深圳市海格物流股份有限公司操作主機與AD DB管理文檔編號：版本： 編寫：最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達運維服務部 2015年09月22日深圳市索信

深圳市海格物流股份有限公司

操作主機與AD DB管理

文檔編號：

版本： 編寫：

最后修訂： SXD-HGWL-20150901-01 VERSION1.6 索信達運維服務部 2015年09月22日

深圳市索信達實業(yè)有限公司

解決方案︱Solution

目錄

第一章

(一)

(二)

(三)

第二章

(一)

(二)

(三)

(四)

(五)

管理域中的操作主機角色 . .......................................................................................... 3 操作主機介紹 . .......................................................................................................... 3 角色遷移 . .................................................................................................................. 4 角色搶奪 . .................................................................................................................. 5 管理活動目錄數(shù)據(jù)庫 . .................................................................................................. 7 活動目錄數(shù)據(jù)庫介紹 . .............................................................................................. 7 活動目錄數(shù)據(jù)庫的移動 . .......................................................................................... 8 活動目錄數(shù)據(jù)庫的壓縮 . ........................................................................................ 10 活動目錄數(shù)據(jù)庫的備份和還原 . ............................................................................ 12 活動目錄回收站 . .................................................................................................... 12

2 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第一章 管理域中的操作主機角色

(一) 操作主機介紹

Active Directory 支持域中所有域控制器之間的目錄數(shù)據(jù)存儲的多主機復制，因此域中的所有域控制器實質上都是對等的。但是，某些更改不適合使用多主機復制執(zhí)行，因此對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。操作主機可以保證一致性并消除AD DS數(shù)據(jù)庫中出現(xiàn)沖突的項目的可能性。

AD DS 中的五個操作主機角色分別是：架構主機（Schema Master ）、域命名主機（Domain Naming Master）、RID 主機（RID Master）、PDC 仿真器（PDC Emulator）、基礎結構主機（Infrastructure Master） 架構主機和域命名主機是林范圍角色，即每個林只有一臺架構主機和一臺域命名主機。RID 主機、PDC 仿真器、基礎結構主機是域范圍角色，這3種操作主機角色在林中的每個域中分別只有一個。當在林中安裝AD DS并創(chuàng)建第一臺域控制器時，它會擁有所有5個角色，類似地，在向林中添加域時，每個新域中的第一臺域控制器也會獲得每域的操作主機角色。

架構主機（Schema Master）

宿主架構主機角色的域控制器負責對林的架構進行更新和修改，其他域控制器則只包含架構的只讀副本。要更新或修改林的架構，您必須具備訪問架構主機的權限。如果做出架構改變后，架構更新就會復制到林中的所有其他域控制器。在整個林中，架構主機是唯一的，只能有一個架構主機。

域命名主機（Domain Naming Master）

域命名主機主要用于為林中添加或刪除域時使用，負責確保域名的唯一性。如果域命名主機不可用，則無法向林中添加域或從林中刪除域。在整個林中，架構主機是唯一的，只能有一個架構主機。

RID 主機（RID Master）

RID 主機將相對標識符(RID) 分配給域中每個不同的域控制器，每個域只有一個RID 操作主機角色，用于管理RID 池，從而在整個域范圍內創(chuàng)建的新的安全主體，如：用戶、組和計算機。每個安全主體都有一個唯一SID 。RID 主機用于保證域控制器生產的SID 是唯一的。RID 主機把一些相對標識符(RID)(稱為RID 池) 頒發(fā)給域中的每臺域控制器。當任何

3 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

域控制器上的RID 池中的可用RID 的數(shù)量較少時(小于100) ，就會從RID 主機請求一些RID 。每次收到這樣的請求，RID 主機都會向域控制器再頒發(fā)大約500個RID 的RID 池。

PDC 仿真器（PDC Emulator）

PDC 仿真器負責執(zhí)行很多與域有關的關鍵功能，主要有：為Windows 2000提供支持、維護密碼更新來避免密碼修改的延遲、管理域中組策略的更新、域內時間同步、維護網絡中主機列表。

基礎結構主機（Infrastructure Master）

基礎結構主機負責更新域之間的組-用戶引用。這個操作主機角色確保對象名稱的改變(常用名稱屬性的更改cn) 反映在位于不同域中的組成員身份信息中?；A結構主機維護這些引用的最新列表，然后將這個信息復制給域中所有域控制器。如果基礎結構主機不可用，域之間的組-用戶引用就會過時。

