Active Directory 产品操作指南
第 3 章 — 详细的维护操作
本页内容概述本章提供了有关维护 Active Directory 所必须执行的过程的详细信息。这些过程是按照其所属的 MOF 象限来排列顺序,在每个象限中则遵照构成该象限的 MOF 服务管理功能 (SMF) 指南。 这些象限是:
过程:备份 Active Directory说明 将 Active Directory 作为 Microsoft® Windows 系统状态(彼此依赖的系统组件集合)的一部分进行备份。必须对所有的系统状态组件进行备份并存储在一起。 域控制器上的系统状态组件包括:
如果使用集成 Active Directory 的域名系统 (DNS),请确保备份托管 DNS 的域控制器。如果不使用集成 Active Directory 的 DNS,则必须明确备份区域文件。但是,如果将系统磁盘与系统状态一同备份,则请将区域数据作为系统磁盘的一部分进行备份。 如果在域控制器上安装了 Windows Clustering 或证书服务,也必须将其作为系统状态的一部分进行备份。本指南中未对这些组件进行详细论述。 目的 需要最新的、经过验证的和可靠备份的几个理由:
指导方针 尽管 Windows Server 2003 中的备份工具支持多种类型的备份(普通、复制、增量、差异和日常),但是支持 Active Directory 并且可用的仅有普通备份,因为 Active Directory 是作为系统状态的一部分来进行备份的。普通备份可在域控制器联机的同时创建整个系统状态的备份。 如果没有使用集成 Active Directory 的 DNS 区域,则除系统状态和/或系统磁盘之外,还应将包含备份中所有 DNS 区域文件的文件路径包括在内,以确保恢复成功。 备份哪些域控制器 可为每个 Active Directory 域定义备份集,该备份集由要求成功还原域的物理域控制器组成。域备份集的集合确保可执行林还原操作。 对于每个域,备份集至少拥有两台或多台域控制器,并且其中至少有一台域控制器是应用程序分区复制集的成员。 备份集必须包括集中每台计算机的系统状态、系统磁盘备份以及全局编录。 如果使用集成 Active Directory 的 DNS,则有助于备份至少一台 DNS 服务器。 注意: 备份仅能用于还原生成备份的域控制器。它不能用于还原不同的域控制器或在不同硬件上的该域控制器。 何时备份 Active Directory 备份集中的每台域控制器在墓碑生存时间内必须至少备份两次。默认情况下,墓碑生存时间为 60 天,因而可将备份集中每台域控制器的备份要求设为每 30 天进行一次。 虽然每月备份操作足以满足成功进行灾难恢复的要求,但它们并不易于进行自最近一次备份以来新信息的恢复。因此在规划备份频率时,应将这些变化考虑在内。备份的频率由业务要求和技术要求来决定,并根据部署的需要进行调节。 默认情况下,每隔 30 天机器帐户会更改一次密码。因此,域控制器也会每隔 30 天更改一次它的机器帐户密码。如果打算使用旧密码还原域控制器,可能会导致域控制器无法通过其伙伴进行复制。所以,为了将使用旧密码还原域控制器的影响降至最低,应在 30 天内执行一次以上的备份。 除定期备份要求外,在下列时刻应立即执行备份:
注意: 来自 Windows 2000 Server 的备份不能用于还原运行 Windows Server 2003 的域控制器。 Active Directory 通过不允许还原来保护其自身不会受到比墓碑生存时间更早的数据还原。因此,备份的生命周期与为企业设置的墓碑生存时间相等。 任务:备份 Active Directory 和相关组件步骤:备份系统状态 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/msit/security/smtcrdcs.mspx。 步骤:备份系统状态和系统磁盘 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/msit/security/smtcrdcs.mspx。 依赖性 无 必需的技术
过程:Active Directory 的非授权还原说明 非授权还原将域控制器返回至其备份时的状态,然后允许使用备份后出现的任何更改进行正常的复制以覆盖此状态。还原系统状态后,域控制器会查询其复制伙伴。复制伙伴将所有更改复制到还原的域控制器,以确保域控制器具有正确的和更新的 Active Directory 数据库副本。 目的 非授权还原允许还原域控制器上的整个目录,而无须再次引入或更改自备份以来已修改过的对象。非授权还原的最常用于在灾难性或衰弱性硬件故障后进行整个域控制器的恢复。数据损坏时并不常用此非授权还原,除非是本地数据损坏且不能成功加载数据库。 指导方针 如果打算还原已删除的对象,则应参考授权还原的步骤。在单台域控制器上还原整个目录以处理数据损坏或硬件故障时,请使用非授权还原。可在为单机服务器、成员服务器或域控制器的 Windows Server 2003 系统上执行非授权还原。服务器必须是在目录服务还原模式下,方可执行非授权还原。 任务:执行域控制器的非授权还原非授权还原是还原 Active Directory 的默认方式。要执行非授权还原,必须能够在目录服务还原模式下启动域控制器。从备份介质还原域控制器后,复制伙伴会使用标准的复制协议来更新已还原的域控制器上的 Active Directory 和相关信息。 步骤 1:在目录服务还原模式下重新启动域控制器 注意: 必须重新安装操作系统的情况下:还原此目录前,无须在目录服务还原模式下执行非授权还原。重新安装操作系统后,可在机器正常启动后执行还原。 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx 步骤 2:从备份介质还原 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:验证 Active Directory 还原 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:通过重新安装和之后从介质还原来还原域控制器如果无法在目录服务还原模式下重新启动域控制器,则可通过重新安装操作系统、之后从备份还原 Active Directory 来还原该域控制器。 为了还原操作成功,必须将 Windows Server 2003 重新安装到与先前相同的驱动器号,并且该驱动器至少具有相同量的物理驱动器空间。重新安装 Windows Server 2003 后,即可执行该系统状态和系统磁盘的非授权还原。 步骤 1:安装 Windows Server 2003 本指南不提供 Windows Server 2003 的安装说明。 步骤 2:从备份介质还原 可在以下网址找到该步骤 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:验证 Active Directory 还原 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 还原该域控制器需要具备先前使用备份工具进行的备份。 必需的技术 备份
过程:Active Directory 对象的授权还原说明 授权还原过程将对象返回至其最近一次备份时的状态。该过程会将自最近的备份所作的更改清除。这与非授权还原不同。非受权还原依赖于复制伙伴引进当前数据,其中包括有关自该备份以来已删除的对象的信息。 不应将授权还原作为更改控制基础结构的一部分来依赖。管理和更改实施的正确委派将会优化数据的一致性、完整性和安全性。 目的 授权还原常用于从该目录(例如:已删除的用户帐户)中恢复损坏或已删除的对象。不应将授权还原用于恢复整个域控制器。 指导方针 子树或叶对象的授权还原恢复了子树或叶,并将其标记为此目录的权威。这表示还原的对象将会被复制到其他域控制器中,并作为保持移动的数据。在对象已删除的情况下,此对象将会被恢复;在其他情况下,此对象将返回至其先前的状态。 确保正在还原的信息成功恢复至关重要。组成员身份尤其敏感,授权还原期间后续步骤可能会对组成员产生巨大影响。 如同非授权还原,从备份介质还原开始,然后执行以下附加步骤来完成授权还原。 任务:执行一个或多个目录对象的授权还原注意: 如果此已删除对象不包括组对象,则无需执行步骤 3 到 10。此外,如果已删除的组在已删除对象列表中没有成员,则无需执行步骤 3 到 10。 步骤 1:从备份介质还原 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:标记对象权威 一旦数据从备份中还原,则必须选择要标记为权威的对象,以将这些对象复制到其他域控制器中。要完成这一操作,必须知道其所要还原对象可分辨的全称(即 DN)。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:重新启动隔离的计算机 要解决分布式系统的某些挑战,并确保数据成功还原,就必须在授权还原过程中采取一些额外的预防措施。 重新启动处于隔离状态的机器有助于为下一步骤做好准备,即由于不能在目录服务恢复模式中关掉入站复制,因此需要在这个时候关掉入站复制。 如果需要重新启动,最常用的方法就是通过物理移除网络电缆,从域控制器中移除网络连接。备用方法可能取决于网络硬件以及企业的习惯作法。 防止域控制器与该域或林中任何其他域控制器通信非常重要。也可将此域控制器与可调用目录中任何对象更改的所有客户端隔离。 步骤 4:使用 Repadmin 关掉入站复制 通过关掉入站复制,可确保没有将更改复制到域控制器中,也没有改变组成员身份。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:将计算机重新连接到网络 一旦关闭入站复制,将域控制器重新连接到网络上是安全的。 如果已通过移除网络电缆或断开网络连接将计算机与域控制器隔离,那么将其重新连接以将域控制器接至网络。 如果执行了基于公司网络设备的其他步骤,那么请按照该设备推荐方法将域控制器重新连接到网络。 步骤 6:允许本计算机使用其所有伙伴进行复制 要使用新恢复的对象可用并以其恢复的格式在所有域控制器上实例化,则必须在发生该还原更改的域控制器和其伙伴之间进行成功复制。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 7:在目录服务还原模式下重新启动域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 8:标记对象权威 还原对象及其组成员身份的挑战之一是成员身份和对象可能会以不同的顺序进行复制。如果成员身份复制在还原用户前完成,由于此用户不存在,那么接收域控制器将不会对成员身份进行更新。为避免这种现象,就必须对已经还原的对象进行第 2 次权威标记,并再次将此信息复制出来。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 9:如果第二次完成此对象或多个对象的授权还原,那么重新启动计算机,该域控制器会重新引导至正常模式。注意,此处没有更多关于此步骤的信息。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:执行应用程序分区的授权还原应用程序分区的还原将此应用程序分区中的所有数据标记为副本集的权威。应用程序分区内包含的信息将会复制到林中所有的域控制器,该林之前在副本集中。应在还原前具备应用程序分区的当前有效备份,以防止备份后由于更改所引起的特定对象更改丢失。 如希望从应用程序分区中还原对象(一个或多个),那么请参考“任务:执行一个或多个目录对象的授权还原”。 步骤 1:从备份介质还原 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:将应用程序分区标记为权威 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:重新启动计算要 如果第二次完成此对象或多个对象的授权还原,可将该域控制器重新启动至正常模式。 任务:执行组策略的授权还原还原 GPO 是将 GPO 还原至先前状态。还原操作可用于以下两种情况:已备份 GPO,但此后将其删除,或 GPO 存在而希望返回至已知的先前状态。即使还原操作正在重新创建一个已删除的 GPO,但仍保留初始的 GPO GUID。这是还原操作和本指南中后续部分要讨论的导入或复制操作的主要不同之处。 还原操作替换了 GPO 中的以下组件:
还原操作不还原到 SOM(管理范围)的链接。任何现有的链接将继续使用,例如,现有的 GPO 还原至以前状态时。然而,如果用户删除了 GPO 以及所有到 GPO 的链接,那么此用户必须在还原 GPO 后重新创建这些链接。为便于创建这些链接,可查看备份中的报告,以标识 GPO 域中的所有链接。 有关详细信息,请参见 使用 GPMC 管理组策略 ,位于以下网站 http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx。 步骤 1:还原组策略 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:通过重新安全恢复域控制器说明 通过重新安装进行恢复与创建一个新的域控制器相同。它不涉及从备份介质中还原。此方法依赖 Active Directory 复制将域控制器还原至工作状态,而且仅在另一个运行正常的域控制器存在于同一域中时,此域控制器才有效。此选项通常用于仅作为域控制器运转的计算机。 目的 通过重新安装进行恢复是还原不作为备份集一部分的域控制器的唯一方法。此外,由于备份介质的不可访问性或为了方便,可从非授权还原中选择此步骤。 指导方针 本过程假设已完成装操作系统的重新安装。建议在安装操作系统前,对整个系统磁盘进行格式化,这将删除此系统磁盘中的所有信息。确保在进行这些操作前已移动或备份所有重要或相关的数据。 通过重新安装进行还原操作不能替代日常定期备份。日常定期备依赖于同一域中另一域控制器的存在的同时,可确保成功恢复。 带宽是通过重新安装恢复域控制器时所要考虑的首要因素。所需带宽与 Active Directory 数据库大小以及在功能状态下域控制器必需时间成正比。理想情况下,为减小网络影响和重新安装至完成所需要的时间,现有的功能域控制器应与复制的域控制器(新域控制器)处于同一 Active Directory 站点下。 任务:通过重新安装还原域控制器过程 1:清理元数据 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:安装 Windows Server 2003 假设将要安装新的 Windows Server 2003。这将会受到正在为此安装做准备的磁盘驱动器上的分区或格式化操作的阻碍。 步骤 3:确认 DNS 注册和功能 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:确认与其他域控制器间的通信 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 过程 5:确认操作主机的可用性 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:安装 Active Directory 在安装过程中会进行复制操作,以确保域控制器正确以及 Active Directory 的升级复制。也可使用与此域控制器的信息作为其替换的域控制器的信息。站点位置、域控制器名称以及域成员身份都应保持相同。如果计划在不同的名称下安装域控制器,还可参考“过程:为现有域安装域控制器”。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 7:验证 Active Directory 安装 阅读并执行“任务:验证 Active Directory 安装”中的步骤。可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 域管理员凭据 必需的技术 Dcpromo.exe 或备份
