况，可能需要对其进行管理：

•	磁盘空间低
•	挂起或当前硬件失败
•	在全局编录大量删除或移除后需要恢复物理空间

监视分区或那些存储目录数据库和日志的分区中的可用磁盘空间。以下是可用空间的建议参数：

•	Ntds.dit 分区：大于 Ntds.dit 文件大小的 20% 或 500 兆字节(MB)。
•	日志文件分区：大于合并的日志文件大小的 20% 或 500 兆字节(MB)。
•	同一卷上的 Ntds.dit 和日志：大于 1 GB 或合并 Ntds.dit 和日志文件大小的 20%。

目的

在一般操作过程中，客户会从 Active Directory 中删除对象。删除对象后，在数据库中就会创建空白区域（或未使用的空间）。数据库会通过名叫碎片整理的过程来定期合并此空白区域，这样，在添加新对象时，就会再次使用此空白区域（不需要增大文件本身）。此自动联机碎片整理操作重新分配并保留了该数据库所使用的空白区域，但并没有将其发布至此文件系统。因此，即使可能删除对象，数据库也并没有收缩。在数据显著减少的情况下（如将全局编录从域控制器中删除），空白区域将不会自动返回至该文件系统。虽然这种情况不会影响数据库操作，但它会导致数据库中创建大量空白区域。可通过脱机碎片整理操作，使用将数据库文件的空白区域返回至文件系统的方法来减小数据库文件。

管理 Active Directory 数据库还可更新和替换数据库或日志文件所存储的磁盘，或将这些文件移动至不同的位置，这些操作既可是永久性的，也可是临时的。

指导方针

在执行影响目录数据库的任一步骤前，确保已对当前系统状态进行备份。有关执行系统状态备份的信息，请参阅本指南前面部分中的“备份 Active Directory”。

要进行数据库文件自身管理，必须通过在目录服务还原模式中的重新启动来使域控制器处于脱机状态，然后使用 Ntdsutil.exe 来管理该文件。

注意： NTFS 磁盘压缩不支持数据库和日志文件。

任务：重新定位 Active Directory 数据库文件

以下情况需要移动数据库文件：

•

硬件维护：如果数据库或日志文件所存储的物理磁盘需要升级和维护，那么就必须临时或永久性移动数据库文件。

•

磁盘空间不足：当存储数据库文件 (Ntds.dit) 或/和日志文件的逻辑设备磁盘可用空间不足时，首先确认不是由其他文件导致。如果数据库文件或日志文件导致数据库增大，那么通过以下操作中的一项来提供更多的磁盘空间：

•	扩展当前存储数据库文件、日志文件或两者皆有的磁盘分区。此步骤并不更改到文件的路径，也不需要更新注册。
•	使用 Ntdsutil.exe 将数据库文件、日志文件或两者一同移动至一个更大的现有分区中。如果在将文件移动至不同的分区中时没有使用 Ntdsutil.exe，那么就需要手动更新此注册。

指导方针

如果移动数据库文件或日志文件的结果导致到这些文件的路径更改，则要确保：

•	使用 Ntdsutil.exe 文件来移动这些文件（而不是复制），以使用新路径来更新注册。即使只是临时性移动文件，也要使用 Ntdsutil.exe 来本地移动文件，以使此注册保持当前状态。
•	在移动操作完成后立即执行系统状态备份，以便此还原步骤使用正确的路径。
•	确认在移动操作后，对目标文件夹使用了正确的权限。如需要，修订保护数据库文件必需的权限。

如果替换或重新配置了存储 SYSVOL 文件夹的驱动器，则必须首先手动移动此 SYSVOL 文件夹。有关手动移动 SYSVOL 的信息，请参阅本指南以后部分中的“管理 SYSVOL”。

使用下列步骤来移动或复制数据库文件或/和日志文件。链接的主题中提供了详细的操作步骤。

注意： 在文件移动过程中和确认移动后，域控制器处于不可用状态。确保可使用替换的域控制器来处理此容量。

步骤 1：确定目录数据库文件的位置和容量

利用数据库容量来准备大小合适的目的位置。在移动过程中跟踪各自文件大小以确保能够成功移动正确的文件。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：比较目录数据库文件和卷的大小

在移动任一响应磁盘空间不足的文件前，确认不是此卷上其他文件造成此磁盘空间不足。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：备份系统状态

系统状态包括数据库文件、日志文件以及其他事务中的 SYSVOL 和 Net Logon 共享文件夹。始终确保在移动数据库文件前进行当前状态备份。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：在目录服务还原模式下重新启动域控制器

如果登录到域控制器控制台，则在目录服务还原模式下本地重新启动域控制器。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：移动数据库文件或/和日志文件

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：备份系统状态

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：将未使用的磁盘空间从 Active Directory 数据库返回至文件系统