(二) 角色遷移

當部署多臺DC 分擔操作主機角色時，可以通過以下命令實現(xiàn)操作主機角色的遷移。 以PDC 主機角色遷移為例：

1、查詢當前操作主機角色所在的DC

4 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

2、打開CMD 窗口，依次輸入命令：

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務器ad2.hg.local

3、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機角色轉移至域控制器ad2.hg.local 上

(三) 角色搶奪

當擁有某操作主機角色的DC 宕機時，可以通過以下命令實現(xiàn)操作主機角色的搶奪。 以PDC 主機角色搶奪為例：

1、打開CMD 窗口，依次輸入命令：

5 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

ntdsutil → roles → connections → connect to server ad2.hg.local 連接到域控制服務器ad2.hg.local

2、輸入quit 退出connections 程序，輸入命令transfer PDC 將PDC 主機角色轉移至域控制器ad2.hg.local 上

6 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

第二章 管理活動目錄數(shù)據(jù)庫

(一) 活動目錄數(shù)據(jù)庫介紹

活動目錄數(shù)據(jù)庫默認存儲路徑為：C:WindowsNTDS

其中包含文件分別為：

? edb.chk ：檢查點文件。edb.chk 文件存儲數(shù)據(jù)庫的檢查點，這些檢查點標識數(shù)據(jù)庫引

擎需要重復播放日志的點，通常在恢復或初始化時。

? edbxxxxx.log ：事務日志文件。edb.log 是日志文件，對數(shù)據(jù)庫進行更改后，將該更

改寫入到edb.log 文件中。當edb.log 文件充滿事務之后，會被重新命名為edbxxxxx.log ，日志文件從edb00001開始，并使用十六進制數(shù)累加。由于Active Directory 使用循環(huán)記錄，所以在舊日志文件寫入數(shù)據(jù)庫之后，這些舊日志文件會及時刪除。在任何時刻都可以找到edb.log 文件，而且還可能有一個或多個edbxxxxx.log 文件。

? edbresxxxx.jrs ：這些文件是保留的日志文件僅當含有日志文件的磁盤空間不足時使

用。如果當前的日志文件填滿了且由于磁盤剩余空間不足服務器不能創(chuàng)建新的日志文件，服務器會將當前記憶體中的活動目錄處理記錄到兩個保留日志文件中然后關閉活動目錄。每一個日志文件也是10MB 大小

? edbtmp.log ：該日志是當當前日志文件（Edb.log ）填滿時的暫時日志。一個

edbtmp.log 的新文件被創(chuàng)建來記錄處理，同時edb.log 文件被重命名為下一個以往日志文件，然后edbtmp.log 文件會被重名為edb.log 。

? ntds.dit ：數(shù)據(jù)庫文件。ntds.dit 會隨著數(shù)據(jù)庫的填充而不斷增大。但是，日志的大

小卻是固定的10 MB

。對數(shù)據(jù)庫進行的任何更改都會被追加到當前的日志文件中，而且

7 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

其磁盤映像會不斷保持更新。

Temp.edb ：這是個在數(shù)據(jù)庫維護時使用的暫時文件用于存儲當前進程中處理的信息。

(二) 活動目錄數(shù)據(jù)庫的移動

當需要更改AD DB的存放路徑時，可通過如下操作實現(xiàn)AD DB的移動：

1、停止目錄服務: net stop ntds

2、依次輸入以下命令進入AD DB管理進程：

Ntdsuitl → activate instance ntds → files

8 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

3、移動AD DB及LOG 到新的路徑C:NTDS

Move DB to C:NTDS

Move DB to C:NTDS

4、退出進程，并啟動目錄服務

net start ntds

9 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解決方案︱Solution

5、可以查看以上文件已經移動到目錄C:NTDS

(三) 活動目錄數(shù)據(jù)庫的壓縮

在活動目錄的使用過程中，AD DB會越來越大，必要的時候需要對AD DB進行壓縮： 在線整理

DC 服務器每12小時自動進行

離線整理

管理員手工壓縮AD 數(shù)據(jù)庫

10 / 14

深圳市索信達實業(yè)有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD