文章列表

您正在查看 "活动目录" 分类下的文章

2008/05/19 09:45

指定的域不存在|未能打开组策略对象|找不到网络路径|ActiveDirectory用户和计算机错误

指定的域不存在|未能打开组策略对象|找不到网络路径|ActiveDirectory用户和计算机错误。部门有一台域服务器(Windows Server 2003 Enterprise Edition + SP2)，原来的管理员配置了域，但一直有问题并出现以下现象:
此域服务器重启后，在进入" Active Directory 用户和计算机"时出现错误信息提示: " 找不到命名信息，因为: 指定的域不存在，或无法联系。请与系统管理员联系，以确认您的域配置正确并处于联机状态。"
试了几次之后或等一段时间后才可以进入,　但始终无法进入"管理工具"中的"域控制器安全策略", 并出现错误提示: " 未能打开组策略对象，您可能没有合适的权限."　"详细信息: 找不到网络路径。
请各位帮忙分析一下是什么问题，如果解决？谢谢！

回答：根据我的研究，造成该问题的原因较多，请您根据以下步骤进行排错：

1. 某些应用程序修改了默认的注册表键值会造成该问题，请检查以下默认注册表键值。
a. 打开注册表编辑器，导航到以下子项：HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command.
b. 检查数值数据是否正确，正确的数值数据应该为：%SystemRoot%\system32\mmc.exe "%1" %*。

2. dompol.msc 命令和 dcpol.msc 命令不包括需要域名称参数和策略 GUID 参数，请您参考以下KB进行排错。
"You may not have appropriate rights" error message when you try to open
http://support.microsoft.com/?id=832214

原因

因为 dompol.msc 命令和 dcpol.msc 命令不包括需要域名称参数和要求策略 GUID 参数，计算机必须绑定到出现此问题。

解决方案

要解决此问题, 您必须指定域名称参数和该计算机必须绑定到策略 GUID 参数。例如, 要打开, example.com 域中默认域控制器策略控制台在命令提示符键入如下：

dcpol.msc /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"

要打开, example.com 域中默认域策略控制台在命令提示符下键入以下：

dompol.msc /gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"

3. 丢失适当的 Sysvol也会造成该问题，请您参考以下文章：
丢失适当的 Sysvol 内容时出现组策略错误消息
http://support.microsoft.com/?id=253268

更多信息请您参考以下文章：
"Failed to Open the Group Policy Object" Error Message Occurs When You Try to Open a Policy As a Domain Administrator
http://support.microsoft.com/?id=294257

类别：活动目录 | 评论(1) | 浏览()

源林的 Active Directory 架构与这台计算机上的 Active Directory

2008/03/14 16:05

由于以下原因，操作失败:

Active Directory 安装向导不能继续，因为林没有为安装 Windows Server 2003 准备好。使用 Adprep 命令行工具来准备林和域。要了解有关使用 Adprep 的详细信息，参阅 Active Directory 帮助。

“源林的 Active Directory 架构与这台计算机上的 Active Directory 的版本不兼容。”

Active Directory安装向导不能继续，因为林没有为安装Windows 2003 Server准备好，源林的Active Directory架构与这台机器上的Active Directory版本不兼容
无论用户当前域（林）是Windows 2000、Windows 2003 还是二者的混合，如果需要提升一台新Windows 2003 R2服务器成为混合环境下的R2域控制器，用户会遇到升级失败的问题。dcpromo会提示“Active Directory安装向导不能继续，因为林没有为安装Windows 2003 Server准备好，源林的Active Directory架构与这台机器上的Active Directory版本不兼容”。

在Windows 2000域（林）中提升Windows 2003 域控制器也会遇到同样问题，解决方法很简单，在根域schema主控上运行Windows 2003 光盘i386\adprep.exe /forestprep即可。但运行Windows 2003 R2的第一张安装光盘i386\目录中的ADPrep是不解决问题的，Windows 2003 R2提供了两套ADPrep，第一张光盘只与Windows 2003兼容。如果要将schema扩展到Windows 2003 R2兼容模式，需要运行Windows 2003 R2第二张安装光盘的:\CMPNENTS\R2\ADPREP\adprep.exe /forestprep才可以。

微软KBhttp://support.microsoft.com/default.aspx?scid=kb;EN-US;917385有相关解释。Windows 2003 R2第二张安装光盘的adprep.exe版本为5.2.3790.2075；Windows 2003 R2第一张安装光盘的adprep.exe版本为5.2.3790.1830。

R2新版本adprep.exe为活动目录schema扩展30个对象。

Q:win2003 域控迁移到win2003 R2 域控报错AD版本不一样的问题。
A:

需完成的任务：Windows2003企业版SP1 域控制器迁移到另一台新的Windows2003R2上（迁移和升级）。

操作步骤：

1.在Windows 2003 服务器上，运行林升级操作：运行Windows 2003 R2安装光盘（第2张）\CMPNENTS\R2\ADPREP\目录中adprep程序，运行命令：adprep/forestprep

2.在Windows 2003服务器上，运行域升级操作：运运行Windows 2003 R2安装光盘（第2张）\CMPNENTS\R2\ADPREP\目录中adprep程序，运行命令：adprep/domainprep

3.在现有的AD域中，安装一台新的Windows Server 2003 R2服务器，并将服务器加入现有域中

4.在Windows Server 2003 R2上，运行DCPROMO将服务器升级为现有域的额外域控制器。

5.将五种操作主机角色(FSMO角色)从老服务器迁移至新服务器

6.在Windows 2003服务器上，安装DNS服务，再创建一个新的与活动目录集成的、与Windows域名相同的、DNS正向搜索区域，重新启动服务器,使

DNS 与现有DNS服务同步

*在Windows 2003的域控制器上，运行DCPROMO将服务器降级,退出网络，操作系统全新部署Windows Server 2003 R2，另做他用。

可能会碰到的问题:

升级域控制器出错

现象：

安装额外域控制器时，弹出“Active Directory安装向导”错误提示窗口，信息如下：Active Directory安装向导不能继续，因为林没有安装Windows Server 2003 准备好。使用Adprep 命令行工具来准备林和域。要了解有关使用Adprep 的详细信息，参阅Active Directory帮助。“源林的Active Directory架构与这台计算机上的Active Directory的版本不兼容。”

原因：

1／用win2k3 企业版做的prep

2／用win2k3 r2 第一张盘上的执行文件，做了prep。其实应该用第二张盘上的，执行文件目录如下：

adprep/forestprep Drive:\CMPNENTS\R2\ADPREP\adprep.exe

3／在非架构主机上执行了prep，应该在架构主机上做。

下面找来Windows 2000 Server的安装光盘，并将该光盘放置到主域控制器所在的计算机光驱中，然后双击“我的电脑”窗口中的光驱图标，进入光盘的根目录窗口，从中找到 I386子文件夹下面的Adprep.exe文件，将该文件直接拷贝到主域控制器所在的计算机硬盘中;

　　接下来在主域控制器的系统桌面中，用鼠标逐一展开“开始”、“运行”项目，打开系统的运行对话框，然后在其中输入字符串命令“cmd”，单击回车键后系统将自动切换到MS-DOS命令行状态;在DOS命令行中输入字符串命令“adprep /forestprep”，单击回车键后系统就会自动更新主域控制器现有的全林性信息，过一会儿后系统就会出现更新成功的提示信息;