过程:为现有域安装域控制器说明 本过程包括在 Windows Server 2003 系统上安装 Active Directory,此系统将会成为现有 Active Directory 域中的域控制器。有关规划、测试以及部署 Active Directory 的最佳做法,请参阅 Windows Server 2003 部署工具包:设计和部署目录及安全服务 ,该信息位于以下网站 http://www.microsoft.com/downloads/details.aspx?familyid=6cde6ee7-5df1-4394-92ed-2147c3a9ebbe&displaylang=en。 要确保成功安装新域控制器,应确定 Active Directory 所依赖的所有关键服务都使用了以下 Microsoft 最佳做法。 通过运行 Active Directory 安装向导将 Active Directory 安装在 Windows Server 2003 服务器上。此向导尽可能自动安装以简化升级过程。要运行此 Active Directory 安装向导,您必须是此域管理员组的成员。 目的 添加新的域控制器有几个目的。可能需要附加应用程序(集成 Active Directory 的应用程序,相对于域控制器上运行的应用程序)以满足增加的容量需求,提供升级和容错功能并减少故障。有关部署新域控制器标准和 Active Directory 最佳做法的详细信息,请参阅 Windows Server 2003 部署工具包:设计和部署目录及安全服务。 指导方针 在开始安装前,环境中必须具备以下条件:
在本指南指导范围外创建或删除域或林。 任务:准备安装 Active Directory为安装 Active Directory 进行适当的准备工作,减少在安装过程中出现问题的机率,并帮助您快速完成操作。准备工作包括安装和配置 DNS 以及收集安装所需要的信息。 配置 DNS DNS 客户端始终位于 Windows Server 2003 服务器上。应正确配置 DNS 客户端和 DNS 服务器,以确保名称解析和相关依赖性可发挥其在安装 Active Directory 过程中的预期作用。 确保具备所有必需的配置、转发器或区域,并在安装操作前均可访问。有关 DNS 配置最佳做法的详细信息,请参阅 Windows Server 2003 部署工具包:设计和部署目录及安全服务 ,该信息位于以下网站 http://www.microsoft.com/downloads/details.aspx?familyid=6cde6ee7-5df1-4394-92ed-2147c3a9ebbe&displaylang=en。 站点位置 在安装过程中,Active Directory 的安装向导会试图将新域控制器放置在恰当的站点上。此恰当站点由域控制器的 IP 地址和子网掩码来决定。向导使用此 IP 信息来计算域控制器的子网地址并查看此子网地址的子网对象是否出现在该目录中。如果该子网对象出现在目录中,那么向导就使用它将新服务器对象放置在恰当的站点上。否则,向导会将新服务器对象放置在与域控制器所在的相同站点,此域控制器为将此目录数据库复制到新域控制器的源。确保在运行向导前已创建用于所需站点的子网对象。 根据以下规则分配站点:
域连接性 在安装过程中,为将新域控制器加入到该域中,Active Directory 安装向导需要与其他域控制器进行通信。向导需要与该域成员进行通信以接收用于新域控制器目录数据库的初始复制。它与仅用于域安装的域命名主机进行通信,这样就能将新域控制器添加到此域中。向导还需要与相关的 ID (RID) 主机进行联系,这样,此域控制器就能够接收其 RID 池,为了填充位于新域控制器上的 SYSVOL 共享文件夹,此向导还需要与另一个域控制器进行通信。所有这些通信都取决于正确的 DNS 安装和配置。通过使用 Netdiag.exe 和 Dcdiag.exe,可在开始运行 Active Directory 安装向导前测试所有这些连接。 必需的信息 此安装向导在开始安装 Active Directory 前询问以下指定配置信息:
在运行 Active Directory 安装向导前准备好此信息。 过程 1:安装 DNS 服务器服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:收集 SYSVOL 路径安装信息 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认 DNS 注册和功能 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:确认 IP 地址映射到子网并确定站点关联 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:确认与其他域控制器间的通信 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 过程 6:确认操作主机的可用性 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 告诫:如果任何一个验证测试失败,则不要继续进行,直到确定错误并解决问题为止。如果这些测试失败,那么此安装可能也会失败。 任务:安装 Active Directory当在新域控制器上安装 Active Directory 时,有几点元素需要考虑。此任务解决了有关站点位置、连接性以及 Active Directory 安装向导的一般需求。 Active Directory 安装向导 在收集完运行 Active Directory 安装向导所需的所有信息,并且已经执行了测试操作确认所有必须的域控制器都可用后,就已经为在服务器上安装 Active Directory 并将其转变成为域控制器做好了准备工作。 在安装过程中,向导会询问为需要用于正确配置新域控制器的信息。首先,它会询问希望在新域中安装域控制器还是希望在现有的域中安装额外的域控制器。由于本指南适用于在现有域中添加域控制器,因此请选择 Additional domain controller in an existing domain。 在安装过程中,为将此新域控制器添加至该域中,向导需要与其他域控制器进行通信,并使正确信息进入到 Active Directory 数据库。为了维护安全,必须提供具有对此目录管理访问权的凭据。 步骤 1:安装 Active Directory 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:从介质中安装 Active Directory从介质中安装 Active Directory 可减少在 Active Directory 域中安装额外域控制器过程中所引发的复制流量,从而减少安装复制域控制器所需要的时间。 此任务包括 3 个步骤:
步骤 1:备份系统状态 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:还原系统状态至备用位置 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:提升服务器至域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:Active Directory 的无人参与安装运行无人参与安装简化了在多台计算机上设置 Active Directory 的过程。此无人参与安装功能使用应答文件为在正常安装过程中提出的问题提供解答。这使得安装过程从开始到结束连续工作,而不受用户干预。当 Active Directory 在多台计算机上安装了相同的选项时,此方法效果最佳。 过程 1:安装和运行安装管理来创建应答文件 (Unattend.txt) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:运行 Active Directory 自动安装
任务:验证 Active Directory 安装在新提升的域控制器上可进行一些验证任务。成功完成每个验证任务需求后,表示提供的域控制器状态良好,可供操作。 步骤 1:确定服务对象是否拥有子对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:确认域控制器的站点分配 必须确保新域控制器位于正确的站点,这样,在安装全部完成后,新域控制器可定位复制伙伴,并成为复制拓扑的一部分。如果站点错误,可在 Active Directory 安装完成后,使用 Active Directory 站点和服务管理单元将此域控制器的服务对象移动至正确的站点。 注意: Active Directory 安装向导所显示的最后的对话框列出了新域控制器所安装的站点。如果站点不正确,就必须在此服务器重新启动后移动该服务器对象。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:如果域控制器位于错误站点,请将服务器对象移至不同的站点 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:配置 DNS 服务器转发器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:确认 DNS 配置 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:检查共享 SYSVOL 状态 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx. 步骤 7:确认 DNS 注册和功能 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 8:确认新域控制器的域成员身份 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 9:确认与其他域控制器间的通信 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 10:确认与其他域控制器间的复制 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 11:确认操作主机的可用性 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 以下访问级别需要:
必需的技术
过程:删除 Active Directory说明 可使用两种方法中的一种将域控制器从域中删除:删除 Active Directory,或由于系统故障使域控制器无法操作,因此不能将其还原以用于服务。 目的 在以下情况可能需要删除域控制器:
指导方针 与如何安装 Active Directory 以将基于 Windows 2003 的服务器变成域控制器相同,可删除 Active Directory 来使基于 Windows 2003 的域控制器重新转变为服务器。本过程从目录中删除大部分到域控制器的引用。必须在删除 Active Directory 后,从计算机容器中手动删除代表域控制器的服务器对象。此方法可从目录中正确删除域控制器。 域控制器上的硬件故障可能导致域控制器无法操作。如果问题很严重,有可能再不能将域控制器返回至服务状态。在这种情况下,其他域控制器最终进行自我配置,以便于可继续复制目录信息,而不使用故障的域控制器。 如果从域中删除了域控制器而没有删除 Active Directory,那么所有关于此域控制器的信息都将保留在此目录中。必须采取另外的步骤以从此目录中删除该信息。 任务:不再使用此域控制器降级域控制器可有效删除所有 Active Directory 和相关组件,并将域控制器返回至成员服务器角色。 步骤 1:查看当前操作主机角色持有者 为避免出现问题,在运行 Active Directory 安装向导前将任一操作传输至不再使用的域控制器,以便可控制操作主机角色位置。如果需要从域控制器中传输任何角色,就要在执行传输操作前了解所用于角色位置的所有建议。 告诫::在取消过程中,Active Directory 安装向导将试图将任一剩余操作主机角色传输至其他域控制器,而不需要任何用户的交互操作。然而,如果失败,向导将会继续降级,并使您的域外于无角色状态。此外,您还没有控制接收此角色的域控制器。向导将角色传输至任一可用的域控制器,但没有指示由哪一个域控制器来托管这些角色。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:传输林级别的操作主机角色 只有此域控制器托管架构主机或域命名主机角色时,才需要这一步骤。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:传输域级别的操作主机角色 只有此域控制器托管 PDC 仿真器、基础结构主机或 RID 主机时,才需要这一步骤。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:确定域控制器是否为全局编录服务器 如果从托管全局编录的域控制器中删除 Active Directory,Active Directory 安装向导会确认希望继续删除 Active Directory。此确认确保您知道正在从您所在的环境中删除全局编录。由于用户在没有可用全局编录服务器的情况下不能登录,因此不要从您所在的环境中删除最后一个全局编录服务器。如果不能确信,就不要继续删除 Active Directory,直到您知道至少有一个其他全局编录服务器可用为止。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:确认 DNS 注册和功能 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:确认与其他域控制器间的通信 在删除 Active Directory 过程中,需要联系其他域控制器,以确保:
如果域控制器在删除 Active Directory 期间不能联系其他域控制器,那么取消操作失败。在安装过程中,在运行安装向导前测试通信基础结构。在删除 Active Directory 时,使用与安装 Active Directory 时所用相同的连接性测试。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 7:确认操作主机的可用性 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 注意: 如果任一验证测试失败,则不要继续下去,直到确定并解决问题为止。如果这些测试全部失败,则删除操作可能也会失败。 步骤 8:删除 Active Directory 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 9:确定服务器对象是否拥有子对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 10:从站点上删除服务器对象 注意: 如果服务器对象托管了一些除 Active Directory 以外的角色(如 Microsoft Exchange),那么管理员可能不希望删除该服务器对象。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:强制删除域控制器强制删除域控制器仅在用作不需要重新安装操作系统时,还原域控制器的最后方法。 然而,它并不能替换正常的删除过程,事实上,其相当于永久性的断开域控制器 有相当多关于域控制器的元数据存储于 Active Directory 中。在正常降级过程中,将清理此元数据。强制删除假设没有到此域的连接,并不尝试任何清理操作。 域控制器的强制删除后应始终进行相关元数据的清理工作,从而有效清除所有从域和林中对域控制器的引用。 不应在域中的最后一个域控制器上进行强制降级操作。 步骤 1:确认复制伙伴 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:强制域控制器删除 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:清理元数据 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 无 必需的技术 无
过程:重命名域控制器说明 重命名运行 Windows Server 2003 (与 Windows 2000 Server 相反)的域控制器功能为您提供了执行以下操作的灵活性:
虽然可通过系统属性 GUI(同任一其他计算机)重命名域控制器,但是,Active Directory 和 DNS 副本延迟可能临时阻止客户端查找和/或身份验证已重命名的域控制器。要消除此问题,建议将用 Netdom 命令行工具重新命名域控制器。 目的 在很多组织中,重新命名域控制器是常用操作,并常在以下情况中使用:
指导方针 域控制器名称主要对管理产生影响,而不是客户端访问,注意这一点很重要。重新命名域控制器是一项 可选 操作,应在重新命名前对其影响有很好的了解。 可使用 GUI 或 Netdom 工具来重新命名域控制器。此域功能等级必须设置到 Windows Server 2003 ,以便可使用此 Netdom 工具。在其他情况下,应使用 GUI。 任务:使用系统属性用户界面重新命名过程 1:使用系统属性界面更改名称 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:更新 FRS 成员对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:使用 Netdom 命令行工具重新命名此 netdom 命令更新 Active Directory 中用于计算机帐户的服务主体名称 (SPN)属性,并注册用于新计算机名称的 DNS 资源记录。必须将此计算机帐户的 SPN 值复制到此域中所有域控制器,必须将新计算机名称的 DNS 资源记录分配到用于此域名称的所有授权的 DNS 服务器上。如果在删除旧计算机名称前没有进行更新和注册,那么某些客户端可能无法使用新或旧的名称查找此计算机。 过程 1:添加新域控制器名称 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:将新名称指定为主计算机名称 在进行此操作前,必须确保已将 SPN 值注册到 Active Directory 中,且用于新计算机名称的 DNS 记录已在 DNS 中注册。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:删除旧域控制器名称 在进行此项操作前,必须确保计算机帐户中用于新计算机名称更新的 dnsHostName 属性已在 Active Directory 中注册,并且此 SRV DNS 记录也已在授权的 DNS 服务器中注册。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:更新 FRS 成员对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性
必需的技术
过程:管理 Active Directory 数据库说明 Active Directory 存储在 Ntds.dit 数据库文件中。除此文件外,目录还使用日志文件,用于在将事务提交至数据库文件前存储事务。基于最佳性能考虑,将日志文件和数据库存储在单独的硬盘驱动器中。 Active Directory 数据库是一个自我维护的系统,不需要日常维护,它不同于日常操作中的定期备份。然而,如果出现下列情况,可能需要对其进行管理:
监视分区或那些存储目录数据库和日志的分区中的可用磁盘空间。以下是可用空间的建议参数:
目的 在一般操作过程中,客户会从 Active Directory 中删除对象。删除对象后,在数据库中就会创建空白区域(或未使用的空间)。数据库会通过名叫碎片整理的过程来定期合并此空白区域,这样,在添加新对象时,就会再次使用此空白区域(不需要增大文件本身)。此自动联机碎片整理操作重新分配并保留了该数据库所使用的空白区域,但并没有将其发布至此文件系统。因此,即使可能删除对象,数据库也并没有收缩。在数据显著减少的情况下(如将全局编录从域控制器中删除),空白区域将不会自动返回至该文件系统。虽然这种情况不会影响数据库操作,但它会导致数据库中创建大量空白区域。可通过脱机碎片整理操作,使用将数据库文件的空白区域返回至文件系统的方法来减小数据库文件。 管理 Active Directory 数据库还可更新和替换数据库或日志文件所存储的磁盘,或将这些文件移动至不同的位置,这些操作既可是永久性的,也可是临时的。 指导方针 在执行影响目录数据库的任一步骤前,确保已对当前系统状态进行备份。有关执行系统状态备份的信息,请参阅本指南前面部分中的“备份 Active Directory”。 要进行数据库文件自身管理,必须通过在目录服务还原模式中的重新启动来使域控制器处于脱机状态,然后使用 Ntdsutil.exe 来管理该文件。 注意: NTFS 磁盘压缩不支持数据库和日志文件 。 任务:重新定位 Active Directory 数据库文件以下情况需要移动数据库文件:
指导方针 如果移动数据库文件或日志文件的结果导致到这些文件的路径更改,则要确保:
如果替换或重新配置了存储 SYSVOL 文件夹的驱动器,则必须首先手动移动此 SYSVOL 文件夹。有关手动移动 SYSVOL 的信息,请参阅本指南以后部分中的“管理 SYSVOL”。 使用下列步骤来移动或复制数据库文件或/和日志文件。链接的主题中提供了详细的操作步骤。 注意: 在文件移动过程中和确认移动后,域控制器处于不可用状态。确保可使用替换的域控制器来处理此容量。 步骤 1:确定目录数据库文件的位置和容量 利用数据库容量来准备大小合适的目的位置。在移动过程中跟踪各自文件大小以确保能够成功移动正确的文件。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:比较目录数据库文件和卷的大小 在移动任一响应磁盘空间不足的文件前,确认不是此卷上其他文件造成此磁盘空间不足。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:备份系统状态 系统状态包括数据库文件、日志文件以及其他事务中的 SYSVOL 和 Net Logon 共享文件夹。始终确保在移动数据库文件前进行当前状态备份。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:在目录服务还原模式下重新启动域控制器 如果登录到域控制器控制台,则在目录服务还原模式下本地重新启动域控制器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:移动数据库文件或/和日志文件 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:备份系统状态 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:将未使用的磁盘空间从 Active Directory 数据库返回至文件系统在日常操作过程中,Active Directory 数据库文件中的空白区域变成碎片状态。每一次垃圾收集操作运行(默认为每 12 小时进行一次),空白区域就会联机自动执行磁盘碎片整理程序来优化在数据库文件中这些空间的应用。从而维护了数据库的未使用磁盘空间;这些磁盘空间并未返回至该文件系统。 只有脱机碎片整理操作才能将未使用的磁盘空间从目录数据库返回至文化系统。当由于大量删除(如从域控制器中删除全局编录)导致了数据库内容显著减少时,或由于空白区域使得数据库备份显著增大时,那么使用脱机碎片整理来减小 Ntds.dit 文件。 可通过设置注册表中的垃圾收集日志级别来确定可从 Ntds.dit 文件中可恢复多少磁盘可用空间。将垃圾收集日志级别从默认值为 0 更改至 1,这会将事件 ID 1646 记录至目录服务日志。此事件描述了数据库文件所使用的磁盘空间总量和可通过脱机碎片整理操作从 Ntds.dit 文件恢复的可用磁盘空间量。 在垃圾收集日志级别处于 0 时,只有关键事件和错误事件才能记入目录服务日志。在垃圾收集日志级别处于 1 时,也可记录高级事件。事件可包括服务所执行的每个主要任务的信息。在垃圾收集日志级别处于 1 时,将会记录以下垃圾收集:
告诫::将诊断中子项的值设置为大于 3,可降低服务器性能级别,不推荐使用此方法。 在脱机碎片整理操作后,执行数据库完整性检查。Ntdsutil.exe 中的完整性命令通过读取数据库文件中的每个字节对二进制级别的数据损坏进行检测。此过程确保数据库本身的标题正确,并且所有的表都运行正常和保持一致。因此,根据 Ntds.dit 文件和域控制器硬件的大小,运行此过程可能要花费相当多的时间。在测试环境中,一般为每小时 2 GB 的速度。当运行此命令时,联机图表会显示完成的百分率。 使用以下步骤执行脱机碎片整理操作。在链接的主题中对这些步骤进行了详细解释。 步骤 1:将垃圾收集日志等级更改为 1 检查事件 ID 1646 的目录服务事件日志,它报告了可通过执行脱机碎片整理进行恢复的磁盘空间数量。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:备份系统状态 系统状态包括数据库文件、数据库日志文件以及其他事务中的 SYSVOL、Net Logon 和注册。总是确保在对数据库文件进行磁盘碎片整理程序前完成当前备份。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:使域控制器处于脱机状态 使用下列步骤之一:
可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:压缩目录数据库文件(脱机碎片整理) 做为脱机碎片整理工作的其中一个步骤,检查目录数据库的完整性。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:如果数据库完整性检查失败,则执行带有修正的语法数据库分析 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:管理 SYSVOL说明 Windows Server 2003 System Volume (SYSVOL) 是域中每台域控制器上文件系统中的文件夹和重分析点的集合。SYSVOL 为存储重要组策略对象 (GPO) 元素和脚本提供了标准位置,这样,文件复制服务 (FRS) 就可将这些元素和脚本分配到此域中的其他域控制器中。 注意: SYSVOL 只对组策略模板 (GPT) 进行复制。它通过 Active Directory 复制对组策略容器 (GPC) 进行复制。为有效起见,该两部分必须在域控制器上均可用。 FRS 监视 SYSVOL,如果对存储在 SYSVOL 上的任何文件进行更改,那么,FRS 会自动将更改的文件复制到此域中其他域控制器的 SYSVOL 文件夹中。 SYSVOL 每天的工作是自动进行的,除了注意来自监视系统的警报外,不需要任何人干涉。偶而,在更改网络时,可执行一些系统维护操作。 目的 本过程描述了维护 SYSVOL 容量和性能、硬件维护或数据组织的必需基本任务。 指导方针 为了管理 SYSVOL,须确保 FRS 正确复制了 SYSVOL 数据,并提供有存储 SYSVOL 的充足空间。实施监控系统以检测磁盘空间不足和潜在的 FRS 中断,这样,就可在系统停止复制前解决这些问题。完成这项工作的有用工具是 Ultrasound 实用工具,可通过搜索“Ultrasound”从下面网址下载此工具 www.microsoft.com/homepage/ms.htm。 管理 SYSVOL 需要考虑的关键因素:
任务:更改分配至临时区域的空间临时区域在复制前对文件进行存储,并存储刚从复制中接收到的文件。虽然 FRS 对数据进行压缩,且已复制的文件具有在临时区域文件夹节省空间和减少复制文件所需要时间的属性,但是这种方法需要在复制前对每个文件的副本进行制作和存储,因此,可能需要大量的磁盘空间。 默认的临时区域大小为 660 兆字节 (MB)。其最小值为 10 MB ,最大值为 2 GB。可通过设置以千字节 (KB) 为单位的 Staging Space Limit 注册表项来调整暂存文件夹的大小限制,此注册表项位于 HKEY_Local_Machine\System\CurrentControlSet\Services\NtFrs\Parameters。有关在注册表中设置临时空间大小的详细信息,请参阅“Microsoft 知识库”中 KB 的第 329491 章。 步骤 1:停止文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:更改分配到临时区域文件夹的空间 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:启动文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:重新定位临时区域默认情况下,Active Directory 安装向导在 SYSVOL 内安装临时区域文件夹。此 Active Directory 安装向导创建 FRS 用于临时过程的临时文件夹和临时区域。在重新定位此临时区域时,可更改其名称。确保在您所在的环境中对区域进行重新命名后,能够将其识别为正确的区域。 两个参数决定了临时区域的位置。一个是, fRSStagingPath,它存储在目录中,包含通向 FRS 用于暂存文件的实际位置的路径。另一个参数就是交接点,它存储在 SYSVOL 临时区域文件夹中,此 SYSVOL 链接到 FRS 用于临时文件的实际位置。当重新定位此临时区域时,必须更新这两个参数,以使其指向新位置。 除注明外,对包含希望复制的临时文件夹的域控制器执行这些过程。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:标识复制伙伴 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:检查共享 SYSVOL 的状态 不需要对每个伙伴执行此测试,但是需要进行充足的测试以确信伙伴上的共享系统卷运行正常。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认与其他域控制器间的复制 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤:收集 SYSVOL 路径信息 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:将文件复制服务临时文件夹重新设置到不同的逻辑驱动器上 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:手动重新定位 SYSVOL如果移动整个系统卷,而不仅是临时区域文件夹,那么可手动重新定位系统卷。由于没有工具自动完成此过程,因此必须小心移动所有的文件夹,并在新位置上正确保持同样的安全等级。 也可使用 Active Directory 向导来移动 SYSVOL,但这需要降级此域控制器,然后再对其升级。仅在极端情况下或域控制器无法运行任何其他服务或应用程序时,才考虑使用这种方法。 除注明外,对包含希望移动的系统卷的域控制器执行这些过程。在所链接的主题中对这些步骤进行了详细解释。 警告: 此步骤可改变安全性设置。在完成此项步骤后,新系统卷上的安全性设置会重新设置为默认设置,此默认设置是在安装 Active Directory 时建立的。必须将任何更改重新应用到在安装 Active Directory 后生成的系统卷的安全设置中。这将导致额外的复制量。注意如重新设置权限失败可能导致出现对组策略对象、登录和注销脚本的未授权访问。 步骤 1:识别复制伙伴 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:检查共享 SYSVOL 的状态 不需要对每个伙伴执行此测试,但是需要进行充足的测试以确信伙伴上的共享系统卷运行正常。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认与其他域控制器间的复制 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤:收集 SYSVOL 路径信息 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:停止文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:创建 SYSVOL 文件夹结构 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 7:设置 SYSVOL 路径 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 8:设置临时区域路径 如果已经将临时区域文件夹移至不同位置,则不需要此执行步骤。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 9:准备非授权 SYSVOL 还原的域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 10:在新 SYSVOL 上更新安全 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 11:启动文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 12:检查共享 SYSVOL 状态 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:更新系统卷路径当添加和删除磁盘驱动器时,系统中其他驱动器的逻辑驱动器号也会更改。如果 SYSVOL 或临时区域文件夹存放于这些更改文件夹的其中一个上,那么 FRS 就不能对 SYSVOL 或临时区域文件夹进行定位。为了解决这个问题,必须更新 FRS 用于定位这些文件夹的路径。要更改此系统卷的路径,需要对注册表和在目录中进行更改。更改临时区域路径需要更改目录。两种更改都需要更新交接点。在更新路径信息后,必须重新启动文件复制服务,以便其根据新值重新初使化。 使用以下步骤来更改分配到临时区域文件夹的空间数量。链接的主题中提供了详细的操作步骤。 步骤 1:收集 SYSVOL 路径信息 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:停止文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:设置 SYSVOL 路径 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:设置临时区域路径 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:启动文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:还原和重建 SYSVOL如果移动 SYSVOL 或执行某维护任务失败,就必须在单独的域控制器上重新创建或重建 SYSVOL。仅当此域中所有其他域控制器上的 SYSVOL 都运行正常时,可在单独域控制器上重建 SYSVOL。在更正域中所有随 FRS 出现的问题前,不要试图重建 SYSVOL。 仅在不具有 SYSVOL 功能的域控制器上工作时可使用这些步骤。链接的主题中提供了详细的操作步骤。. 步骤 1:识别复制伙伴 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:检查共享 SYSVOL 的状态 由于将要从其中一个复制伙伴复制系统卷,因此需要确保从复制伙伴复制的系统卷为最新。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认与其他域控制器间的复制 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:在目录服务还原模式下重新启动域控制器 如果现在位于域控制器的控制台,那么在目录服务还原模式下本地重新启动域控制器。如正在使用终端服务远程访问此域控制器,那么在目录服务还原模式下远程重新启动域控制器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:收集 SYSVOL 路径信息 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:停止文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 7:准备非授权 SYSVOL 还原的域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 8:导入 SYSVOL 文件夹结构 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 9:启动文件复制服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 10:检查共享 SYSVOL 的状态 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 需要安装和运行 Active Directory。 必需的技术 用于监视的 Ultrasound
过程:管理 Windows 时间服务说明 几乎不需要对 Windows 2003 时间服务 (W32Time) 进行管理,它安装在所有基于 Windows Server 2003 的系统上。在默认情况下,只对域控制器进行配置以为客户端提供时间。W32Time 在同步活动中使用世界协调时间 (UTC)。UTC 基于一种原子时标,独立于时区。 目的 要管理 Windows 时间服务需要,就需要:
指导方针 未对手动指定的时间源进行身份验证,会使得攻击者可操纵时间源,然后起动 Kerberos V5 重复攻击。此外,没有与其域控制器同步的计算机可能拥有不同步的时间。这会导致 Kerberos V5 身份验证失败,从而导致其他需要网络验证的操作(如打印或文件共享)失败。当在林根域中只有一台计算机从外部源获取时间时,此林中的所有计算机才能保持相互同步,使得重复攻击难于进行。 由于不同步时间的风险,以及依赖于同步时间的服务众多,因此正确管理和配置 Windows 时间服务来满足时间同步的操作需要是非常重要的。 告诫::在任何情况下不应提前或回至基于 Windows 2003 服务器的系统时间。 在林根 PDC 仿真器上进行时间配置 Windows 时间服务使用分层的同步结构,此同步结构的根目录位于该 PDC 仿真器中。此系统从根本上代表此林中所有系统的权威时间。 始终密切监视林根 PDC 仿真器,以确保其时间相对其源的精确性。 根据这些在林根 PDC 仿真器上用于配置时间源的最佳操作,按此首选顺序:
不要使林根 PDC 仿真器与另一个位于同一个林中且基于 Windows 的计算机同步。 如果这两个选项在 Active Directory 部署或数据中心中都无法使用,那么可与外部可靠时间源同步。由于同步时间未经过身份验证,潜在地使时间数据包易受攻击,因此不赞成使用该选项。 任务:配置林的时间源在对网络进行初始部署后,通常仅对位于 PDC 仿真器上的时间服务进行了如下两种情况的重新配置:
要配置林根 PDC 仿真器的时间服务,可能需要删除以前使用的外部时间源,或如果已将 PDC 仿真器角色转移至另一个 Active Directory 域控制器,那么可能只需要在新的 PDC 仿真器上配置时间服务。要在林根 PDC 仿真器上配置时间,可使用以下步骤。所链接的主题中提供了详细的操作步骤。 步骤 1:在林根 PDC 仿真器上配置时间 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:在林根 PDC 仿真器上删除已配置的时间源 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:在计算机,而不是在 PDC 仿真器上配置可靠时间源在默认情况下,林根中的 PDC 仿真器是此林的权威时间源。然而,您可能希望在网络中配置不同的域控制器成为该林的权威。 如果计划移动 PDC 操作主机角色,可在移动前在不同的计算机上配置可靠时间源,以避免重新设置或中断此时间服务。PDC 仿真器角色可在计算机之间进行移动,这意味着在每次 PDC 仿真器角色移动时,必须手动对新 PDC 仿真器进行配置,以使其指向外部源,且必须将此手动配置从原始 PDC 仿真器中删除。要避免这一过程,可在父域中将其中一个域控制器设置为可靠,并手动配置这台计算机,使其指向外部源。那么,无论哪台计算机是 PDC 仿真器,时间服务的根目录都是相同的,从而保持正确的配置。 当域控制器查找要与之同步的时间源时,如果可用,它们会选择可靠源。时间服务客户端中的自动发现机制从来不会选择非域控制器的计算机,注意这一点很重要。必须手动配置客户端来使用任一非域控制器的服务器。 虽然林根域中的 PDC 仿真器是授权的林时间源,但仍可在计算机而非此 PDC 仿真器上配置可靠的时间源。 步骤 1:将已选择的计算机配置为可靠时间源 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:配置客户端以向特定时间源请求时间某些计算机没有自动调整其时间以与 Active Directory 域时间同步。建议配置这些系统,以使其从特定源(如此域的域控制器)请求时间。如果没有指定与此域同步的时间源,则由每台计算机的内部硬件时钟来管理时间。以下客户端计算机没有通过 Windows 时间服务自动与此域时间同步:
下面步骤使您可指定客户端计算机的时间源,这些客户端计算机没有通过时间服务自动同步。所链接的主题中提供了详细的操作步骤。 步骤 1:在所选择的计算机上设置手动配置时间源 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:在所选择的计算机上删除手动配置时间源 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:优化轮询间隔在某些情况下,时间服务轮询间隔的默认配置可能不足以达到所期望的操作精确性目标。Windows Server 2003 使用更高级的轮询动态间隔,此间隔由最小和最大值来支配。在下列情况下,可能需要更改此间隔:
步骤 1:更改轮询间隔 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:禁用 Windows 时间服务如果选择实施另一个使用 NTP 协议的时间同步产品,则必须禁用 W32Time 服务,因为所有的 NTP 服务器都需要访问 UDP 端口 123。如果 W32Time 是运行在基于 Windows 2003 的计算机上,则禁用后端口 123 仍然会处于占用状态。 只需执行其中一个步骤来禁用 Windows 时间服务。 步骤 1:禁用时间服务 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性 域管理员凭据 必需的技术 服务管理单元工具
过程:管理信任说明 域之间的信任关系建立了一个信任通信路径,通过这条路径,一个域中的计算机可与另一个域中的计算机进行通信。信任关系允许位于被信任域中的用户访问信任域中的资源。信任通常需要有限管理。 例如,单向信任存在于:
目的 通常,创建信任的目的在于使被信任域中的用户便于访问信任域中的资源。 指导方针 当在现有 Windows 2003 林中创建 Windows 2003 域时,就会在新创建的域和其父域中自动创建信任关系。这些信任关系是具有双向性和可传递性,并且是不可删除的。 信任不总是允许被信任域中的用户访问信任域中的资源。必须通过将用户添加至正确的权限才可获取访问权。在某些情况下,如果将资源列在了经身份验证的用户的 ACL 中,则这些用户就可能具备了默许的访问权。 必须手动创建以下类型的信任:
由于如下原因,可能还需要管理信任:
任务:创建外部信任当希望在位于不同林的 Windows Server 2003 域之间创建信任关系,或在 Windows Server 2003 域和 Windows 2000 或 Windows NT 4.0 域之间创建信任关系时,就创建了一个外部信任。外部信任关系具有如下特征:
如果将 Windows NT 4.0 域升级至 Windows 2000 域,那么现有的信任关系将保持在同一状态。 创建外部信任的方法
需求
可使用下面其中一种方法来创建外部信任。所链接的主题中提供了详细的操作步骤。 步骤 1:创建单向信任(MMC 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:创建单向信任(Netdom.exe 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:创建双向信任(MMC 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:创建双向信任(Netdom.exe 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:创建快捷信任快捷信任关系是手动创建的信任,为提高远程登录用户的效率,快捷信任缩短了信任路径。信任路径是多个信任的链接,此链接使得这些在域命名空间中不相邻的域之间产生信任。例如,如果 A 域中的用户需要获取访问 C 域中资源的权限,可在 A 域到 C 域间通过快捷信任关系创建一个直接链接,回避了信任路径中的 B 域。 快捷信任关系具有以下特征:
仅在普通信任关系出现重大问题时才可创建快捷信任。 需求
可使用下面其中一种方法来创建快捷信任。所链接的主题中提供了详细的操作步骤。 步骤 1:创建单向信任(MMC 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:创建单向信任(Netdom.exe 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:创建双向信任(MMC 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:创建双向信任(Netdom.exe 方法) 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:删除手动创建的信任可删除手动创建的信任,但不能删除林中两个域之间的默认双向可传递信任。如果计划重新创建这些信任,那么确认成功删除信任至关重要。 需求
可通过使用以下方法中的一种删除手动创建的信任。所链接的主题中提供了详细的操作步骤。 步骤 1:使用 Active Directory 域和信任管理单元来删除手动创建的信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:使用 Netdom.exe 删除手动创建的信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:防止未授予的特权升级Active Directory 中的安全主体拥有一种名为 SIDHistory 的属性,域管理员可用其添加用户旧的 SID。由于用户可使用其旧 SID 来访问资源,因此这在移植过程中非常有用;管理员不需要修改大量资源上的 ACL。然而,在某些情况下,域管理员可能会使用 SIDHistory 属性使 SID 与新用户帐户产生关联,因此,就对其自身赋予了未授权的权限。 可配置 SID 筛选以防止此类攻击。可在以下情况配置 SID 筛选:
告诫: 不要将 SID 筛选用于林中的域,因为这将删除 Active Directory 复制所需要的 SID,并导致来自域中的用户身份验证失败,其中,这些域通过隔离的域具有可传递信任性。 使用以下步骤来配置 SID 筛选。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:配置 SID 筛选 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:删除 SID 筛选 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:创建交叉林信任林信任通过提供对访问资源和多个林中的其他对象的支持,有助于在组织内部管理分段 Active Directory 基础结构。 有关创建交叉林以及通常管理信任的详细信息,请参阅白皮书 在 Windows Server 2003 中规划和实施联合林 ,该白皮书位于以下网站 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/fedffin2.mspx。 步骤 1:确认林之间的连通性 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:为两个林配置 DNS 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:在 A 林上创建林信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:在 B 林上创建林信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:验证信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:在交叉林信任上管理选择性身份验证此任务解决了如何根据安全和其他考虑来设置用户身份验证范围。 步骤 1:在 A 林中打开选择性身份验证选项以从 B 林中仅启用选择性身份验证 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:创建测试文件并为共享指定权限 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认无法获取通过 B 林访问 A 林的权限 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:启用指定计算机的选择性身份验证选项 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:确认可获取从 A 林访问 B 林的权限 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:删除林信任此任务提供了在管理员确定不再需要林之间的信任时删除林信任的过程。 步骤 1:删除林信任 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:管理站点说明 Active Directory 站点对象代表 Internet 协议 (IP) 子网集合,通常情况下,该集合构成一个物理局域网 (LAN)。通过站点链接对象连接多个站点进行复制。 在 Active Directory 中使用站点以:
管理 Active Directory 中的站点包括在网络增大时添加新子网、站点以及站点链接对象,还有为站点链接配置进度表和成本。可修改站点链接进度表、成本,以优化站点间的复制。当再不需要对站点进行复制或客户端不再需要使用这些站点查找网络资源时,则可从 Active Directory 中删除此站点及关联的对象。 注意: 管理大型集散拓扑,或使用 SMTP 进行站点间复制传输已超出了本文档的讨论范围。 目的 管理站点:
KCC 和 复制拓扑 知识一致性检查器 (KCC) 通过生成低成本的复制拓扑,使用站点链接配置信息来启用和优化复制流。在站点内部,对于每个目录分区,KCC 都会生成一个环形拓扑,此环形拓扑试图将任意两个域控制器之间的最大跃点 (3) 数量设置为最大值。在站点之间,KCC 创建站点内部连接的跨越树。因此,添加站点和域会增加此 KCC 所需要的处理。在向站点拓扑添加站点和域时,一定要考虑本文档稍后“添加新站点”中论述的指导方针。 站点拓扑的重大更改会影响域控制器硬件要求。有关域控制器硬件需求的详细信息,请参阅 管理 Windows 网络 Active Directory 设计的最佳做法中的“域控制器容量规划”。若要下载此指南,请按照以下 Web 资源网页的 Active Directory 链接进行操作 http://www.microsoft.com/windows/reskits/webresources,该链接会将您带到可下载本指南的 Active Directory 主页。 选择桥头服务器 在默认情况下,桥头服务器是由每个站点上的站点间拓扑生成器 (ISTG) 自动选择的。另外,也可使用 Active Directory 站点和服务来选择首选桥头服务器。然而,对于 Windows 2000 部署,建议不要选择首选的桥头服务器。 选择首选桥头服务器会限制 KCC 使用所选择的桥头服务器。如果使用 Active Directory 站点和服务在站点上选择任一首选的桥头服务器,就必须选择尽可能多的首选的桥头服务器,而且一定要为必须复制到不同站点上的所有域选择首选桥头服务器。如果选择了域的首选桥头服务器,并且此域的所有首选桥头服务器都无法使用,那么就不会出现到和从此站点的域复制。 如果已选择了一个或多个桥头服务器,那么从存储桥头服务器列表中删除所有的桥头服务器,可将自动选择功能存储到 ISTG。 任务:添加新站点设计小组或网络架构师可能希望添加站点,做为进行之中的部署的一部分。虽然通常通过创建子网来容纳网络中的所有地址范围,但不需要为每个位置创建站点。一般情况下,那些拥有域控制器或运行应用程序的其他服务器位置才需要站点,这些应用程序依赖于站点拓扑,如分布式文件系统 (DFS)。 当需要创建站点时,设计小组通常会提供有关新站点的站点链接位置和配置,以及子网分配或创建子网(如需要)的详细信息。 KCC 计算生成 Windows 2003 林的站点间拓扑时,会导致在合并的站点、站点链接以及域超过特定限制时,目录性能下降。当达到限制时,请按 Active Directory 分支机构计划指南 上的“站点管理指导方针”操作进行,此信息链接在 Web 资源页面上,该页面位于 http://www.microsoft.com/windows/reskits/webresources。 做为通用规则,当以下任一情况出现时,请在添加新站点前联系设计小组:
使用以下步骤添加新站点。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:创建站点对象并将其添加至现有站点链接 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:使 IP 地址范围与站点相关联 使用两种方法中的一种:
可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:创建站点链接对象,如果适当,则将新站点和至少一个其他站点添加至此站点链接对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:从站点链接中删除站点 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:将子网添加至网络如果已将 IP 地址的新范围添加至网络,则须在 Active Directory 中创建一个子网对象以符合 IP 地址范围。当创建新子网对象时,必须使其与站点对象相关联。可使子网与现有站点相关联,也可创先建新站点,然后创建子网,并使二者相关联。如果正要创建新网络章节的新站点,请参阅“添加新站点”。 使用以下步骤添加子网。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:创建子网对象并使其与正确的站点相关联 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:链接复制站点若要链接复制站点,就要在 IP 传输容器中创建一个站点链接对象,并向此链接添加两个或更多的站点。使用包括正在链接站点的命名约定。例如,若打算将命名为“Seattle”的站点链接至命名为“Boston”的站点,可将站点链接命名为“SEA-BOS”。 在将两个或多个站点名添加至站点链接对象后,各自站点中的桥头服务器会根据站点链接对象上的复制进度表、成本以及间隔设置在站点间进行复制。有关修改默认设置的信息,请参阅“更改站点链接属性”。 当创建站点链接时必须至少具备两个站点。如果正在添加站点链接以使其与新站点连接至现有站点,则首先创建新站点,然后创建站点链接。有关创建站点的信息,请参阅“添加新站点”。 使用以下步骤连接复制站点。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:在 IP 容器中创建站点链接对象,并添加适当站点 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:生成站点间拓扑 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:更改站点链接属性若要控制直接与其他站点复制的站点和复制时间,那么使用站点链接对象的成本、进度表以及间隔属性。 这些设置控制站点间复制内容如下:
有关设置站点链接属性值的信息,请参阅设计文档。 使用以下步骤配置站点链接。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:配置站点链接进度表以识别站点间复制可能发生的时间 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:配置站点链接间隔以识别复制轮询在进度表窗口中发生的频率 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:配置站点链接成本以建立复制路由的优先级 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:生成站点间拓扑 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:将域控制器移至不同的站点如果在服务器上安装了 Active Directory 后,更改域控制器的 IP 地址或子网至站点的关联,则此服务器对象不会自动更改站点。必须手动将其移动至新站点。当移动服务器对象时,域控制器上的 Net 登录服务会为正确的站点注册 DNS SRV 资源记录。 TCP/IP 设置 当将域控制器移至不同站点时,如果此域控制器的 IP 地址是静态配置,那么必须更改相应的 TCP/IP 设置。域控制器的 IP 地址必须映射到与控制器移往的站点关联的子网对象。如果域控制器的 IP 地址与服务器对象所在的站点相匹配,那么,此域控制器也许会被迫通过可能较慢的 WAN 进行通信以定位资源,而不是将资源定位在其自身站点上。 在移动域控制器前,确保以下新位置的 TCP/IP 客户端值正确:
如果移动的域控制器是 DNS 服务器,则必须还要:
首选桥头服务器状态 在移动任一服务器对象前,检查服务器对象,看其是否作为此站点的首选桥头服务器。这种情况在两个站点中都具有 ISTG 含意,内容如下:
注意: 如果选择了首选桥头服务器,并且所有选择的域首选桥头服务器在此站点不可用,那么,ISTG 不会选择新的桥头服务器。在这种情况下,不会发生和其他站点间的域复制。但是,如果没有选择域或传输(通过管理员错误或由于只将首选桥头服务器移至不同站点导致)的首选桥头服务器,那么 ISTG 会自动选择此域的首选桥头服务器,并按进度表进行复制。 使用以下步骤将域控制器移至不同的站点。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:更改域控制器的静态 IP 地址 此步骤包括更改所有适当的 TCP/IP 值,包括首选和替换 DNS 服务器以及 WINS 服务器(如需要)在内。从设计小组可获取这些数值。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:创建域控制器的委派 如果由该 DNS 服务器托管的任一区域的父 DNS 区域包含到此 DNS 服务器的委派,则使用此步骤来更新所有此类委派的 IP 地址。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认 IP 地址映射到子网并确定站点关联 使用此步骤以确保子网与服务器对象移往的站点相关联。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:确定服务器是否为首选桥头服务器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:配置服务器使其不做为首选桥头服务器 如果服务器是当前站点的首选桥头服务器,且不希望此服务器成为新站点的首选桥关服务器,那么使用此步骤。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:将服务器对象移动至新站点 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:删除站点如果不再需要网络位置中的域控制器,可从站点中将其删除,然后删除站点对象。在删除站点前,必须通过删除整个域控制器或将其移至新位置,从而从站点中删除域控制器。
域控制器可托管依赖于站点拓扑的其他应用程序,并将对象发布为各自服务器对象的子对象。例如,当 MOM 或消息队列在域控制器上运行时,这些应用程序会在此服务器对象下创建子对象。此外,运行消息队列而不是域控制器的服务器(且配置为运行消息队列的路由服务器),会在站点容器中创建一个服务器对象。从服务器中删除此应用程序将会自动删除各自服务器对象下面的子对象。但是,不会自动删除此服务器对象。 当从服务器(服务器对象下面没有子对象)中删除所有应用程序时,也可删除服务器对象。在将应用程序从服务器中删除后,可能在服务器对象下不再有子对象前可能需要复制循环。 在删除或移动服务器对象后(但在删除站点对象前),协调以下对象: 子网对象或站点 IP 地址对象:
可能需要删除站点链接对象,如下所示:
在删除站点前,需要考虑其相关事项。如果要删除的站点曾添加到多于一个的站点链接,它可能会成为添加到此站点链接的其他站点间的临时站点。删除此站点可能会断开外部站点之间连接。在这种情况下,必须根据设计小组的指示对站点链接进行协调。 使用以下步骤删除站点。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:确定服务器对象是否拥有子对象 如果在服务器对象上存在子对象,那么不要删除此服务器对象。请联系管理员。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:从站点上删除服务器对象 使用此步骤删除要移除站点的服务器容器中的服务器对象。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:删除站点链接对象 请从设计小组获取此信息。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:使一个或几个子网与正确站点相关联 如果不打算再使用与子网对象或对象关联的 IP 地址,那么删除此子网对象。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:删除站点对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 6:生成站点间拓扑 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 依赖性
必需的技术 目录站点和服务(管理工具)
过程:管理域控制器上的防病毒软件说明 由于域控制器为其客户端提供关键服务,因此将恶意代码导致域控制器损坏的风险降至最低至关重要。 防病毒软件是通常所能接受的降低此类恶意活动风险的方法。但是,在域控制器上不能只简单地安装防病毒软件(对于任一供应商)并使其扫描所有事物。相反,必须以最大限度降低风险的方式来安装防病毒软件,却不防碍域控制器执行目录服务时的性能。 目的 在域控制器上安装有效防病毒软件,以将恶意代码破坏域控制器的风险将至最低。 指导方针 按照防病毒软件供应商所建立的指导方针操作。 注意: 确认要添加的防病毒软件在域控制器中工作正常。 任务:排除不在受影响风险中的文件从扫描的文件和文件夹中排除以下文件和文件夹。这些文件并未处于受影响的风险中,由于文件锁定和域控制器之间的过多复制,包括这些文件在内都可能会导致严重的性能问题。而且,它们还可能导致 Active Directory 和 FRS 无法正常工作,也可能导致 Active Directory 或 FRS 数据丢。如果通过名称可标识指定的文件,则可只排除这些文件,而非整个文件夹。在某些情况下,必须排除整个文件夹。 不要排除基于文件名扩展的任何文件(即,不要排除带有 .dit 扩展名的所有文件)。Microsoft 没有控制可能选择使用与此处所示相同的扩展名的其他文件。AV 软件 必须不能 修改任何日志中的数据文件,和/或以下指定的 DSA 工作目录。
任务:安装软件以下是一些常规建议,不应将其解释为比指定防病毒软件供应商自己的建议更具重要性。必须遵循这些用于正确 Active Directory 和 FRS 操作的指导方针。 注意: 在实验室环境下充分测试所选择的防病毒软件解决方案,以确保此软件不危及系统稳定性的安全。
过程:添加全局编录说明 指派站点中的全局编录服务器以容纳林范围的目录搜索,这样,Active Directory 就可确定纯模式域客户端的通用组成员身份。 目的 添加全局编录以提高登录和搜索速度。 指导方针 要提高登录和搜索速度,在每个站点中需放置至少一个全局编录服务器,如果站点拥有多个域控制器,则放置至少两个全局编录服务器。最佳做法下,如果站点包含多于三个域控制器,那么使所有域控制器中的一半位于一个站点的全局编录服务器下。如果部署操作使用单一全局域,那么将所有域控制器配置为全局编录服务器。在单一域林中,将所有域控制器配置成为全局编录服务器不需要额外资源。 在放置全局编录服务器时,首要关心的是:
将全局编录服务器添加至站点时,在站点开始处可用的部分域目录分区复制完成后,知识一致性检查器 (KCC) 更新了复制拓扑。来自于其他站点的可用部分的域目录分区复制在下一个进度表间隔开始。 在站点中添加后续全局编录服务器只需要进行站点内复制,可能不会影响广域网。仅当在站点中添加第一个全局编录服务器时,才有可能影响网络性能,且其影响度取决于以下条件:
任务:将全局编录添加至域控制器当在站点担保情况下添加全局编录服务器时,可将域控制器配置成为全局编录服务器。在 NTDS 设置对象上选择全局编录设置,这将提示 KCC 对此拓扑进行更新。对拓扑更新后,将只读部分域目录分区复制到指定的域控制器上。如必须对站点间进行复制来创建全局编录,那么此站点链接进度表会决定进行复制的时间。 全局编录服务器的最低硬件要求取决于站点上的用户数量。表 5 包含了访问硬件要求的指导方针。 表 5 全局编录硬件指导方针
在配置全局编录服务器时,确保计算机拥有充足的硬盘空间。使用表 6 中提供的信息来决定应对 Active Directory 数据库使用多大容量的存储器。 表 6 Active Directory 数据库的全局编录存储需要
例如,在拥有 10,000 个用户的域的林中,所有的域控制器都需要 0.4 GB 的存储器。所有全局编录服务器就需要 0.6 GB 的存储器。 这些需求代表保守估计。有关更精确的存储器需求决定,请下载并运行 Active Directory Sizer Tool (ADSizer.exe)。可从位于以下站点的 Web 资源链接来下载 Active Directory Sizer Tool (ADSizer.exe) http://www.microsoft.com/windows/reskits/webresources。 占用等级以及全局编录服务器准备情况 域控制器上的占用等级设置决定了在 DNS 中将其自身公布为全局编录服务器的标准。如果全局编录服务器在与所有只读目录分区复制同步前进行自身公布,那么客户端会接收到错误信息。 占有等级需求如下(每个较高等级包括其以下的所有等级):
Exchange 2003 服务器在查找地址时专门使用此全局编。因此,除了导致 Active Directory 客户端出现搜索问题外,全局编录服务器在接收所有部分副本前就已发布的条件可能导致通讯簿查找并发送 Exchange 客户端的传输问题。 必须在全局编录服务器上运行命名服务提供程序接口 (NSPI),以使 MAPI 可访问 Active Directory。要使用 NSPI,必须在对部分目录分区复制完成后或在占用需求得以满足时,重新启动全局编录服务器。 使用以下步骤将全局编录服务器添加至域控制器。在所链接的主题中对这些步骤进行了详细解释。其中一些步骤只有在首次配置站点中的全局编录服务器时才使用。 步骤 1:配置域控制器使其成为全局编录服务器 选中 Global Catalog 复选框,开始将所有域复制到服务器的过程。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:监视全局编录复制过程 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:确认成功复制到域控制器 检查林中所有部分域目录分区的入站连接,以确保已将所有域目录分区复制到此全局编录服务器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:确认全局编录已准备就绪在完成所有林部分域目录分区的复制后,域控制器就会公布为全局编录服务器并开始接收端口 3268 和 3269 的查询。Windows Server 2003 的默认需求包括复制林中所有域目录分区。如果域控制器在拥有来自林中所有域的完整信息前公布为全局编录服务器,那么它可能会向开始使用此林范围搜索服务器的应用程序返回假信息。 当以下事件以按序出现时,则全局编录已准备就绪为客户端服务:
步骤 1:确认全局编录已准备就绪 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:确认全局编录 DNS 注册 在本步骤中,您将重新启动全局编录服务器并通过检查全局编录 SRV 资源记录的 DNS 来确认全局编录 DNS 注册。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:从域控制器中删除全局编录说明 当删除全局编录时,域控制器会立即停止公布做为全局编录服务器,并停止监听此全局编录站口。它还会试图删除以前注册的 DNS 记录。KCC 会逐渐从此域控制器中删除只读副本。 目的 从 Windows 2000 Server 升级至 Windows Server 2003,会添加新功能,其中包括通用组缓存。通用组缓存可能去除了对特定站点上域控制器上的全局编录的需求,激发了此删除。 任务:删除全局编录删除全局编录的步骤就是简单地取消选中的 Global Catalog 复选框,它位于 NTDS Settings object 属性页。在操作这一步骤时,域控制器会停止公布其自身做为全局编录服务器(Net 登录取消 DNS 中此全局编录相关记录的注册),并立即停止接收端口 3268 和 3269 上的 LDAP 请求。 当从域控制器中删除全局编录时,KCC 开始通过随时间逐步删除对象的异步过程每次删除一个只读副本。每次 KCC 运行(默认每 15 分钟一次)时,它都会尝试删除只读副本,直到没有剩余的对象为止。 使用以下步骤从域控制器中删除全局编录。在所链接的主题中对这些步骤进行了详细解释。 步骤 1:清除全局编录设置 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:在事件查看器中监视全局编录删除 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:确认站点中的全局编录服务器维护那些指定做为全局编录服务器的服务器列表。经常性地检查这些服务器以确保未对其进行更改。检查其他服务器以确保没有错误地指定全局编录服务器。 任务:标识全局编录服务器使用以下步骤来确定域控制器是否为全局编录服务器。在所链接的主题中对这些步骤进行了详细解释。 步骤:确定域控制器是否为全局编录服务器 使用此步骤来检查各自服务器对象的 NTDS 设置对象的属性,以确定域控制器是否为全局编录服务器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:标识没有全局编录服务器的站点若要快速标识没有全局编录服务器的站点,可执行一个命令,而不是单独检查每个服务器。可在添加站点的任何时间执行此测试,如果可能错误删除了全局编录服务器,也可经常性的执行此测试。 使用以下步骤来确定某站点是否拥有全局编录服务器。在所链接的主题中对这些步骤进行了详细解释。 步骤:确定某站点是否拥有至少一个全局编录服务器 若要标识没有全局编录服务器的站点,必须确定站点是否拥有至少一个全局编录服务器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:标识可使用通用组缓存的站点通用组缓存通过域控制器上的缓存通用组成员身份减少了在站点上定位全局编录服务器的需求。因此,当用户登录到远程办公室时,就不需要使用 WAN 连接来确定通用组成员身份。 步骤:确定通用组缓存是否可用 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:移动操作主机角色说明 操作主机通过执行特定任务来使目录正常运行,这些任务是其他域控制器无权执行的。由于操作主机对于目录的长期性能至关重要,因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。在添加更多的域和站点来生成林时,小心放置操作主机非常重要。 若要执行这些功能,必须使托管这些操作主机的域控制器始终可用,且将其放置在网络可靠性较高的区域。 角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。在角色传送过程中,对这两个域控制器进行复制,以确保没有丢失信息。在传送完成后,之前的角色持有者将进行重新自我配置,以便在新域控制器承担这些职务时,此角色持有者不再尝试做为操作主机。这样就防止了网络中同时出现两个操作主机的现象,这种现象可能导致目录损坏。 目的 每个域中存在三个操作主机角色:
除了这三个域级的操作主机角色外,在每个林中还存在两个操作主机角色:
指导方针 有关初始操作主机角色分配的设计规则和最佳操作,请参阅 Windows Server 2003 部署工具包:计划、测试以及试验部署项目。在指定域中创建第一个域控制器时,会自动放置操作主机角色持有者。将这三个域级角色分配至域中创建的第一个域控制器。将这两个林级角色分配至林中第一个创建的域控制器。 移动操作主机角色(一个或多个)的原因包括:托管操作主机角色的域控制器服务性能不充足、故障或取消,或服从由管理员进行配置更改。 不充足的服务等级 PDC 仿真器是主要影响域控制器性能的操作主机角色。对于没有运行 Active Directory 客户端软件的客户端,PDC 仿真器会处理密码更改、复制以及用户身份验证的请求。为这些客户端提供服务时,此域控制器会继续执行其常规服务,如身份验证可使用 Active Directory 的客户端身份。随着网络的增长,客户端请求的数量可能会增加托管 PDC 仿真器角色的域控制器的工作量,并使其性能下降。要解决此问题,可将所有或部分主机操作角色传输至功能更强大的域控制器。此外,还可选择将此角色传输至另一个域控制器,升级原始域控制器上的硬件,然后再将此角色回传。 主机操作角色持有者故障 万一主机操作角色持有者故障,就必须决定是否需要将操作主机角色重新放置到另一域控制器,或等待域控制器返回到服务状态。根据域控制器托管的角色和预期的故障时间来作决定。 取消此域控制器 在永久性使域控制器处于脱机状态前,将由此域控制器所持有的任一操作主机角色传输至另一个域控制器。 配置更改 将配置更改为域控制器或网络拓扑会需要传输主机操作角色。除了基础结构主机,可将操作主机角色分配至任一域控制器,而不论此域控制器所执行的任何其他任务。不要将基础结构主机角色托管在域控制器上,此控制器还用作全局编录服务器,除非所有此域中所有域控制器都是全局编录服务器,或此林中只有一个域。如果托管基础结构主机角色的域控制器配置为全局编录服务器,那么必须将此基础结构主机角色传输至另一个域控制器。更改为网络拓扑会需要传输操作主机角色,其目的是使这些操作主机角色位于某特定的站点。 可通过传输或占用(最后的方法)来重新分配操作主机角色。 若要将某角色传输至一个新域控制器,则要确保目的域控制器是以前角色持有者的直接复制伙伴,并且它们之间的复制为最新和运行正常。这将减少用于完成角色传输所需要的时间。如果复制确实已经过期,那么传输就需要一些时间,但最终会完成。 重要信息: 如果必须占用操作主机角色,那么一定不要在未执行本指南中的有关步骤的情况下将以前的角色持有者重新附加至网络。错误地将前一角色持有者重新附加至该网络可能会导致无效数据和此目录中的数据损坏。 角色放置指导方针 由于错误地放置操作主机角色持有者,可能会阻止客户端更改其密码或添加域和新对象,如用户和组。也可对架构进行更改。除此之外,在用户界面中所显示的组成员身份中可能不会正确显示名称更改。 由于环境更改,必须避免与错误放置操作主机角色持有者相关的问题。最后,可能需要将这些角色重新分配至其他域控制器。 虽然可将林级和域级的操作主机角色分别分配至该林或域中的任一域控制器,但错误的放置基础结构主机角色可能导致其无法正常运行。其他不适合的配置可能会增加管理费用。 基础结构主机放置需求 不要将基础结构主机放置在同时做为全局编录服务器的域控制器上。 基础结构主机可更新任一域命名链接属性的安全主体名称。例如,如果某域中的用户是第二个组中的成员身份,并且第一个域中的用户名称已更改,那么并未通知第二个域必须在组成员身份列表中对此用户名进行更新。由于某域中的域控制器并没有将安全主体复制到另一个域的域控制器上,因此第二个域根本不会知道此更改。基础结构主机始终监视组成员身份,从其他域中查找安全主体。如果找到,就会与安全主体域一起确认此信息已更新。如果信息已过期,那么基础结构主机会执行更新操作,然后将更改复制到该域的其他域控制器上。 此规则有两个例外。第一,如果所有的域控制器都为全局编录服务器,那么托管基础结构主机角色的域控制器就无关紧要,这是因为全局编录复制已更新的信息,而与其所归属的域有关。第二,如果林仅有一个域,那么就不需要托管基础结构主机角色的域控制器,这是因为其他域中没有安全主体。 角色放置建议 虽然可将操作主机角色分配至任一域控制器,按照以下指导方针操作可使管理费用降至最低,并确保 Active Directory 的性能。如果托管操作主机角色的域控制器故障,那么按照以下指导方针操作还能简化恢复过程。角色放置指导指导方针包括:
林根域中的林级角色放置 将结构主机和域命名主机角色分配至林中创建的第一个域控制器。若要便于管理、备份以及还原过程,就将这些角色放置在原始林根域控制器上。将这些角色移至其他域控制器并没有增强其性能。分开这些角色将会产生额外的管理费用,这时,必须确定备用操作主机以及实施备份和还原策略的时间。 不同于 PDC 仿真器角色,林级角色很少在域控制器上放置大量负荷。将这些角色放在一起可提供便利和可预测的管理。 全局编录服务器上的林级角色放置 除托管架构主机和域命名主机角色外,林中第一个创建的域控制器还托管此全局编录。 同一域控制器上的域级角色放置 将这三个域级角色分配至某新域中第一个创建的域控制器。除了林根域外,将这些角色放置在该位置上。除非操作主机上的工作量与分开这些角色的额外管理负荷相持平,否则将这些角色放在一起。 由于所有在 Active Directory 前的客户端都将更新提交至 PDC 仿真器,因此,托管此角色的域控制器会使用较多数量的 RID。将 PDC 仿真器和 RID 主机角色放置在同一个域控制器上,以便这两个角色能够更有效交互。 如果必须将这些角色分开,那么仍可使用所有三个角色的单一备用操作主机。然而,必须确保此备用是所有三个角色持有者的复制伙伴。 如果分开了这些角色,那么备份和还原过程也变得较复杂。在还原托管操作主机角色的域控制器时需要特别小心。通过在单一计算机上托管这些角色,可将还原角色持有者的步骤降至最少。 全局编录服务器上缺少域级角色 不要将基础结构主机托管在同时用作全局编录服务器的域控制器上。由于最好是保持三个域级角色在一起,这样可避免将其中任何一个放置到全局编录服务器上。 较高性能域控制器上的域级角色放置 将 PDC 仿真器角色托管在强大和可靠的域控制器上,以确保其可使用,并且可处理工作量。在所有操作主机角色中,PDC 仿真器产生了托管此角色的服务器上的大部分管理费用。它拥有主要的与网络中其他系统进行的日常交互。PDC 仿真器最有可能影响目录的日常操作。 操作主机角色持有者的工作量调整 当试图为网络上的客户端请求提供服务、管理其自身资源以及处理专门的任务(如执行多种操作主机角色)时,域控制器都可能会超负荷。在托管 PDC 仿真器角色的域控制器上尤其会发生这种情况。另外,PDC 上运行 Windows NT 4.0 的域控制器和 Active Directory 之前的客户端比 Active Directory 客户端和 Windows 2000 Server 域控制器更多。如果网络环境拥有 Active Directory 前的客户端和域控制器,可能需要减少 PDC 仿真器的工作量。 如果某域控制器开始指示其超载,且其性能受到影响,那么可对环境进行重新配置,以便其他域控制器(较少使用的域控制器)执行一些任务。通过调整 DNS 环境下域控制器的负担,可对此域控制器进行配置,以使其较网络中其他域控制器接收较少的客户端请求。也可在 DNS 环境下调整此域控制器优先级,以使其仅在其他 DNS 服务器无法使用时处理客户端请求。由于要处理的 DNS 客户端请求较少,因此此域控制器可使用更多的资源来执行此域中的操作主机服务。 任务:为操作主机角色指派域控制器当创建一个新域时,Active Directory 安装向导会自动将所有域级操作主机角色指派至此域中创建的第一个域控制器。当创建一个新林时,向导也会将这两个林级的操作主机角色指派至第一个域控制器。在此域创建和运行后,可将各种操作主机角色传输至不同的域控制器,以优化其性能和简化管理。 在需要时执行林级和域级操作主机角色传输操作,放置操作主机角色指导方针对其进行管理。在传输操作主机角色前,使用带有 /showreps 选项的 Repadmin.exe,以确保当前角色持有者之间的复制以及承担此角色的域控制器已更新。 此外,必须确定试图假定为操作主机角色的域控制器是否为全局编录服务器。然而每个域的基础结构主机不得托管此全局编录。 除非 IT 管理授权此更改,否则,不要更改试图假定为操作主机角色域控制器上的全局编录配置。更改全球编录配置可能导致一些更改,这些更改需要几天时间才能完成,并且在更改期间,此域控制器可能无法使用。相反,可将操作主机角色传输至已正确配置的不同域控制器。 在所链接的主题中对以下步骤进行了详细解释。 步骤 1:确认成功复制到域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:确定域控制器是否为全局编录服务器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:传输林级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:传输域级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:确认传输操作主机角色一旦已传输操作主机角色,就应确认在整个域中已成功完成此传输操作。为确实发挥效用,必须将此更改复制到所有相关域成员中。 在所链接的主题中对以下步骤进行了详细解释: 步骤 1:查看当前操作主机角色持有者 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