在日常操作过程中，Active Directory 数据库文件中的空白区域变成碎片状态。每一次垃圾收集操作运行（默认为每 12 小时进行一次），空白区域就会联机自动执行磁盘碎片整理程序来优化在数据库文件中这些空间的应用。从而维护了数据库的未使用磁盘空间；这些磁盘空间并未返回至该文件系统。

只有脱机碎片整理操作才能将未使用的磁盘空间从目录数据库返回至文化系统。当由于大量删除（如从域控制器中删除全局编录）导致了数据库内容显著减少时，或由于空白区域使得数据库备份显著增大时，那么使用脱机碎片整理来减小 Ntds.dit 文件。

可通过设置注册表中的垃圾收集日志级别来确定可从 Ntds.dit 文件中可恢复多少磁盘可用空间。将垃圾收集日志级别从默认值为 0 更改至 1，这会将事件 ID 1646 记录至目录服务日志。此事件描述了数据库文件所使用的磁盘空间总量和可通过脱机碎片整理操作从 Ntds.dit 文件恢复的可用磁盘空间量。

在垃圾收集日志级别处于 0 时，只有关键事件和错误事件才能记入目录服务日志。在垃圾收集日志级别处于 1 时，也可记录高级事件。事件可包括服务所执行的每个主要任务的信息。在垃圾收集日志级别处于 1 时，将会记录以下垃圾收集：

•	事件 ID 700 和 701：当联机碎片整理开始和结束时分别报告。
•	事件 ID 1646：报告已分配空间数量外的数据库中可用空间数量。

告诫：：将诊断中子项的值设置为大于 3，可降低服务器性能级别，不推荐使用此方法。

在脱机碎片整理操作后，执行数据库完整性检查。Ntdsutil.exe 中的完整性命令通过读取数据库文件中的每个字节对二进制级别的数据损坏进行检测。此过程确保数据库本身的标题正确，并且所有的表都运行正常和保持一致。因此，根据 Ntds.dit 文件和域控制器硬件的大小，运行此过程可能要花费相当多的时间。在测试环境中，一般为每小时 2 GB 的速度。当运行此命令时，联机图表会显示完成的百分率。

使用以下步骤执行脱机碎片整理操作。在链接的主题中对这些步骤进行了详细解释。

步骤 1：将垃圾收集日志等级更改为 1

检查事件 ID 1646 的目录服务事件日志，它报告了可通过执行脱机碎片整理进行恢复的磁盘空间数量。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：备份系统状态

系统状态包括数据库文件、数据库日志文件以及其他事务中的 SYSVOL、Net Logon 和注册。总是确保在对数据库文件进行磁盘碎片整理程序前完成当前备份。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：使域控制器处于脱机状态

使用下列步骤之一：

•	如已本地登录至域控制器，则在目录服务还原模式中重新启动此域控制器。
•	如果正在使用远程管理的终端服务，那么在远程服务器上修改 Boot.ini 文件后，在目录服务还原模式中远程重新启动此域控制器。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：压缩目录数据库文件（脱机碎片整理）

做为脱机碎片整理工作的其中一个步骤，检查目录数据库的完整性。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：如果数据库完整性检查失败，则执行带有修正的语法数据库分析

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

操作象限	系统管理 SMF	基础结构角色群	频率

返回页首

过程：管理 SYSVOL

说明

Windows Server 2003 System Volume (SYSVOL) 是域中每台域控制器上文件系统中的文件夹和重分析点的集合。SYSVOL 为存储重要组策略对象 (GPO) 元素和脚本提供了标准位置，这样，文件复制服务 (FRS) 就可将这些元素和脚本分配到此域中的其他域控制器中。

注意： SYSVOL 只对组策略模板 (GPT) 进行复制。它通过 Active Directory 复制对组策略容器 (GPC) 进行复制。为有效起见，该两部分必须在域控制器上均可用。

FRS 监视 SYSVOL，如果对存储在 SYSVOL 上的任何文件进行更改，那么，FRS 会自动将更改的文件复制到此域中其他域控制器的 SYSVOL 文件夹中。

SYSVOL 每天的工作是自动进行的，除了注意来自监视系统的警报外，不需要任何人干涉。偶而，在更改网络时，可执行一些系统维护操作。

目的

本过程描述了维护 SYSVOL 容量和性能、硬件维护或数据组织的必需基本任务。

指导方针

为了管理 SYSVOL，须确保 FRS 正确复制了 SYSVOL 数据，并提供有存储 SYSVOL 的充足空间。实施监控系统以检测磁盘空间不足和潜在的 FRS 中断，这样，就可在系统停止复制前解决这些问题。完成这项工作的有用工具是 Ultrasound 实用工具，可通过搜索“Ultrasound”从下面网址下载此工具 www.microsoft.com/homepage/ms.htm。

管理 SYSVOL 需要考虑的关键因素：

•	容量。取决于域的配置，要使 SYSVOL 正常运行，可能需要大量的磁盘。在初始配置过程中，系统可能为 SYSVOL 分配充足的空间以供其运行。然而，随着 Active Directory 逐渐增大且复杂化，所需的容量可能超过可用磁盘空间。如果接收到表示磁盘空间不足的信号，那么确定其原因是否是由于磁盘物理空间不足，还是限制临时区域大小的注册表设置引起。通过修改注册表中的设置，可分配更多的临时区域空间，而不是对 SYSVOL 或临时区域进行再次分配。在注册表中增加空间分配比再次分配磁盘空间要更快捷和简易。
•	性能。对 SYSVOL 所做的任何更改都会自动复制到此域中的其他域控制器中。如果存储在 SYSVOL 中的文件经常更改，那么复制就会增加 SYSVOL 所在卷的输入和输出。例如，编辑 GPO 可能潜在地强制进行 GPO 级别的复制。如果此卷还包括其他系统文件（如目录数据库或页面文件），那么此卷已增加的输入输出可能对服务器的性能产生影响。
•	硬件维护。系统维护（如删除磁盘驱动器）可能需要对 SYSVOL 重新定位。即使在不同的磁盘驱动器上进行维护操作，也要确认此维护操作不影响此系统卷。在添加和删除磁盘后，逻辑驱动器号就会更改。FRS 使用存储在目录和注册表中的指针来定位 SYSVOL。如果在添加或删除磁盘驱动器后驱动器号更改，则注意这些指针并没有自动更新。
•	备份组策略对象 (GPO)。组策略的成功操作在很大程度上取决于 SYSVOL 的可靠操作。GPO 的关键组件位于 SYSVOL 中（在策略子目录中），这些组件与 Active Directory 中的相关组件同步，这是最基本的条件。因此仅对 SYSVOL 组件进行备份并不代表完成了对 GPO 的完整备份。组策略管理控制台 (GPMC) 为备份 GPO 提供了可编脚本和基于 UI 的方法。将 GPO 做为定期备份/灾难恢复过程的一部分进行备份，这是非常重要的。安装新域后，应立即对默认域和默认域控制器的 GPO 进行备份。还应在任何后续更改后对其进行备份操作。

任务：更改分配至临时区域的空间

临时区域在复制前对文件进行存储，并存储刚从复制中接收到的文件。虽然 FRS 对数据进行压缩，且已复制的文件具有在临时区域文件夹节省空间和减少复制文件所需要时间的属性，但是这种方法需要在复制前对每个文件的副本进行制作和存储，因此，可能需要大量的磁盘空间。

默认的临时区域大小为 660 兆字节 (MB)。其最小值为 10 MB ，最大值为 2 GB。可通过设置以千字节 (KB) 为单位的 Staging Space Limit 注册表项来调整暂存文件夹的大小限制，此注册表项位于 HKEY_Local_Machine\System\CurrentControlSet\Services\NtFrs\Parameters。有关在注册表中设置临时空间大小的详细信息，请参阅“Microsoft 知识库”中 KB 的第 329491 章。

步骤 1：停止文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：更改分配到临时区域文件夹的空间

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：启动文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：重新定位临时区域

默认情况下，Active Directory 安装向导在 SYSVOL 内安装临时区域文件夹。此 Active Directory 安装向导创建 FRS 用于临时过程的临时文件夹和临时区域。在重新定位此临时区域时，可更改其名称。确保在您所在的环境中对区域进行重新命名后，能够将其识别为正确的区域。

两个参数决定了临时区域的位置。一个是， fRSStagingPath，它存储在目录中，包含通向 FRS 用于暂存文件的实际位置的路径。另一个参数就是交接点，它存储在 SYSVOL 临时区域文件夹中，此 SYSVOL 链接到 FRS 用于临时文件的实际位置。当重新定位此临时区域时，必须更新这两个参数，以使其指向新位置。

除注明外，对包含希望复制的临时文件夹的域控制器执行这些过程。在所链接的主题中对这些步骤进行了详细解释。

步骤 1：标识复制伙伴

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：检查共享 SYSVOL 的状态

不需要对每个伙伴执行此测试，但是需要进行充足的测试以确信伙伴上的共享系统卷运行正常。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：确认与其他域控制器间的复制

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤：收集 SYSVOL 路径信息

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：将文件复制服务临时文件夹重新设置到不同的逻辑驱动器上

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：手动重新定位 SYSVOL

如果移动整个系统卷，而不仅是临时区域文件夹，那么可手动重新定位系统卷。由于没有工具自动完成此过程，因此必须小心移动所有的文件夹，并在新位置上正确保持同样的安全等级。

也可使用 Active Directory 向导来移动 SYSVOL，但这需要降级此域控制器，然后再对其升级。仅在极端情况下或域控制器无法运行任何其他服务或应用程序时，才考虑使用这种方法。