　　紧接着在DOS命令行中继续输入字符串命令“adprep /domainprep”，单击回车键后系统就会自动更新主域控制器现有的全域性信息，过一会儿后系统同样会出现更新成功的提示信息。

类别：活动目录 | 评论(0) | 浏览()

Active Directory

2008/02/28 16:59

secmod61.mspx

设置 Active Directory 的域名系统

support.microsoft.com/kb/237675/zh-cn

类别：活动目录 | 评论(0) | 浏览()

删除额外域时要清除的信息

2008/01/30 16:40

首先进入命令行：输入
ntdsutil 回车
再输入Metadata cleanup 回车
再输入：connections 回车
connect to server XXX.DOMAIN.COM
quit
Select operation target
List sites
select site 0 (一般只有一个站点就是0)
list domains
select domain 0 得仔细看是编码为0还是1
list servers for domain in site
select server 1 这里也得自己判断选择你要删除的服务器
quit
Remove selected server
这里会提示是否删除，选择确定。
然后完成
在进入adsiedit.msc，然后选择domain
然后选择dc=domain,dc=com
在扩展找到ou=domain contorllers
删掉域控制器，然后再找到cn=system扩展开后找到CN=File Replication Service，在扩展找到CN=Domain System Volume (SYSVOL share)，将里面的需要删的服务器删掉
再进入进入活动目录服务与站点删掉相应的服务器

类别：活动目录 | 评论(0) | 浏览()

AD相关命令

2008/01/30 16:05

在2000 SERVER系统AD出现故障后难以用2000管理工具里的东东解决或修复问题

工具位置：WINDOWS 2000 SERVER CD\SUPPORT\RESKIT文件夹（嘿嘿，找不到别怪蜗牛哟）

MoveTree:把对象从一个域移动到另一个域。

SIDWalker:设置曾被已移动、孤立或删除的账户拥有的对象的ACL。

ESEUtil:用于修复、检查、压缩、移动和转储AD数据库文件。（注：它会被NTDSUTIL调用）

NTDSUTIL:用于修复、检查、压缩、移动和转储AD数据库文件。可列出站点、域和服务器信息，管理操作主机，实现命令式的还原，以及预创建域。

LDP:允许对AD执行LDAP操作

DNSCMD:检查DNS资源记录的动态注册，包括安全DNS更新以及撤销资源记录的注册。

DOMMAP:检查复制的拓扑结构以及站点和域的关系。

DSACLS:查看和修改AD中对象的ACL。

NETDOMS:用于信任的批量管理，添加工作站和服务器到域，以及验证信任和安全通道。

NETTest:用于检查端-端的网络和分布式服务功能。

NLTest:用于确保定位器和安全通道正常工作。

REPAdmin:检查复制伙伴之间的复制一致性，监视复制状态，显示复制元数据，强迫复制事件发生，以及重新计算知识一致性检查器。

REPLMon:显示复制拓扑结构；监视复制状态，包括策略；强迫复制事件发生，以及重新计算知识一致性检查器。

DSAStat:在域控制器中比较命名环境，并检测不同之处。

ADSIEdit:用于查看目录中所有对象的Microsoft管理控制台管理单元，包括架构和命名配置环境，修改对象以及设置对象的访问控制列表。

ADCheck:用于检查ACL的传播和目录中指定对象的复制。

ACLDiag:确定是否允许或禁止用户访问AD对象，还用于重设访问控制列表为缺省状态。

LDIFDE:导出和导入AD中的数据。

CSVDE:从文件导出和导入数据。

DFSCheck:管理分布式文件系统各方面的一个命令行工具，检查DNS服务器的配置一致性，并显示DFS拓扑结构。

类别：活动目录 | 评论(0) | 浏览()

AD活动目录排错扫盲帖

2008/01/30 15:57

活动目录排错扫盲帖(第一部分)［咨询前必看］A.我的活动目录中的DNS服务器上的SRV记录丢失了，怎么办？
Q.首先确认你的服务器TCP/IP属性中的DNS设置是正确的，然后检查DNS区域是否正确，并且打开自动更新的功能,完成以上操作后，进入命令提示符模式，输入以下命令来完成操作：
net stop dns
net start dns
net stop netlogon
net start netlogon
通过以上命令可以重新注册SRV记录，最终实现找到丢失的SRV记录，当然此方法也常用的DNS的解决方法之一。

A.我的企业环境中有1台DC（域控制器），由于购买了新的服务器来替代老的服务器，怎么操作？
Q.这个问题的解决主要是通过将新的服务器提升为现有域的辅助域控制器，加入成功后重新启动起来，进入命令行提示符，通过输入ntdsutil来传送FSMO（5种主控角色）到新的服务器上，然后将新的服务器设置为GC既可，关于FSMO的介绍可以查看本社区相关帖子。具体操作如下：

1.打开命令行,输入ntdsutil 回车
2.再输入:roles 回车
3.再输入connections 回车
4.再输入connect to server dc-1 --> （备注：这里的dc-1是指服务器名称）
5.提示绑定成功后，输入q退出
6.输入？回车可看到以下信息：
Connections                - 连接到一个特定域控制器
Help                          - 显示这个帮助信息
Quit                          - 返回到上一个菜单
Seize domain naming master - 在已连接的服务器上覆盖域角色
Seize infrastructure master   - 在已连接的服务器上覆盖结构角色
Seize PDC                    - 在已连接的服务器上覆盖 PDC 角色
Seize RID master              - 在已连接的服务器上覆盖 RID 角色
Seize schema master       - 在已连接的服务器上覆盖架构角色
Select operation target    - 选择的站点，服务器，域，角色和命名上下文
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC                - 将已连接的服务器定为 PDC
Transfer RID master       - 将已连接的服务器定为 RID 主机
Transfer schema master        - 将已连接的服务器定为架构主机

然后分别输入：
Transfer domain naming master 回车
Transfer infrastructure master   回车
Transfer PDC                回车
Transfer RID master       回车
Transfer schema master        回车
以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上步骤后退出界面，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo用于检查FSMO的状态来确认是否传送成功。检查无误后进入活动目录站点选择NTDS找到服务器设置为GC既可。
（备注：如果以上操作还不熟悉可以搜索本站活动目录区域相关内容的帖子）

3.我的环境中有2台DC，其中一台坏掉了并且修复不好了，我想加入另外一台服务器成为DC，请问需要删除以前的信息吗？
Q.这样的情况是需要删除坏掉DC的信息的，因为老的DC信息如果在活动目录中存在会影响活动目录复制和拓扑的，所以是必须删除的，方法有2中，1通过安装Support tools工具，并且使用ADSIEDIT工具进行删除，2.通过ntdsutil工具进行元数据清除，这里我不详细介绍操作过程了，具体内容见本站相关内容贴搜索。