步骤:减少 PDC 仿真器的工作量说明 可配置 DNS 以使某域控制器的查询频率小于其他域控制器。减少客户端请求的数量将有助于减少域控制器上的工作量,为控制器提供更多的时间用作操作主机,这对 PDC 仿真器尤其重要。在所有的操作主机角色中,PDC 角色对托管此角色的域控制器影响最大。可能需要采取措施来防止此域控制器超载。 若要接收来自域的信息,客户端会使用 DNS 来定位域控制器,然后将此请求发送至该域控制器。在默认情况下,DNS 执行初步的负载平衡操作,并随机分布客户端请求,因此,这些客户端请求不会始终发送至同一个域控制器。如果在域控制器试图执行其他任务时(如那些 PDC 仿真器),向其发送过多的客户端请求,那么它可能会超载,这将会对性能产生负面影响。若要减少由 PDC 仿真器处理的客户端请求数量,可调整负荷或在 DNS 环境下的优先级。 目的 除了处理来自于客户端的常规域控制器负载外,PDC 仿真器还必须处理密码更改操作。为减轻由正常域控制器流量所导致的一些负载,还可对 PDC 进行保护,这样,就将负载分配至可处理这些请求的其他域控制器上。 任务:调整 DNS 负载设置将某一域控制器的负载值调整至小于其他域控制器的负载值,将会减少 DNS 引用此域控制器的次数。所有域控制器的默认负载都为 100。通过减小此数值,DNS 会根据此值与其他域控制器该值的比例,将客户端提交至使用频率较低的域控制器。例如,要配置系统,以使托管此 PDC 仿真器角色的域控制器只接收其他域控制器接收一半次数的请求,配置托管此 PDC 仿真器角色的负载,使其数值为 50。DNS 将该域控制器的负载比率确定为 50/100(50 代表该域控制器,100 代表其他域控制器)。在将此域比率降至 1/2 后,DNS 会在其指向已降低负载设置的域控制器时,两次将客户端提交至其他域控制器。通过减少客户端调用,该域控制器将接收更少的客户端请求,且会拥有更多的资源用于其他任务,如执行 PDC 仿真器角色。 步骤 1:更改注册中 DNS SRV 记录负载 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:调整 DNS 优先级注册表设置调整域控制器的优先级也会减少客户端调用的次数。然而,而非按比例减少至其他域控制器,更改优先级会导致 DNS 停止将所有的客户端提交至该域控制器,除非所有较低优先级的域控制器不可用。 步骤 1:更改注册表中 DNS SRV 记录的优先级 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:传输角色持有者说明 根据环境中的其他操作或 Active Directory 基础结构的更改(如添加或删除域控制器),可能需要传输林级或域级操作主机角色。应在需要时执行此过程,并应按照有关操作主机角色放置的 Microsoft 最佳做法进行操作,以下网站对此内容进行了概述: http://www.microsoft.com/resources/documentation/windowsserv/2003/all/deployguide/en-us/dssbe_upnt_xlfh.asp。 目的 在以下情况,需要传输角色持者:
指导方针 在使用 Active Directory 安装向导来取消当前托管一个或多个操作主机角色的域控制器时,该向导会将这些角色重新分配至不同的域控制器。在运行时,向导会确定此域控制器当前是否托管任一操作主机角色。如果检查到任何操作主机角色,会查询其他合格的域控制器的目录,并将这些角色传输至新的域控制器。如果某域控制器是同一域的成员,则其适于托管域级的角色。如果某域控制器是同一林中的成员,则其适于托管林级的角色。 任务:传输至备用操作主机角色通过执行操作主机角色放置建议,该备用操作主机成为直接复制伙伴,并可承担这些角色。记得为承担这些角色的域控制器指派新备用。 在所链接的主题中对以下步骤进行了详细解释。 步骤 1:确认成功复制到域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:确定域控制器是否为全局编录服务器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:传输林级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:传输域级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:查看当前操作主机角色持有者 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 过程:选择备用操作主机 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 任务:在没有备用的情况下传输操作主机角色如果没有执行角色放置建议,且未指定备用操作主机,那么必须适当准备要将操作主机角色传输到的域控制器。准备将来的域控制器与准备备用操作主机的过程相同。必须手动创建连接对象,以确保它是拥有当有角色持有者的复制伙伴,并且这两个域控制器之间的复制已更新。 此外,还必须确定试图承担操作主机角色的域控制器是否为全局编录服务器。每个域的基础结构主机不得托管此全局编录。 除非 IT 管理批准此更改,否则,不要更改试图假定为操作主机角色域控制器上的全局编录配置。更改全球编录配置可能导致一些更改,这些更改需要几天时间才能完成,并且在更改期间,此域控制器可能无法使用。相反,可将操作主机角色传输至已正确配置的不同域控制器。 在所链接的章节中对以下步骤进行了详细解释。 步骤 1:确认成功复制到域控制器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:确定域控制器是否为全局编录服务器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:传输林级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 4:传输域级操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 5:查看当前操作主机角色持有者 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:占用操作主机角色说明 为将某角色分配至不同的域控制器,占用角色仅做为最后的方法。仅在之前的操作主机故障,并且长时间处于无法服务的状态时,才使用这一过程。在角色占用期间,域控制器并不验证复制是否更新,因此最近所做的更改可能会丢失。由于在角色占用期间前一角色持有者无法使用,因此其无法知道已有一个新的角色持有者存在。如果前一角色持有者重新联机,那么可能它还认为自己是操作主机。这将会导致在网络中出现重复操作主机的现象,致使目录中数据损坏,最终使得域或林故障。 目的 获取操作主机角色允许:
指导方针 如果已占用角色,在假定不打算将前一角色持有者返回至服务状态的前提下,配置此新角色持有者,使其托管操作主机角色。仅当前一角色持有者不可用,且需要操作主机角色来保持目录正常工作时使用角色占用。由于在占用期间,前一角色持有者无法使用,因此不能重新配置前一角色持有者,并通知此角色持有者另一个域控制器正在托管此操作主机角色。 通过 Windows Server 2003,此前一角色持有者会在其恢复操作主机角色前,等待成功完成全部复制循环。通过等待全部复制循环,此角色持有者可以查看在其将自身返回至联机状态前,是否存在另一个操作主机。如果前一角色持有者检测发现另一个操作主机存在,那么它会进行自我配置,以使其不再托管此指定的角色。 若要减小风险,仅在丢失操作主机角色会造成无法接受的目录性能影响时才执行角色占用。通过比较由丢失操作主机提供的服务造成的影响和在执行此角色占用后,将前一角色持有者安全返回联机状态所需要的工作量,可以计算出影响。有关操作主机角色的风险评估,请参阅表 7 。 当操作主机角色不可用时,Active Directory 会继续工作。如果此角色持有者仅短时间处于脱机状态,则不需要占用新域控制器的角色。切记如果操作不当,在占用角色后将操作主机返回至服务状态,会导致严重后果。 表 7 操作主机角色功能风险评估
任务:占用操作主机角色占用操作主机角色仅做为“最后的手段”。如可能,将操作主机角色传输至新域控制器。仅在当前角色持有者处于脱机状态,且不会返回至操作状态时占用操作主机角色。 角色占用是将操作主机角色分配至新域控制器的操作,不需要当前角色持有者(通常由于硬件故障导致当前角色持有者处于脱机状态)的合作。在角色占用期间,新域控制器承担此操作主机角色,而不与当前角色持有者进行通信。 角色占用会产生两种导致目录出现问题的情况。第一,新角色持有者根据存在于当前目录分区中的数据开始执行其职务。如果在原始角色持有者脱机前复制操作没有完成,则新角色持有者不会接收到对前一角色持有者脱机前对其所做的更改。这将会导致数据丢失或将不一致数据引入此目录数据库。 若要将由不完全复制而导致数据丢失的风险降到最低,则要执行角色占用操作,直到经过充足时间完成至少一个完整的网络中端对端复制循环。为完整的端对端复制留有充足的时间,以确保承担此角色的域控制器尽可能最新。 第二,并没有通知原始角色持有者其已不再是操作主机角色持有者,如果原始角色持有者保持脱机状态,那么这不是问题。然而,如果它返回至联机状态(例如:如果硬件已修复或此服务器已从备份中还原),那么,它可能会尝试执行以前所拥有的操作主机角色。这可能导致有两个域控制器同时执行同一个操作主机角色。根据问题中的角色以及是否运行 Windows 2000 Server SP2 或 Windows 2000 Server SP3,可能会中断此目录服务。例如,某 RID 主机可能会重新分配重复的 RID 池,导致目录中的数据损坏。重复操作主机角色的严重度,轻者可能为没有明显的影响,重者可能需要重建整个林。 如果占用了某角色,且没有将另一域控制器指定为备用操作主机,则可使用带有 /showreps 选项的 Repadmin.exe 来标识拥有来自当前角色持有者最新的域控制器。占用该域控制器的操作主机角色,可以将角色占用的影响降至最低。 在链接的章节中对以下步骤进行了详细解释。 步骤 1:确认成功复制到域控制器 需要成为角色被占用的域控制器。 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:占用操作主机角色 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 3:查看当前操作主机角色持有者 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
过程:选择备用操作主机说明 备用操作主机是一台域控制器,可将它标识为如果原计算机故障,其会成为操作主机角色的计算机。不需要执行任何特殊配置步骤,或是运行任一类型的设置实用程序以使域控制器成为备用操作主机。此预防规划步骤将有助于在出现问题时,使您的操作更具有弹性,而这些问题需要将主机操作角色重新分配至某一新域控制器。 确保此备用操作主机是实际操作主机的直接复制伙伴。如果备用操作主机的域控制器是原操作主机的直接复制伙伴,那么它很可能包含此域的最新更改。这将减少将此角色传输至备用操作主机所需要的时间,以及在万一失败的情况下,减少丢失信息的可能性。即使复制没有全部完成,也会发生较少的未完成的更新。通过常规的复制循环,而不需要完全同步,可以复制这些未完成的更新,这将会复制此分区中所有的帐户信息。要保证这两个域控制器为复制伙伴,必须手动创建它们之间的连接对象。虽然通常不建议手动创建连接对象,但在这种情况下,由于使这两个域控制器成为复制伙伴至关重要,因此,这是必备操作。 如果必须将域级操作主机角色重新分配至备用操作主机,则不要将此基础结构主机角色放置在全局编录服务器上。 目的 如果最初指定到的域控制器失败,那么选择备用操作主机将使另一个域控制器承担操作主机角色。这将确保拥有特定操作主机角色的域控制器不是此角色的单一故障点。 任务:选择备用操作主机单一域控制器可以充当域中所有操作主机角色的备用操作主机,也可以为每个操作主机角色指定单独的备用。 不需要实用程序或特定步骤来将域控制器指定为备用操作主机。然而,当前操作主机和备用应连接良好。这表示它们之间的网络连接必须支持至少 10 MB 的传输速度,并随时可用。此外,通过手动创建它们之间的连接对象可以将当前角色持有者和备用配置成为直接复制伙伴。 如果必须将任一操作主机角色重新分配至备用操作主机,那么配置复制伙伴可以节省一些时间。在将某角色从当前角色持有者传输至备用操作主机前,要确保两台计算机之间的复制工作正常。由于它们是复制伙伴,因此新操作主机要与原操作主机一样保持最新,这样可以减少此传输操作所需要的时间。若要确定此备用域控制器是否已接收到来自当前操作主机的最新复制更新,请使用带有 /showreps 选项的 Repadmin.ex。 在角色传输期间,这两个域控制器交换任一未复制的信息,以确保事务不会丢失。如果这两个域控制器不是直接复制伙伴,那么就需要在这两个域控制器相互完全同步前,将大量的信息进行复制。此角色传输需要额外时间来复制未完成的事务。如果这两个域控制器是直接复制伙伴,那么,很少会出现未完成的事务,并且此角色传输会很快完成。 将某域控制器指定为备用还可以将角色占用的风险降至最低。通过指定操作主机和备用直接复制伙伴,可以减小角色占用时数据丢失的风险,因而减少了将损坏引入目录的几率。 在将某域控制器指派为备用时,请按照本指南之前部分的“角色放置指导方针”中所讨论的所有建议操作。若要指派林级角色的备用,请选择全局编录服务器,以使其可以更有效的与此域命名主机进行交互。若要指定域级角色的备用,如果必须传输此角色,那么请确保此域控制器不是全局编录服务器,以使基础结构主机正常工作。 手动创建操作主机和指定备用操作主机之间的连接对象,以确保进行这两个域控制器之间的复制。 在链接的章节中对以下步骤进行了详细解释。 步骤 1:确定域控制器是否为全局编录服务器 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。 步骤 2:创建连接对象 可在以下网址找到该步骤 http://www.microsoft.com/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog5.mspx。
|
本文内容
|