除注明外，对包含希望移动的系统卷的域控制器执行这些过程。在所链接的主题中对这些步骤进行了详细解释。

警告： 此步骤可改变安全性设置。在完成此项步骤后，新系统卷上的安全性设置会重新设置为默认设置，此默认设置是在安装 Active Directory 时建立的。必须将任何更改重新应用到在安装 Active Directory 后生成的系统卷的安全设置中。这将导致额外的复制量。注意如重新设置权限失败可能导致出现对组策略对象、登录和注销脚本的未授权访问。

步骤 1：识别复制伙伴

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：检查共享 SYSVOL 的状态

不需要对每个伙伴执行此测试，但是需要进行充足的测试以确信伙伴上的共享系统卷运行正常。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：确认与其他域控制器间的复制

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤：收集 SYSVOL 路径信息

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：停止文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：创建 SYSVOL 文件夹结构

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 7：设置 SYSVOL 路径

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 8：设置临时区域路径

如果已经将临时区域文件夹移至不同位置，则不需要此执行步骤。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 9：准备非授权 SYSVOL 还原的域控制器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 10：在新 SYSVOL 上更新安全

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 11：启动文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 12：检查共享 SYSVOL 状态

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：更新系统卷路径

当添加和删除磁盘驱动器时，系统中其他驱动器的逻辑驱动器号也会更改。如果 SYSVOL 或临时区域文件夹存放于这些更改文件夹的其中一个上，那么 FRS 就不能对 SYSVOL 或临时区域文件夹进行定位。为了解决这个问题，必须更新 FRS 用于定位这些文件夹的路径。要更改此系统卷的路径，需要对注册表和在目录中进行更改。更改临时区域路径需要更改目录。两种更改都需要更新交接点。在更新路径信息后，必须重新启动文件复制服务，以便其根据新值重新初使化。

使用以下步骤来更改分配到临时区域文件夹的空间数量。链接的主题中提供了详细的操作步骤。

步骤 1：收集 SYSVOL 路径信息

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：停止文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：设置 SYSVOL 路径

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：设置临时区域路径

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：启动文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：还原和重建 SYSVOL

如果移动 SYSVOL 或执行某维护任务失败，就必须在单独的域控制器上重新创建或重建 SYSVOL。仅当此域中所有其他域控制器上的 SYSVOL 都运行正常时，可在单独域控制器上重建 SYSVOL。在更正域中所有随 FRS 出现的问题前，不要试图重建 SYSVOL。

仅在不具有 SYSVOL 功能的域控制器上工作时可使用这些步骤。链接的主题中提供了详细的操作步骤。.

步骤 1：识别复制伙伴

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：检查共享 SYSVOL 的状态

由于将要从其中一个复制伙伴复制系统卷，因此需要确保从复制伙伴复制的系统卷为最新。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：确认与其他域控制器间的复制

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：在目录服务还原模式下重新启动域控制器

如果现在位于域控制器的控制台，那么在目录服务还原模式下本地重新启动域控制器。如正在使用终端服务远程访问此域控制器，那么在目录服务还原模式下远程重新启动域控制器。

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：收集 SYSVOL 路径信息

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 6：停止文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 7：准备非授权 SYSVOL 还原的域控制器

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 8：导入 SYSVOL 文件夹结构

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 9：启动文件复制服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 10：检查共享 SYSVOL 的状态

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

需要安装和运行 Active Directory。

必需的技术

用于监视的 Ultrasound

优化象限	可用性管理 SMF	基础结构角色群	按照需要

返回页首

过程：管理 Windows 时间服务

说明

几乎不需要对 Windows 2003 时间服务 (W32Time) 进行管理，它安装在所有基于 Windows Server 2003 的系统上。在默认情况下，只对域控制器进行配置以为客户端提供时间。W32Time 在同步活动中使用世界协调时间 (UTC)。UTC 基于一种原子时标，独立于时区。

目的

要管理 Windows 时间服务需要，就需要：

•	更改林根 PDC 仿真器。
•	将时间机构从林根 PDC 仿真器移至另一台计算机。
•	更改外部时间源。
•	切换到另一个时间同步产品。
•	增加或减少同步比率以获得带宽使用和特定实现的精度之间最佳折衷方法。

指导方针

未对手动指定的时间源进行身份验证，会使得攻击者可操纵时间源，然后起动 Kerberos V5 重复攻击。此外，没有与其域控制器同步的计算机可能拥有不同步的时间。这会导致 Kerberos V5 身份验证失败，从而导致其他需要网络验证的操作（如打印或文件共享）失败。当在林根域中只有一台计算机从外部源获取时间时，此林中的所有计算机才能保持相互同步，使得重复攻击难于进行。

