AD实施：域管理手册

深圳市海格物流股份有限公司操作主机与AD DB管理文档编号：版本： 编写：最后修订： SXD-HGWL-20150901-01 VERSION1.6 索信达运维服务部 2015年09月22日深圳市索信

深圳市海格物流股份有限公司

操作主机与AD DB管理

文档编号：

版本： 编写：

最后修订： SXD-HGWL-20150901-01 VERSION1.6 索信达运维服务部 2015年09月22日

深圳市索信达实业有限公司

解决方案︱Solution

目录

第一章

(一)

(二)

(三)

第二章

(一)

(二)

(三)

(四)

(五)

管理域中的操作主机角色 . .......................................................................................... 3 操作主机介绍 . .......................................................................................................... 3 角色迁移 . .................................................................................................................. 4 角色抢夺 . .................................................................................................................. 5 管理活动目录数据库 . .................................................................................................. 7 活动目录数据库介绍 . .............................................................................................. 7 活动目录数据库的移动 . .......................................................................................... 8 活动目录数据库的压缩 . ........................................................................................ 10 活动目录数据库的备份和还原 . ............................................................................ 12 活动目录回收站 . .................................................................................................... 12

2 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

第一章 管理域中的操作主机角色

(一) 操作主机介绍

Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。

AD DS 中的五个操作主机角色分别是：架构主机（Schema Master ）、域命名主机（Domain Naming Master）、RID 主机（RID Master）、PDC 仿真器（PDC Emulator）、基础结构主机（Infrastructure Master） 架构主机和域命名主机是林范围角色，即每个林只有一台架构主机和一台域命名主机。RID 主机、PDC 仿真器、基础结构主机是域范围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得每域的操作主机角色。

架构主机（Schema Master）

宿主架构主机角色的域控制器负责对林的架构进行更新和修改，其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的，只能有一个架构主机。

域命名主机（Domain Naming Master）

域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机。

RID 主机（RID Master）

RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器，每个域只有一个RID 操作主机角色，用于管理RID 池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID 。RID 主机用于保证域控制器生产的SID 是唯一的。RID 主机把一些相对标识符(RID)(称为RID 池) 颁发给域中的每台域控制器。当任何

3 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

域控制器上的RID 池中的可用RID 的数量较少时(小于100) ，就会从RID 主机请求一些RID 。每次收到这样的请求，RID 主机都会向域控制器再颁发大约500个RID 的RID 池。

PDC 仿真器（PDC Emulator）

PDC 仿真器负责执行很多与域有关的关键功能，主要有：为Windows 2000提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。

基础结构主机（Infrastructure Master）

基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改cn) 反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用，域之间的组-用户引用就会过时。

(二) 角色迁移

当部署多台DC 分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。 以PDC 主机角色迁移为例：

1、查询当前操作主机角色所在的DC

4 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

2、打开CMD 窗口，依次输入命令：

ntdsutil → roles → connections → connect to server ad2.hg.local 连接到域控制服务器ad2.hg.local

3、输入quit 退出connections 程序，输入命令transfer PDC 将PDC 主机角色转移至域控制器ad2.hg.local 上

(三) 角色抢夺

当拥有某操作主机角色的DC 宕机时，可以通过以下命令实现操作主机角色的抢夺。 以PDC 主机角色抢夺为例：

1、打开CMD 窗口，依次输入命令：

5 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

ntdsutil → roles → connections → connect to server ad2.hg.local 连接到域控制服务器ad2.hg.local

2、输入quit 退出connections 程序，输入命令transfer PDC 将PDC 主机角色转移至域控制器ad2.hg.local 上

6 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

第二章 管理活动目录数据库

(一) 活动目录数据库介绍

活动目录数据库默认存储路径为：C:WindowsNTDS

其中包含文件分别为：

✧ edb.chk ：检查点文件。edb.chk 文件存储数据库的检查点，这些检查点标识数据库引

擎需要重复播放日志的点，通常在恢复或初始化时。

✧ edbxxxxx.log ：事务日志文件。edb.log 是日志文件，对数据库进行更改后，将该更

改写入到edb.log 文件中。当edb.log 文件充满事务之后，会被重新命名为edbxxxxx.log ，日志文件从edb00001开始，并使用十六进制数累加。由于Active Directory 使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。在任何时刻都可以找到edb.log 文件，而且还可能有一个或多个edbxxxxx.log 文件。

✧ edbresxxxx.jrs ：这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使

用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB 大小

✧ edbtmp.log ：该日志是当当前日志文件（Edb.log ）填满时的暂时日志。一个

edbtmp.log 的新文件被创建来记录处理，同时edb.log 文件被重命名为下一个以往日志文件，然后edbtmp.log 文件会被重名为edb.log 。

✧ ntds.dit ：数据库文件。ntds.dit 会随着数据库的填充而不断增大。但是，日志的大

小却是固定的10 MB

。对数据库进行的任何更改都会被追加到当前的日志文件中，而且

7 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

其磁盘映像会不断保持更新。

Temp.edb ：这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。

(二) 活动目录数据库的移动

当需要更改AD DB的存放路径时，可通过如下操作实现AD DB的移动：

1、停止目录服务: net stop ntds

2、依次输入以下命令进入AD DB管理进程：

Ntdsuitl → activate instance ntds → files

8 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

3、移动AD DB及LOG 到新的路径C:NTDS

Move DB to C:NTDS

Move DB to C:NTDS

4、退出进程，并启动目录服务

net start ntds

9 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD

解决方案︱Solution

5、可以查看以上文件已经移动到目录C:NTDS

(三) 活动目录数据库的压缩

在活动目录的使用过程中，AD DB会越来越大，必要的时候需要对AD DB进行压缩： 在线整理

DC 服务器每12小时自动进行

离线整理

管理员手工压缩AD 数据库

10 / 14

深圳市索信达实业有限公司SHENZHE SUOXINDA INDUSTRY CO.,LTD