4.我的活动目录出现了严重的问题，需要降级活动目录，但是操作过程中提示无法降级，请问能强制降级吗？Q.当出现严重的活动目录问题导致无法降级的时候是可以强制降级的，在Windows 2000 打了SP4后可以使用dcpromo/forceremoval命令进行强制降级，该方法同样适用与Windows 2003,不过需要提示的是如果这样操作后还需要删除活动目录的一些遗留文件等，因为强制降级是属于非正常降级不会删除所有的活动目录信息，例如sysvol文件夹等。

5.我是Windows Server 2003的操作系统，并且提升了活动目录，由于默认的域控制器安全策略和默认的安全策略被乱改了，想恢复默认可以吗？Q.使用Windows Server 2003是可以做这样的恢复的，在命令行提示符下面输入以下命令用于恢复策略：
dcgpofix ，该命令只能运行在域控制器上。

6.我的企业由于需要更改域控制器名称，我想咨询是否可以更改？
Q.Windows 2000的域控制器是没有办法更改服务器名称的，只能降级更名后再提升，如果是Windows Server 2003的域控制器，并且是Windows 2003的域级别功能模式，是可以进行更名操作的，具体操作如下：
1.首先找到Windows server操作系统安装光盘，找到Support目录安装Support tools工具
2.安装完成后，打开命令提示符输入:
netdom computername CurrentComputerName /add:NewComputerName

该命令将更新这台计算机的 Active Directory 中的服务主体名称 (SPN) 属性，并注册新计算机名的 DNS 资源记录。计算机帐户的 SPN 值必须复制到该域的所有域控制器，新计算机名的 DNS 资源记录必须分布到该域名的所有授权 DNS 服务器。如果在删除旧计算机名之前没有进行更新和注册，那么某些客户端可能无法使用新名或旧名找到该计算机。

3.确保计算机帐户更新和 DNS 注册完成之后，键入：
netdom computername CurrentComputerName /makeprimary:NewComputerName

4.重新启动计算机。
在命令提示符下，键入：
netdom computername NewComputerName /remove:OldComputerName

值描述
CurrentComputerName 正在重命名的计算机的当前或主要计算机名或 IP 地址。
NewComputerName 该计算机的新名称。NewComputerName 必须是完全合格的域名 (FQDN)。在 FQDN 中为 NewComputerName 指定的主 DNS 后缀必须与 CurrentComputerName 的主 DNS 后缀相同，或者它必须包含在“domainDns”对象的“msDS-AllowedDNSSuffixes”属性中指定的允许的 DNS 后缀列表中。
OldComputerName 重命名的计算机的旧名称。

7.我的公司通过活动目录管理客户端，但是客户端使用domain user登陆后权限不足，使用很不方便，请问怎么才能提升权限呢？
Q.很多管理员都遇到类似的问题，其实我们一般的解决方法是将域用户加入到本地管理员组，这样域用户就可以像以前一样在本机操作自如，并且也不影响企业的管理。（备注：请一定不要将普通域用户加入到域管理员组），通过以上方法可解决这样的问题，具体实现可以通过图形界面或者命令行，命令如下：
net localgroup administrators domain/user1 /add

类别：活动目录 | 评论(0) | 浏览()

AD活动目录术语表

2008/01/30 15:55

A

--------------------------------------------------------------------------------
访问控制（access control）--登录计算机或网络权限的管理。
ACE--参见"访问控制条目"。
访问控制条目(access control entry，简称ACE) --每一个ACE包括一个安全标识符(SID)，这个标识符标识这个ACE的应用对象（用户或小组）以及允许或者拒绝访问的ACE信息的类型。
访问控制表(access control list，简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中，一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在 Windows NT®操作系统中，一个ACL作为一个二进制值保存，称之为安全描述符。
ACL--参见"访问控制列表"。
活动目录-- Windows® 2000支持的一种结构，这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务，为Windows 2000分布式网络提供基础。
活动目录服务接口(Active Directory Service Interface，简称ADSI)--基于组件对象模型（COM）的客户端软件。 ADSI定义了一个目录服务模型和一组COM接口，通过这些接口可以使 Windows NT 和Windows 95客户端应用程序访问一些网络目录服务，包括活动目录服务。ADSI允许应用程序与活动目录进行通信。
ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口（API）调用，从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件，例如Java、Visual Basic、Visual Basic Scripting Edition（VBScript），来访问的接口和对象，这同样可以应用到非自动兼容语言，例如C和C++，通过这个特性可以增强性能。此外，ADSI提供它自己的OLE数据库提供者，并且可以完全支持任何客户端已经使用的OLE数据库，包括那些使用ActiveX® 技术的。
ADSI--参见活动目录服务接口"。
属性（attribute）--对象的单一属性。对象通过它们的属性值进行描述。例如，可以用属性这样来定义一辆车：制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用，它们使完全一样的。属性也是用来描述对象的数据项，这些对象通过模式中定义的类来表现的。在模式中，属性和类使分开定义的；这样使得一个属性可以在多个类中使用。参见"对象"。
授权（authentication）--确定用户的身份，即确定究竟是谁登录到计算机系统中的，或确定事物的完整性。

B

--------------------------------------------------------------------------------
备份域控制器(backup domain controller，简称BDC) --在 Windows NT Server 4.0或早期的域中，运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。
在 Windows 2000域中，备份域控制器是不需要；所有域控制器是对等的，都可以维护目录。当Windows NT 4.0和 Windows NT 3.51备份域控制器运行在混合模式下时，可以与Windows 2000域进行交流。参见"域控制器和主域控制器"。

C

--------------------------------------------------------------------------------
容器（container）--一种特殊的活动目录对象类型。容器与其他的活动目录对象一样具有属性，并且它是活动目录名字空间中的一部分。但是，与其他对象不同的是，它没有具体的表现形式。容器中可以包括一组对象和其他容器。参见"对象"。