由于不同步时间的风险，以及依赖于同步时间的服务众多，因此正确管理和配置 Windows 时间服务来满足时间同步的操作需要是非常重要的。

告诫：：在任何情况下不应提前或回至基于 Windows 2003 服务器的系统时间。

在林根 PDC 仿真器上进行时间配置

Windows 时间服务使用分层的同步结构，此同步结构的根目录位于该 PDC 仿真器中。此系统从根本上代表此林中所有系统的权威时间。

始终密切监视林根 PDC 仿真器，以确保其时间相对其源的精确性。

根据这些在林根 PDC 仿真器上用于配置时间源的最佳操作，按此首选顺序：

•	安装硬件时钟（如收音机或 GPS 设备），将其做为此 PDC 的源。很多消费者和企业设备使用网络时间协议 (NTP)，这样就可在内部网络上安装这些设备，以便于使用 PDC。
•	使用 IPSec 以保护 NTP 与另一个网络时间服务器间的通信。

不要使林根 PDC 仿真器与另一个位于同一个林中且基于 Windows 的计算机同步。

如果这两个选项在 Active Directory 部署或数据中心中都无法使用，那么可与外部可靠时间源同步。由于同步时间未经过身份验证，潜在地使时间数据包易受攻击，因此不赞成使用该选项。

返回页首

任务：配置林的时间源

在对网络进行初始部署后，通常仅对位于 PDC 仿真器上的时间服务进行了如下两种情况的重新配置：

•	如果将 PDC 仿真器角色移至不同的计算机。在这种情况下，必须配置新 PDC 仿真器的时间服务。
•	如果更改 PDC 仿真器的时间源。例如，如果将时间源从与外部源同步更改至与硬件设备同步。

要配置林根 PDC 仿真器的时间服务，可能需要删除以前使用的外部时间源，或如果已将 PDC 仿真器角色转移至另一个 Active Directory 域控制器，那么可能只需要在新的 PDC 仿真器上配置时间服务。要在林根 PDC 仿真器上配置时间，可使用以下步骤。所链接的主题中提供了详细的操作步骤。

步骤 1：在林根 PDC 仿真器上配置时间

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：在林根 PDC 仿真器上删除已配置的时间源

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：在计算机，而不是在 PDC 仿真器上配置可靠时间源

在默认情况下，林根中的 PDC 仿真器是此林的权威时间源。然而，您可能希望在网络中配置不同的域控制器成为该林的权威。

如果计划移动 PDC 操作主机角色，可在移动前在不同的计算机上配置可靠时间源，以避免重新设置或中断此时间服务。PDC 仿真器角色可在计算机之间进行移动，这意味着在每次 PDC 仿真器角色移动时，必须手动对新 PDC 仿真器进行配置，以使其指向外部源，且必须将此手动配置从原始 PDC 仿真器中删除。要避免这一过程，可在父域中将其中一个域控制器设置为可靠，并手动配置这台计算机，使其指向外部源。那么，无论哪台计算机是 PDC 仿真器，时间服务的根目录都是相同的，从而保持正确的配置。

当域控制器查找要与之同步的时间源时，如果可用，它们会选择可靠源。时间服务客户端中的自动发现机制从来不会选择非域控制器的计算机，注意这一点很重要。必须手动配置客户端来使用任一非域控制器的服务器。

虽然林根域中的 PDC 仿真器是授权的林时间源，但仍可在计算机而非此 PDC 仿真器上配置可靠的时间源。

步骤 1：将已选择的计算机配置为可靠时间源

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：配置客户端以向特定时间源请求时间

某些计算机没有自动调整其时间以与 Active Directory 域时间同步。建议配置这些系统，以使其从特定源（如此域的域控制器）请求时间。如果没有指定与此域同步的时间源，则由每台计算机的内部硬件时钟来管理时间。以下客户端计算机没有通过 Windows 时间服务自动与此域时间同步：

•	运行 Windows 2000 之前操作系统的客户端计算机。
•	运行 UNIX 的客户端计算机。

下面步骤使您可指定客户端计算机的时间源，这些客户端计算机没有通过时间服务自动同步。所链接的主题中提供了详细的操作步骤。

步骤 1：在所选择的计算机上设置手动配置时间源

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：在所选择的计算机上删除手动配置时间源

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：优化轮询间隔

在某些情况下，时间服务轮询间隔的默认配置可能不足以达到所期望的操作精确性目标。Windows Server 2003 使用更高级的轮询动态间隔，此间隔由最小和最大值来支配。在下列情况下，可能需要更改此间隔：

•	如果计算机在租用线路上轮询，那么可延长轮询间隔。不常进行轮询，可减少付款线路的使用。
•	如果需提高应用程序或设备的时间准确性，可缩短轮询间隔。

步骤 1：更改轮询间隔

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：禁用 Windows 时间服务

如果选择实施另一个使用 NTP 协议的时间同步产品，则必须禁用 W32Time 服务，因为所有的 NTP 服务器都需要访问 UDP 端口 123。如果 W32Time 是运行在基于 Windows 2003 的计算机上，则禁用后端口 123 仍然会处于占用状态。