D

--------------------------------------------------------------------------------
数据库层（database layer）--一种活动目录的体系结构层次，通过将应用程序编程接口提供给目录系统代理（Directory System Agent，简称DSA）层防止对扩展存储引擎（Extensible Storage Engine，简称ESE）直接的访问，它可以将活动目录服务的上层与低层的数据库系统隔离开来。
委托（delegation）--允许更高层的管理机构将对容器和子树特定的管理权利授予给个人和组织。这样可以更加有利于域名管理员进行管理。访问控制条目（Access control entry，简称ACE）可以将容器中对象的管理权利授予给用户或小组。通过容器的访问控制列表（Access Control List，简称ACL）可以在特定的对象类上给予特定的操作。
例如，为了允许用户"James Smith"成为"公司帐户"的管理员，您将在ACL中增加如下的ACE：
"James Smith"; Grant; Create, Modify, Delete; Object-Class User
"James Smith"; Grant; Create, Modify, Delete; Object-Class Group
"James Smith"; Grant; Write; Object-Class User; Attribute Password
现在James Smith可以在公司帐户中创建新的用户和小组，同时还可以已有用户设置密码，但是他不能创建任何对象类，也不能操作其他容器（除非他被授予了对其他容器管理的权利）中的用户。
目录（directory）--一种存储网络信息的层次结构。
目录服务（directory service）--例如活动目录，提供存储目录数据并且使它可以被网络用户和管理员访问的方法。例如，活动目录存储有关用户帐号的信息，例如姓名、密码、电话号码等等，同时还可以使同一网络中的其他授权用户访问这些信息。参见"活动目录，目录分区"。
目录激活网络（directory-enabled networking，简称DEN）--从存储有关用户、应用程序和网络资源的中心管理网络元素，例如路由器、应用程序和用户。
目录分区（directoy partition）--目录的相邻子树，它形成目录的一个复制单元。一个指定的复制经常使一些目录分区的拷贝。活动目录由一个或多个目录分区组成。
在活动目录中，一个服务器经常有至少三个目录分区。
模式
配置（拓扑结构和相关元数据的拷贝）
一个或多个每域目录分区（子树包括目录中的实际对象）
有关模式和配置被拷贝到指定森林中的每一个域控制器中。而域目录分区只拷贝到相应的域控制器中。
可分辨的名称（distinguished name）--确定包含对象的域以及通过这个对象可以到达的完整路径。活动目录中每一个对象有唯一的可分辨的名称(DN)，一个典型的可分辨的名称(DN)可以是： CN=JamesSmith,CN=Users,DC=Microsoft,DC=Com. 这个名字确定了Microsoft.com域中的 "James Smith" 的用户对象。
DNS --参见"域名系统（Domain Name System）"。
域（domain）--基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。参见"域控制器，局部域小组"。
域控制器(domain controller)--一个基于Windows NT的服务器拥有一个活动目录分区。参见"域"。
局部域小组(domain local group)--可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。一个局部域小组只能在本域的ACL中使用。参见"域、森林"。
域名系统（Domain Name System，简称DNS）--一种层次分布式数据库，用来进行域名/地址转换。域名系统是Internet上使用的名字空间，用来将计算机和服务名称转换成为TCP/IP地址。活动目录在它的定位服务中使用DNS，以便客户端可以通过DNS查询找到域控制器。

E

--------------------------------------------------------------------------------
可扩充存储引擎（Extensible Storage Engine，简称ESE）--活动目录数据库引擎。ESE（Esent.dll）是Jet数据库的改进版本，在Microsoft Exchange 服务器 4.x和5.5版本中使用。它实现一种事务处理数据库系统，也就是说它使用日志文件来确保提交的事务是安全的。

F

--------------------------------------------------------------------------------
森林（forest）--相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是，森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。参见"树，全局目录"。

G

--------------------------------------------------------------------------------
全局目录（global catalog，简称GC）--全局目录包括目录中每一个Windows 2000域的复制。全局目录允许用户和应用程序在活动目录域树中寻找给定一个或多个属性的目标对象。它还包括目录分区的模式和配置。这就是说全局目录拥有活动目录中每一个对象的复制，但是只包括每一个对象的一部分属性。活动目录中的属性都是一些在查询中经常使用的（例如用户的姓、名、登录名称等等）和那些在定位对象的完全复制时需要使用的。GC允许用户在不知道对象属于哪个域以及不需要连续扩展名字空间时对它们进行查找。全局目录通过活动目录复制系统自动创建。
GC --参见"全局目录"。
全局目录服务器--是一个Windows 2000域控制器，它包括一份森林全局目录的拷贝。参见"全局目录"。
全局小组(global group)--可以出现在任何森林中的ACL中，并且可以包括来自本域中的用户和其他全局小组。
小组--参见"全局小组，局部域小组，通用小组和组策略"。
组策略(Group Policy)--指将策略应用到活动目录容器中的计算机组和/或用户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略，还可以是目录服务所允许的用来存储策略数据的多种类型，例如：文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域安全、Internet协议安全（Internet Protocol security，简称IPSec）等等。策略的集合称为组策略对象（Group Policy object，简称GPO）。
组策略对象（Group Policy object，简称GPO）--策略的虚拟集合。它有一个唯一的名称，例如一个全局唯一标识符（globally unique identifier，简称GUID）。GPO在两个位置存储组策略设置：组策略容器（Group Policy container，简称GPC）（首选的）和组策略模板（Group Policy templet，简称GPT）。GPC是一个活动目录对象，存储版本信息、状态信息和其他策略信息（例如应用程序对象）。GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。
一个GPO可以于一个或多个活动目录容器相关，例如站点、域或组织单元。多个容器可以与相同的GPO相关联同时一个容器可以与一个或多个GPO相互关联。
此外，缺省的，每一个计算机接受一个只包含指定安全策略的局部组策略对象（local Group Policy object，简称LGPO）。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。参见"组策略"。
GPO--参见"组策略对象"。

H

--------------------------------------------------------------------------------
层次式名字空间(hierarchical namespace)--一个名字空间，例如DNS名字空间和活动目录名字空间，它们都是层次式结构，并且提供划分名字空间的规则。参见"名字空间"。

K

--------------------------------------------------------------------------------
Kerberos--一种用来授权用户的安全系统。对于服务或数据库，Kerberos不提供授权；它在登录时授权用户身份，这在整个会话中都是要使用的。Kerberos协议是Windows 2000操作系统中的主要授权机制。
知识一致性校验（Knowledge Consistency Checker，简称KCC）--运行在域中所有域控制器上的内置服务，并且自动的建立站点中机器之间的相互联系。这些称为Windows 2000目录服务连接对象。管理员可以建立另外的连接对象或删除连接对象。但是，当站点中的复制出现问题或错误的时候，KCC将会起作用并且建立新的连接来恢复活动目录拷贝。

L

--------------------------------------------------------------------------------
轻型目录访问协议（Lightweight Directory Access Protocol ，简称LDAP）--用来访问目录服务的一种协议。目前的 Web 浏览器和电子邮件程序中都实现了LDAP，这样就可以查询一个LDAP目录。LDAP是目录访问协议（Directory Access Procotol ，简称DAP）的一个简化版本，可以用来访问X.500目录。编写LDAP查询代码比DAP简单，但是LDAP的功能不是十分完善。例如，如果没有找到地址，DAP可以在其他的服务器上进行初始化寻找，但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议。

M

--------------------------------------------------------------------------------
混合模式(mixed mode)--允许运行Windows 2000和Windows NT的域控制器同时存在域一个域中。在混合模式下，以前版本的Windows NT中的域特性仍然有效，但是却有一些Windows 2000的特性是无效的。Windows 2000服务器域的缺省安装是混合模式。在混合模式下，域中可能有现成Windows NT 4.0域控制器。混合模式下不支持嵌套小组。与原始模式相比较。
多主复制(multi_master replication)--是活动目录的一个特征，它可以支持和维护在域中的多个服务器上目录的多分拷贝。由于给定目录分区的所有拷贝都是可写的，因此可以对其中任何一份拷贝进行更新。活动目录复制系统将一个副本中的变化传播到所有的副本中去。复制是自动和透明的。
活动目录多主复制可以将任何域控制器创建的任何对象（例如用户、小组、计算机、域、组织单元、安全策略等等）传播到其他相关的域控制器。如果域中的一个域控制器比较慢或出现错误，那么本域中其他的域控制器可以提供必要的目录访问，因为它们包含相同的目录数据。参见"复制"。