只需执行其中一个步骤来禁用 Windows 时间服务。

步骤 1：禁用时间服务

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

依赖性

域管理员凭据

必需的技术

服务管理单元工具

优化象限	可用性管理 SMF	基础结构角色群	按照需要

返回页首

过程：管理信任

说明

域之间的信任关系建立了一个信任通信路径，通过这条路径，一个域中的计算机可与另一个域中的计算机进行通信。信任关系允许位于被信任域中的用户访问信任域中的资源。信任通常需要有限管理。

例如，单向信任存在于：

•	可对登录到被信任域的用户进行身份验证，使其连接至信任域中的资源服务器。
•	用户可使用被信任域中的帐户从信任域中的计算机登录到被信任域。
•	信任域中的用户可列出被信任域的安全主体，并将这些主体添加至信任域中的资源上的组和访问控制列表 (ACL)。

目的

通常，创建信任的目的在于使被信任域中的用户便于访问信任域中的资源。

指导方针

当在现有 Windows 2003 林中创建 Windows 2003 域时，就会在新创建的域和其父域中自动创建信任关系。这些信任关系是具有双向性和可传递性，并且是不可删除的。

信任不总是允许被信任域中的用户访问信任域中的资源。必须通过将用户添加至正确的权限才可获取访问权。在某些情况下，如果将资源列在了经身份验证的用户的 ACL 中，则这些用户就可能具备了默许的访问权。

必须手动创建以下类型的信任：

•	外部信任
•	Microsoft Windows 2000 域和 Windows NT 4.0 域之间的信任
•	无论两个域都是 Windows 2000 或其中一个是 Windows 2000，另一个是 Windows NT 4.0，所有域之间的信任都位于不同的林中。
•	同一林中两个域之间的快捷信任
•	Windows 2003 域和非 Windows Kerberos 领域之间的信任关系。有关 Windows 2003 域和非 Windows Kerberos 领域之间的信任关系的详细信息，请链接至 Kerberos 5 (krb5 1.0) 互操作性的循序渐进指南，可从位于下面站点的 Web 资源网页找到此文档 http://www.Microsoft.com/windows/reskits/webresources。

由于如下原因，可能还需要管理信任：

•	删除手动创建的信任。
•	要配置安全标识符 (SID) 筛选以拒绝某域为另一个域提供凭据权限，可使 SID 筛选外部信任，即不同林域之间的信任，或 Windows 2000 和 Windows NT 4.0 域之间的信任。

任务：创建外部信任

当希望在位于不同林的 Windows Server 2003 域之间创建信任关系，或在 Windows Server 2003 域和 Windows 2000 或 Windows NT 4.0 域之间创建信任关系时，就创建了一个外部信任。外部信任关系具有如下特征：

•	单向性。必须在每个方向上手动建立此信任来创建双向外部信任关系。
•	不可传递性。

如果将 Windows NT 4.0 域升级至 Windows 2000 域，那么现有的信任关系将保持在同一状态。

创建外部信任的方法

•	使用此步骤创建单向 trustMMC 的方法，以创建某域信任另一域使用其资源的信任。
•	使用此过程创建单向 trustNetdom.exe 方法以使用支持工具 Netdom.exe，同时创建单向信任的双方。为使用此 Netdom.exe 方法，必须向双方提供凭据。
•	首先使用过程“创建双向信任 MMC 的方法”创建某域中双方的配置，然后在另一域中创建双方的配置。
•	使用此过程创建双向 trustNetdom.exe 方法以使用支持工具 Netdom.exe，同时创建信任的双方。为使用此 Netdom.exe 方法，必须向双方提供凭据。

需求

•	凭据：域管理
•	可在交互式登录到域后创建信任，或使用 Run As 命令来创建不同域的信任。
•	工具：Active Directory 域和信任或 Netdom.exe（支持工具）

可使用下面其中一种方法来创建外部信任。所链接的主题中提供了详细的操作步骤。

步骤 1：创建单向信任（MMC 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：创建单向信任（Netdom.exe 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：创建双向信任（MMC 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：创建双向信任（Netdom.exe 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：创建快捷信任

快捷信任关系是手动创建的信任，为提高远程登录用户的效率，快捷信任缩短了信任路径。信任路径是多个信任的链接，此链接使得这些在域命名空间中不相邻的域之间产生信任。例如，如果 A 域中的用户需要获取访问 C 域中资源的权限，可在 A 域到 C 域间通过快捷信任关系创建一个直接链接，回避了信任路径中的 B 域。

快捷信任关系具有以下特征：

•	可在位于同一林的任何两个域中创建快捷信任。
•	必须在每个方向上手动创建快捷信任。
•	具有可传递性。

仅在普通信任关系出现重大问题时才可创建快捷信任。

需求

•	凭据：域管理
•	工具：Active Directory 域和信任

可使用下面其中一种方法来创建快捷信任。所链接的主题中提供了详细的操作步骤。

步骤 1：创建单向信任（MMC 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：创建单向信任（Netdom.exe 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：创建双向信任（MMC 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：创建双向信任（Netdom.exe 方法）