N

--------------------------------------------------------------------------------
原始模式（native mode）--当域中所有的域控制器都运行Windows 2000服务器。这个模式允许机构充分利用新的活动目录特性，例如通用小组、嵌套小组成员和域间小组成员。与"混合模式"进行比较。
名字空间(namespace)--根据一定的命名规则定义的一个名字或一组名字，它们可以在一定的范围内被解析。活动目录主要是一个名字空间，同样也是一个目录服务。一个电话目录也是一个名字空间。Internent使用一种层次式的名字空间，它将名字划分称为一些目录--顶级域，例如.com, .edu, 和 .gov，它们都是在最顶层。
名字解析（name resolution）--将名字转换成为它所代表的对象或信息的过程。一个电话本组成一个名字空间，在这个空间中可以将电话用户解析到相应的电话号码。Windows NTFS文件系统组成一个名字空间，可以将文件名解析到文件本身。同样的，活动目录也组成一个名字空间，可以将目录中对象的名字解析到对象本身。

O

--------------------------------------------------------------------------------
对象(object)--由一组属性组成的集合，它代表的是具体的事物，例如用户、打印机或一个应用程序。属性就是用来描述目录对象可以标识的数据。一个用户的属性可能是用户姓、教名和电子邮件地址。
对象标识符（object identifier）--在目录服务中用来确定对象类或属性的一个数。对象标识符由发布机构发布，形成一个层次关系。对象标识符是一串用点分开的十进制数（例如"1.2.3.4"）。企业（和个人）可以从发布机构得到一个根对象标识符，并且使用它分配其他的对象标识符。例如，Microsoft得到的根标识符是"1.2.840.113556"。 Microsoft进一步管理从这个根发展的分支。这些分支中的一个是用来给活动目录类分配一个对象标识符，另一个用来给活动目录属性分配标识符，等等。
世界上许多国家有确定的国家注册机构（national registration authority，简称NRA），它们负责给企业发布对象标识符。在美国，NRA是美国国家标准局（American National Standards Institute，简称ANSI）。企业也可以为对象标识符注册名称。根对象标识符和注册名字都是计费的。详细信息，可以联系本国NRA。国际标准化组织（International Standards Organization）承认NRA并且在ISO站点维护相应的联系列表。参见"对象，属性"。
组织单元（organizational unit，简称OU）--一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。
OU --参见"组织单元"。

P

--------------------------------------------------------------------------------
父子信任关系（parent-child trust relationship）--一种双向、可传递的信任关系，当向一个活动目录树添加域时建立。活动目录安装过程自动为正在创建的域（新的子域）和它的父域之间创建信任关系。
划分（partition）--存储中复制的一个完整单元。参见"目录分区"。
PDC--参见"主域控制器"。
PKI --参见"公开密钥基础"。
策略（policy）--管理主题和对象相互作用的规则集合。例如，当Internet协议（Internt Protocol，简称IP）安全代理（主题）启动一台计算机（对象）时，策略需要确定计算机应该如何参与安全IP连接。
策略引擎（policy engine）--在决策点执行的软件，它执行策略选择、估算条件以及确定应该执行什么行为。策略引擎的概念十分罗嗦；它的功能性经常通过分布式系统的多个部分进行传播。例如，Windows 2000提供一个策略基础结构，包括策略存储（组策略对象）、作为用户登录（WinLogon）的一部分而运行的策略引擎、激活策略选择进程的一个API（GetGPOList）。一些应用程序和服务使用WinLogon集成将它们的策略应用到用户，其他的使用GetGPOList来实现它们的策略决定和执行点。
主域控制器（primary domain controller，简称PDC）--Windows NT Server 4.0或早期的域中，PDC是运行Windows NT Server 的计算机，这个计算机授权域登录并且维护域的目录数据库。PDC跟踪域中所有计算机帐户所做的改变。它是唯一可以直接接受变化的计算机。一个域只有一个主域控制器。Windows 2000中，每一个域中的一个域控制器标记为PDC，它可以向下兼容客户机和服务器。参见"域控制器，备用域控制器"。
配置文件（profile）--信息的集合，这些信息是通过策略条件的估算结果选择出来的，应用于主题和对象之间交互作用的。配置文件的内容与正在讨论的主题和对象相关的。配置文件可以通过减少策略总数进一步简化管理。例如，给定服务器应用程序可能有很多配置参数。这个应用程序的策略可以引用它的简表；这比使用多个策略来完成相同的任务简单一些。参见"策略，对象"。
公用密钥体系（public key infrastructure ，简称PKI）-- 在一个机构、工业领域或国家内建立交换信息的安全方法的策略。PKI也是一组服务和管理工具的集合，可以使用这些工具创建、配置和管理基于公共密钥的应用程序。它包括加密方法、数字证书的使用、认证（certificate authority，简称CA）和管理进程的系统。

R

--------------------------------------------------------------------------------
相对唯一的名字（relative distinguished name，简称RDN）--对象名字的一部分，是它自身的一个属性。为对象提供RDN的属性指命名属性。参见"可分辨的名称(DN)"。
复制（replication）--在数据库管理系统中，通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他服务器上而使分布式数据库同步的功能。有几种拷贝的方法，包括主站点复制、共享或传输所有权的复制、对称复制（也称为随时更新或对等复制）和失败恢复复制。参见不同复制方法的完整定义"百科全书"。
活动目录提供多主复制，它是对称复制的一种形式。（参见"多主复制"）

S

--------------------------------------------------------------------------------
模式（schema）--整个数据库的定义；可以存储在数据库中的全局对象定义在模式中。对于每一个对象类而言，模式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。参见"对象，属性"。
模式主控（schema master）--用来控制森林中模式的所有更新的域控制器。任何时候，森林中只能有一个模式主控。参见"域控制器，森林，模式"。
SID--安全标识符。参见"访问控制条目"。
单主操作(single-master operation)--活动目录操作是单主操作，也就是在同一个时间，在网络中不允许在不同地方发生。这些操作的例子包括：
分配相对标识符（Relative identifier，简称RID）
修改模式
挑选主域控制器
改变特定基础结构
站点（site）--网络中拥有活动目录服务器的位置。站点是一个或多个完好连接的TCP/IP子网。完好连接是指网络连接高度可靠、速度快。（LAN的速度，10Mbps或更高的）。
在活动目录复制服务中站点起着非常重要的作用，它可以区分使用局域网连接（站点内复制）和慢速广域网（WAN）连接（站点间）的复制。管理员使用活动目录站点和服务管理器插件来管理站点内复制和站点间复制的复制拓扑关系图。
存储（store）--每个活动目录复制的物理存储。当一个对象存储在活动目录中时，系统将选择存储的一份复制，并且将对象写入在那里。复制系统将在所有其它的副本中复制对象。存储使用扩展存储引擎实现的。参见"扩展存储引擎"。

T

--------------------------------------------------------------------------------
可传递信任关系（transitive trust）--Windows 2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。当一个域加入到一个已有的森林或域树时，自动的建立可传递关系。可传递信任一般时双向的关系。在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任，这样的目的是授权。例如，如果域A信任域B，域B信任域C，那么域A可以信任域C。参见"树，森林"。
树（tree）--通过可传递、双向信任关系连接在一起的Windows NT域的集合，它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间，例如，a.com是树根，b.a.com是a.com的孩子，c.b.a.com是b.a.com的孩子等等。参见"模式，森林"。

U

--------------------------------------------------------------------------------
通用小组（universal group）--组的最简单的形式。通用组可以出现在森林ACL的任何地方。小型安装可以专有的使用通用小组而不要去关心全局和局部小组。

W

--------------------------------------------------------------------------------
完好连接（well-connected）--使网络和活动目录更好的服务于用户的充分的连接。这个术语的精确含义由具体的需求而定。

X

--------------------------------------------------------------------------------
X.500 --一组标准的集合，它定义了分布式目录服务，是国际标准委员会（International Standards Organization，简称 ISO)开发

类别：活动目录 | 评论(0) | 浏览()

排除AD复制故障的6个基本工具(组图)

2008/01/18 09:14

Active Directory(AD)复制是如何工作的?当它不能正常运行的时候我们应该做些什么?

　　在这之前，你的公司已经部署了Windows 2000及Active Directory，所有的事情已经很完美地工作了一段时间，但现在你开始感觉到Windows 2000并没有完全像Microsoft所承诺的那样完美。许多管理员并没有对排除正常的目录服务逐渐变坏所产生的故障做好准备。不幸的是，AD的复制是Windows 2000中一个很少去理解的功能，现在是逐步展开理解复制的内部工作原理并发现可用的故障排除工具的时候了。

　　复制概述

　　AD是一个数据库，默认地，每个域控制器(DC)在它的“\winnt\ntds”文件夹中以ntds.dit文件形式存储这个数据库的一个副本。AD数据库从逻辑上划分为三个目录分区，又称为命名上下文(Naming Context，NC)，它们分别是架构NC(Schema NC)、配置NC(Configuration NC)以及域NC(Domain NC)。森林中所有的DC都拥有同样的架构NC和配置NC，因为这些信息是在森林范围被定义的，而在一个AD域中的每个DC上拥有本域的域NC的同样的副本。如果DC被指派为全局编录(GC)服务器，那么这台DC同时包含森林中其他域的域NC的一部分副本，这部分副本包括所有来自个域中的对象，但仅仅是属性的一个子集。

　　复制是AD在域或森林中对拥有这些信息的所有DC之间的信息进行同步的一种机制。AD使用知识一致性检查器(Knowledge Consistency Checker ，KCC)、站点(Site)、站点链路(Site Link)和连接对象(Connection Object)来实现这个复制操作。

　　KCC是运行在所有DC上的一个内置进程，用来创建森林的复制拓扑。你可以使用站点来组织附近网络中被高速连接在一起的DC，你的网络与AD构架决定了一台DC是否属性高速连接，许多公司认为连接各DC的网络速度达到10M以上带宽就可称之为高速连接。站点的创建通常以子网为基础，如果多个子网高速连接在一起，你也可以把他们组织为一个站点。一个站点内DC之间的复制称为站内复制，为了建立一个站内复制拓扑，KCC自动在站点内的DC之间创建连接对象。连接对象同样也是跨站点连接DC的单向连接器。每个链路就像一条通道，表示一个从源DC到目的DC的入站链接。在站点内两台DC相互之间复制目录数据之前，你必须建立两个分离的连接对象。

　　如果有些DC之间没有高速连接，你就需要创建多个站点，分离的站点之间的复制称为站间复制。AD管理员使用Active Directory站点与管理控制台(MMC)管理单元来创建站点链路，它提供了站点之间进行数据复制的通道。在AD管理员建立这些通道之后，KCC在链接的站点之间创建连接对象。典型情况下，并不是所有的DC共享所有的信息(比如，各个域中的DC可能维护不同的数据)。因此，KCC可能需要建立多个连接对象来确保在整个企业中的每个NC被完全复制。在图1中显示了一个站间连接对象的例子，站点A与站点B通过一个手工创建的站点链路连接。在这个例子中，KCC已经创建了两个单向连接对象复制来自同一个域中二台DC之间的三个NC。

　　图1

　　桥头服务器(bridgehead server)是复制拓扑中另一个组件，如果你使用过Microsoft Exchange服务器，你应该熟悉这个服务器的角色。为了增加复制的有效性，KCC不会对一个站点内所有的DC与另一个站点内所有的DC之间创建单个连接对象，相反，KCC在两台桥头服务器(每个站点中一台)之间使用存储并转发的信息复制机制。然后桥头服务器使用站内复制把信息复制到它所在站点的其余DC上。关于桥头服务器的更多信息，请参见附文《桥头服务器》。

　　复制得到了什么?

　　考虑AD对更改一个DC的目录对象的能力，AD需要一种有效的方法去判断哪一个对象已经被更改以及是否需要被复制到复制伙伴的其他DC中。AD使用更新顺序号(Update Sequence Number，USN)来跟踪什么时候目录发生变化，USN是由AD在本地每台DC指定的64位计数器。当AD、用户、管理员或者应用程序更新一个属性时，DC查看属性的当前USN值，把值增加，并且对更新的对象指定一个新的值作为它本地的USN。

　　在AD复制拓扑内部，复制伙伴以一种高水印(high-watermark)值的方式来保持他们对来自源DC最近更新的跟踪。当一个目的DC从源DC请求更新时，为返回更新，目的DC会把它的高水印值发送给源DC，源DC以这个高水印值作为一个基准，仅发送高水印值高于这一基准的目录对象到目的DC，因此减少了网络线路中不必要的复制数据流量。

　　最新矢量(Up-to-dateness Vector)与高水印值协同工作可以把复制数据量降到最小。二者的区别是高水印值考虑的是对象，最新矢量考虑的是属性。在一次复制数据交换期间，一台目的DC发送它的最新矢量到源DC，源DC使用这个值来判断目的DC对一个特定的属性是否有最新的值。如果值是最新的，源DC就会从它发送到请求数据的目的DC的数据中将这一属性过滤掉。

　　在你部署AD之后，你需要在你的工具百宝箱中装载解决任何存在的问题所必须的实用程序。Microsoft Windows 2000 Resource Kit中包含许多这样的工具，还可以在Windows 2000 Server CD-ROM的“\support\tools”文件夹(即Windows 2000 Server支持工具)中找到大约50个这样的程序。为了解决可能的复制问题，你有时需要同时使用这些工具中的其中几个。

　　事件查看器。Windows默认的事件查看器位于“开始”*“程序”*“管理工具”中，事件查看器一般在发生问题的第一时间内告诉你一些基本的情况。在一个AD部署过程中，DC有一个称为目录服务的新的日志类型。为即时跟踪最新复制相关的事件，你应该监视你DC上的目录服务日志。尽管你能够连接到其他DC来查看他们的日志，但事件查看器一次只能显示一个服务器的日志，为获得一份包括来自你所有DC上复制相关的事件项目的报告，我推荐你使用复制监视器程序。

　　复制监视器。Replmon.exe是一个GUI程序，它包含在Windows 2000 Server的支持工具中。你能够使用Replmon获得你企业中AD复制的一个概况，你可以从DC中收集这样的信息来判断复制是否已经发生。当复制发生时，DC之间的数据包就会相互传递，并且很多。

　　Replmon为收集所有来自你DC上复制相关的事件项目提供了一个来源。为了运行Replmon，单击“开始”*“运行”，并输入:

　　Replmon

　　这个程序打开时没有与任何服务器连接，你需要手工添加希望监视的服务器。一个快速添加服务器的方法是创建一个包含服务器列表的.ini文件，每一行一个名称。然后，从Replmon菜单条上单击“File”*“Script”，并找到你创建的.ini文件，单击“open”，Replmon会显示你的DC及DC所拥有的NC。在图2所示的例子中，我添加了testdc01这台服务器，在testdc01项目下面，你能够看到这个DC所拥有的三个NC。为查看你能够使用Replmon所实施的任务，如图2所示那样，右击服务器名称。你应该熟悉这里的各个你需要排除NC复制问题时能够提供在事件中的任务及信息。

　　图2

　　一个特别有用的Replmon特性是它具有快速收集与复制失败相关的目录服务项目的能力。为了从你收集的数据中打开一个分离的窗口，单击 Replmon菜单栏上的“Action”*“Domain”*“Search Domain Controllers for Replication Errors”，单击“Run Search”，Replmon提示你输入你希望进行搜索的域，输入DNS域名，然后单击“OK”，程序查询域的DC并且收集与复制失败相关的错误，显示这个产生错误事件的DC，受影响的目录分区或者NC，包括的复制伙伴及失败代码与原因。Replmon独立地查询每台DC而不是从一台DC上收集所有的目录信息。

　　域控制器诊断。Dcdiag.exe，你可以在Windows 2000 Server CD-ROM上发现这个命令行工具，它是一个强大的诊断工具，提供关于你运行这个程序的DC上的大量数据。Dcdiag可以诊断DC上的连接、复制、拓扑完整性、用户权限、定位器功能、站内健康状态、信任校验、文件复制服务(FRS)及关键服务器的状态。

　　如果你运行Dcdiag，会产生大量的信息供你进行详细审查。我推荐你使用这样的语法:

　　dcdiag > .txt

　　把输出结果重定向到一个文本文件中，然后你能够在记事本或者Microsoft Word中打开这个文本文件并且可以非常容易地浏览信息。当你在排除一个问题时，就可以检查文件中任何失败记录或者注意那些可能提供关于问题本质的线索记录。

　　Repadmin。Repadmin.exe是一个你可以在Windows 2000 Server CD-ROM中发现的命令行工具，可能是你复制百宝箱中的一把锤子。这个工具能够揭示出复制的内部工作过程，并帮助你排除和修复问题。查看Repadmin命令行选项，输入下面的命令:

　　Repadmin /?

　　Repadmin其中一个特别有用的就是显示一台DC的复制伙伴。输入下面的命令:

　　Repadmin /showreps

　　图3

　　图3显示了在一台被称为testdc01的DC上运行这个命令的结果，你可以看到testdc01有来自testdc02的架构、配置和testdomain.com三个NC的入站连接对象，图3同时显示了最近在6月3日不同时间发生的复制各个NC的尝试且这些尝试都是成功的。屏幕的下半部分显示了testdc01在它有目录数据复制时将发送复制通知的出站复制邻居。你也可以使用Repadmin查看关于一个AD中特定对象的详细信息，如你希望查看一个对象的本地USN及最近更新对象属性的来源，可以使用repadmin来显示对象的元数据:

类别：活动目录 | 评论(0) | 浏览()

Win2000中活动目录(ActiveDirectory)的备份与恢复

2008/01/16 16:07

原文地址：http://bbs.pcpro.com.cn/viewthread.php?tid=2963

　　在Windows2000中,备份与恢复Active Directory是一项非常重要的工作。在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可。但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同。

　　你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份。系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分。这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。

一.备份Active Directory数据

　　如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上。

　　如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份。详细过程如下:

　　1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具。
　　2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步。
　　3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d: akAD0322。bkf",下一步,完成备份向导。如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置。
　　4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间。备份完毕系统会生成备份报表。
　　5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放。因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存。

二.Active Directory的恢复

　　有两种办法可以恢复Active Directory。

　　第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。

　　另一种方法就是从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。

1.验证方式和非验证方式

　　从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore)。

　　通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。

　　验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。

2.非验证恢复Active Directory

　　要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态)。为恢复Active Directory,你必须使用server处于"目录服务恢复模式"。要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式"。

　　当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用。你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录)。登录成功后,你就可以进行恢复Active Directory的操作。

　　(1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup";
　　(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。
　　(3)选择合适的备份文件,完成数据恢复。重新启动机器即可。
　　(4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为Windows2000 tombstone lifetime(生命周期)的影响,除非你进行了设置。

3.验证方式恢复Active Directory

　　为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复。验证式恢复可以实现全部或部分Active Directory数据的恢复。

　　(1)使用非验证方式恢复Active Directory,重新启动机器。
　　(2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录。
　　(3)"开始"->"运行",输入"ntdsutil",启动命令行工具。
　　(4)恢复整个Active Directory数据库,使用下列命令:

　　authoritative restore
　　restore database

　　恢复部分Active Directory数据,使用下列命令:

　　authoritative restore
　　restore subtree ou=Brien,dc=files,dc=COM

　　红色部分要根据实际情况确定,比如你的域名字是mydom.net,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推。恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜,昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份。

　　最后使用quit命令退出,重新启动机器。

类别：活动目录 | 评论(0) | 浏览()