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：删除手动创建的信任

可删除手动创建的信任，但不能删除林中两个域之间的默认双向可传递信任。如果计划重新创建这些信任，那么确认成功删除信任至关重要。

需求

•	凭据：域管理
•	工具：Active Directory 域和信任或 Netdom.exe。

可通过使用以下方法中的一种删除手动创建的信任。所链接的主题中提供了详细的操作步骤。

步骤 1：使用 Active Directory 域和信任管理单元来删除手动创建的信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：使用 Netdom.exe 删除手动创建的信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：防止未授予的特权升级

Active Directory 中的安全主体拥有一种名为 SIDHistory 的属性，域管理员可用其添加用户旧的 SID。由于用户可使用其旧 SID 来访问资源，因此这在移植过程中非常有用；管理员不需要修改大量资源上的 ACL。然而，在某些情况下，域管理员可能会使用 SIDHistory 属性使 SID 与新用户帐户产生关联，因此，就对其自身赋予了未授权的权限。

可配置 SID 筛选以防止此类攻击。可在以下情况配置 SID 筛选：

•

已识别企业中一个或多个域中，何处出现物理安全松懈或域管理员具有较低信任度。

•

然后，通过将这些可靠性较低的域移到其他林以进行隔离。按照定义，一个林中的所有域必须具有可信赖性；如果认为一个域较其他域具有较低的可信赖性，那么它不应成为林成员。一旦将具有较低可信赖性的域移出此林，那么也就建立了这些域的外部信任，并应用访问控制以保护资源。如果仍考虑到用于权限升级的 SID 欺骗，则请应用 SID 筛选。

告诫： 不要将 SID 筛选用于林中的域，因为这将删除 Active Directory 复制所需要的 SID，并导致来自域中的用户身份验证失败，其中，这些域通过隔离的域具有可传递信任性。

使用以下步骤来配置 SID 筛选。在所链接的主题中对这些步骤进行了详细解释。

步骤 1：配置 SID 筛选

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：删除 SID 筛选

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：创建交叉林信任

林信任通过提供对访问资源和多个林中的其他对象的支持，有助于在组织内部管理分段 Active Directory 基础结构。

有关创建交叉林以及通常管理信任的详细信息，请参阅白皮书 在 Windows Server 2003 中规划和实施联合林 ，该白皮书位于以下网站 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx。

步骤 1：确认林之间的连通性

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：为两个林配置 DNS

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：在 A 林上创建林信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：在 B 林上创建林信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：验证信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：在交叉林信任上管理选择性身份验证

此任务解决了如何根据安全和其他考虑来设置用户身份验证范围。

步骤 1：在 A 林中打开选择性身份验证选项以从 B 林中仅启用选择性身份验证

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：创建测试文件并为共享指定权限

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：确认无法获取通过 B 林访问 A 林的权限

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：启用指定计算机的选择性身份验证选项

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 5：确认可获取从 A 林访问 B 林的权限

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

任务：删除林信任

此任务提供了在管理员确定不再需要林之间的信任时删除林信任的过程。

步骤 1：删除林信任

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

操作象限	系统管理 SMF	基础结构角色群	按照需要

返回页首

过程：管理站点

说明

Active Directory 站点对象代表 Internet 协议 (IP) 子网集合，通常情况下，该集合构成一个物理局域网 (LAN)。通过站点链接对象连接多个站点进行复制。

在 Active Directory 中使用站点以：

•	使客户端找到其物理位置附近的网络资源（发布的共享、域控制器），在广域网 (WAN) 链接上减少网络流量。
•	优化域控制器之间的复制。

管理 Active Directory 中的站点包括在网络增大时添加新子网、站点以及站点链接对象，还有为站点链接配置进度表和成本。可修改站点链接进度表、成本，以优化站点间的复制。当再不需要对站点进行复制或客户端不再需要使用这些站点查找网络资源时，则可从 Active Directory 中删除此站点及关联的对象。

注意： 管理大型集散拓扑，或使用 SMTP 进行站点间复制传输已超出了本文档的讨论范围。

目的

管理站点：

•	使客户端找到其物理位置附件的网络资源（打印机、发布的共享、域控制器），在广域网 (WAN) 链接上减少网络流量。
•	优化域控制器之间的复制。

KCC 和复制拓扑

知识一致性检查器 (KCC) 通过生成低成本的复制拓扑，使用站点链接配置信息来启用和优化复制流。在站点内部，对于每个目录分区，KCC 都会生成一个环形拓扑，此环形拓扑试图将任意两个域控制器之间的最大跃点 (3) 数量设置为最大值。在站点之间，KCC 创建站点内部连接的跨越树。因此，添加站点和域会增加此 KCC 所需要的处理。在向站点拓扑添加站点和域时，一定要考虑本文档稍后“添加新站点”中论述的指导方针。

站点拓扑的重大更改会影响域控制器硬件要求。有关域控制器硬件需求的详细信息，请参阅 管理 Windows 网络 Active Directory 设计的最佳做法中的“域控制器容量规划”。若要下载此指南，请按照以下 Web 资源网页的 Active Directory 链接进行操作 http://www.microsoft.com/windows/reskits/webresources，该链接会将您带到可下载本指南的 Active Directory 主页。

选择桥头服务器

在默认情况下，桥头服务器是由每个站点上的站点间拓扑生成器 (ISTG) 自动选择的。另外，也可使用 Active Directory 站点和服务来选择首选桥头服务器。然而，对于 Windows 2000 部署，建议不要选择首选的桥头服务器。

选择首选桥头服务器会限制 KCC 使用所选择的桥头服务器。如果使用 Active Directory 站点和服务在站点上选择任一首选的桥头服务器，就必须选择尽可能多的首选的桥头服务器，而且一定要为必须复制到不同站点上的所有域选择首选桥头服务器。如果选择了域的首选桥头服务器，并且此域的所有首选桥头服务器都无法使用，那么就不会出现到和从此站点的域复制。

如果已选择了一个或多个桥头服务器，那么从存储桥头服务器列表中删除所有的桥头服务器，可将自动选择功能存储到 ISTG。

返回页首

任务：添加新站点

设计小组或网络架构师可能希望添加站点，做为进行之中的部署的一部分。虽然通常通过创建子网来容纳网络中的所有地址范围，但不需要为每个位置创建站点。一般情况下，那些拥有域控制器或运行应用程序的其他服务器位置才需要站点，这些应用程序依赖于站点拓扑，如分布式文件系统 (DFS)。

当需要创建站点时，设计小组通常会提供有关新站点的站点链接位置和配置，以及子网分配或创建子网（如需要）的详细信息。

KCC 计算生成 Windows 2003 林的站点间拓扑时，会导致在合并的站点、站点链接以及域超过特定限制时，目录性能下降。当达到限制时，请按 Active Directory 分支机构计划指南 上的“站点管理指导方针”操作进行，此信息链接在 Web 资源页面上，该页面位于 http://www.microsoft.com/windows/reskits/webresources。

做为通用规则，当以下任一情况出现时，请在添加新站点前联系设计小组：

•	现有站点直接与多于 20 个站点连接。
•	桥头服务器的入站连接多于 20 个。
•	林拥有的站点为或多于 200 个。

使用以下步骤添加新站点。在所链接的主题中对这些步骤进行了详细解释。

步骤 1：创建站点对象并将其添加至现有站点链接

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：使 IP 地址范围与站点相关联

使用两种方法中的一种：

•	创建子网对象或对象并使其与新站点相关联
•	使现有子网对象与新站点相关联

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 3：创建站点链接对象，如果适当，则将新站点和至少一个其他站点添加至此站点链接对象

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 4：从站点链接中删除站点

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：将子网添加至网络

如果已将 IP 地址的新范围添加至网络，则须在 Active Directory 中创建一个子网对象以符合 IP 地址范围。当创建新子网对象时，必须使其与站点对象相关联。可使子网与现有站点相关联，也可创先建新站点，然后创建子网，并使二者相关联。如果正要创建新网络章节的新站点，请参阅“添加新站点”。

使用以下步骤添加子网。在所链接的主题中对这些步骤进行了详细解释。

步骤 1：创建子网对象并使其与正确的站点相关联

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：链接复制站点

若要链接复制站点，就要在 IP 传输容器中创建一个站点链接对象，并向此链接添加两个或更多的站点。使用包括正在链接站点的命名约定。例如，若打算将命名为“Seattle”的站点链接至命名为“Boston”的站点，可将站点链接命名为“SEA-BOS”。

在将两个或多个站点名添加至站点链接对象后，各自站点中的桥头服务器会根据站点链接对象上的复制进度表、成本以及间隔设置在站点间进行复制。有关修改默认设置的信息，请参阅“更改站点链接属性”。

当创建站点链接时必须至少具备两个站点。如果正在添加站点链接以使其与新站点连接至现有站点，则首先创建新站点，然后创建站点链接。有关创建站点的信息，请参阅“添加新站点”。

使用以下步骤连接复制站点。在所链接的主题中对这些步骤进行了详细解释。

步骤 1：在 IP 容器中创建站点链接对象，并添加适当站点

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

步骤 2：生成站点间拓扑

可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。

返回页首

任务：更改站点链接属性

若要控制直接与其他站点复制的站点和复制时间，那么使用站点链接对象的成本、进度表以及间隔属性。

这些设置控制站点间复制内容如下：

•	进度表：复制发生的时间（默认设置允许复制随时可进行）。
•	间隔：在打开的进度表窗口中，站点间复制伙伴复制轮询之间的时间（默认为 180 分钟）。
•	成本：链接的相对优先级（默认为 100）。较