管理 Active Directory 所需的工具或技术

2008/01/10 08:32

所需技术	描述	位置
备份工具 4 x* ]) Q: \% d( i b1 {	执行备份和还原操作。它随 Windows Server 2003 自动安装。在 Windows Server 2003 中，备份工具为 Backup.exe。向导或基本模式称为“备份或还原向导”；在高级模式中称为“备份工具”。! a: U3 W" X) K5 O7 S	“开始”>“所有程序”>“附件”>“系统工具”>“备份” & h: i, \' e! s" s* o2 h或使用命令行打开“备份”工具： 6 @* e2 [' P$ G/ L8 j“开始”>“运行”。在“打开”框中，键入 ntbackup，然后单击“确定”。 : v' v; Q5 s t5 E' e* w
DNS 管理器- D4 k0 L# M, h	用于修改 DNS 参数。这些集中式管理和监控工具可于 DNS 服务的初始安装完成后在“管理工具”中找到，也可以通过 Adminpak.msi 找到。1 }* ~9 N% {' \|! n" Q	“开始”>“控制面板”>“管理工具”" F* @3 Z" [+ {1 ~ 或者使用命令行打开 DNS 管理器，并键入： ' u" u D% J* `' L _8 }%systemroot%\System32\ dnsmgmt.msc " m# \2 A0 [# F; \|4 `3 Y9 w
Active Directory 域和信任关系 Microsoft 管理控制台管理单元 ( F! _5 k7 Q: O5 D! \7 S, l, G8 {	用于修改 Active Directory 域和信任关系。这些集中式管理和监控工具可于 Active Directory 的初始安装完成后在“管理工具”中找到，也可以通过 Adminpak.msi 找到。 0 O) Z; g& u: u4 i5 d& Y, O	“开始”>“控制面板”>“管理工具” ! E* i/ M! O" S! S$ Y4 m2 V或使用命令行打开 MMC 管理单元，并键入：, \6 @# r8 E9 E& `% Y1 i %systemroot%\System32\ domain.msc' Z- s2 P4 B# s5 v- T/ V
Active Directory 安装向导" [9 A. H: n9 t9 U6 i	用于对域控制器进行提级或降级。 : d7 N* } a$ \	“开始”>“运行”>“dcpromo” 4 u9 R6 n1 K- O* b- I! _3 ?4 u0 ?
Active Directory 架构管理单元! D' \$ B3 e) Y: Z N6 D7 [	用于修改 Active Directory 架构。默认情况下，此工具不会出现在“管理工具”中。) b+ e2 N- a0 `; s) P	使用命令行打开 MMC 管理单元，并键入：5 K- Y. a* H3 S$ z %systemroot%\System32\ schmmgmt.msc 4 v* J: p8 A" t E: d, I; Y
Active Directory 站点和服务 MMC 管理单元/ Y$ x1 s: w6 V4 R" A	用于修改 Active Directory 站点和服务。此集中式管理和监控工具可于 Active Directory 的初始安装完成后在“管理工具”中找到，也可以通过 Adminpak.msi 找到。 , V0 G( Q* j, h	“开始”>“控制面板”>“管理工具”% q) T. H6 C; f b 或使用命令行打开 MMC 管理单元，并键入：! s8 N) [1 N2 M; ` %systemroot%\System32\ dssit.msc, x/ V2 F( ~# k; S8 _. [
Active Directory 用户和计算机 MMC 管理单元 8 {6 e" g9 n- \|+ c- F/ Y	用于修改 Active Directory 用户和计算机。这些集中式管理和监控工具可于 Active Directory 的初始安装完成后在“管理工具”中找到，也可以通过 Adminpak.msi 找到。) C# m7 g- x) _* m	“开始”>“控制面板”>“管理工具” - B+ P4 K+ `& A0 {或使用命令行打开 MMC 管理单元，并键入：- m; k* n% q( r/ s+ P2 g %systemroot%\System32\ dsa.msc , h7 d" j" ^/ b; j; L" L
Adsi 编辑 MMC 管理单元) U: U: x! o8 x5 E! x	用于编辑 Active Directory，以添加、删除或移动目录中的对象。此集中式管理和监控工具可于 Active Directory 的初始安装完成后在“管理工具”中找到，也可以通过 Adminpak.msi 找到。2 u8 b; c( d9 ?' f	使用命令行打开 MMC 管理单元，并键入： : Z& \|' E8 ]2 H5 i%systemroot%\System32\ adsiedit.msc : b$ z$ V& j2 u+ k( h; m, p
Dcdiag.exe 9 c7 S5 Z% X5 d7 o+ \|& n) p$ Q) @6 z	此命令行工具可分析林中或企业中的域控制器的状态，并报告所有问题以协助进行故障排除。 4 r! W+ t6 I7 Y; x: V	“开始”>“运行”>“dcdiag.exe” 9 ]. \# M& U! t. E* ?) v! D* T% Q( U
事件查看器 7 j. M) n. M3 n4 h' {( S; C! ?2 ?	提供系统和服务事件的事务响应查看日志。它随 Windows Server 2003 自动安装。8 B! G3 A% V9 n, m2 S2 i& s	“开始”>“控制面板”>“管理工具”>“事件查看器” 3 n9 A9 D, ~% z3 S3 ?& s8 i或使用命令行打开“事件查看器”：: G4 D! s, ?9 v9 A; G “开始”>“运行”。在“打开”框中，键入 eventvwr.msc，然后单击“确定”。 ) C* a' [3 i& e# _. ]! s+ Y
Ldp.exe' n. x. C) v+ J	用于针对任何兼容 LDAP 的目录（如 Active Directory）进行连接、绑定、搜索、修改、添加和删除。用于查看 Active Directory 中存储的对象及其元数据。 . \|* ^% }9 Y# \+ m4 [( Q	“开始”>“运行”。在“打开”框中，键入 ldp.exe，然后单击“确定”。 / I( b4 n% w s- q5 S
Net.exe- G+ ^- t" q* P4 u$ r8 z- N2 p$ L	一组用于多种任务的命令，如管理用户帐户和计算机帐户、发送消息以及管理共享资源。; ]/ ` R* `/ D. `; y A	“开始”>“运行”>“cmd”，在命令提示符下，键入 net 来查看选项 : p' F/ o+ a% i
Netdiag.exe6 H7 \% D" \|2 N) ~% a W	通过执行一系列测试来帮助隔离网络和连接问题，以确定网络客户端的状态。+ N$ \|# @8 P8 p6 P4 `9 B( ?( {	“开始”>“运行”>“cmd”，在命令提示符下，键入 netdiag /? 来查看选项- M" `' L) @9 `
Netdom.exe$ A% r) i; T5 H4 }$ N	使管理员可以从命令行管理 Windows 2000 和 Windows Server 2003 域和信任关系。9 G$ o6 y6 M3 N7 d4 S' j	“开始”>“运行”>“cmd”，在命令提示符下，键入 netdom /? 来查看选项 ( Y+ `7 L6 }4 a$ ~, R
Nltest.exe* x' t% p. Y N) Q( W7 M	帮助您获取域控制器列表、执行强制远程关机和查询信任关系的状态。+ ^5 p3 \; Q' l& t' N% Q- u" a	“开始”>“运行”>“cmd”，在命令提示符下，键入 nltest /? 来查看选项 `' B( T* ~* ? H
Ntdsutil.exe 8 q' L* L; {, R' j- Q5 F6 X	用于执行 Active Directory 的数据库维护、管理和控制单个主机操作，以及删除已从网络中删除但未正确卸载的域控制器遗留下来的元数据。 / w7 R+ T& _, _1 R5 u+ y6 F8 c5 r	“开始”>“运行”>“cmd”，在命令提示符下，键入 ntdsutil /? 来查看选项& R: F3 x# c z
注册表编辑器$ M9 O2 }6 M* G' U& s3 G	使您可以查看和更改注册表中的设置。! u, o/ U( e$ X7 z	“开始”>“运行”>“regedit”' P+ u( \, k9 p' x$ B$ ~
Repadmin.exe: n8 w j! d9 o& `$ t& ?) a	可帮助管理员诊断域控制器之间的复制问题的命令行工具。 3 n( W: f* [- ]! R7 E* O3 h	“开始”>“运行”>“cmd”，在命令提示符下，键入 repadmin /? 来查看选项0 O& X: a1 X w# \|1 ?# L
Secedit.exe * S. p- U4 l1 T! b	通过将当前配置与至少一个安全模板进行比较，来配置和分析系统安全。 & ]( u S! l/ \5 T* e& M	“开始”>“运行”>“cmd”，在命令提示符下，键入 secedit /? 来查看选项6 I# s4 f& P0 J3 o; u, M. {
服务管理单元 5 C: Q6 _0 `. o; V( j	使您可以启动、停止和重新启动 Windows 服务的 MMC 管理单元。+ D8 A& c5 {- S& c7 x7 g	“开始”>“运行”>“MMC”>“Services.msc” / Y/ v7 U: a2 @- V$ }
Ultrasound 9 i1 G" q/ ? B' S2 Z	使管理员可以监控文件复制服务 (FRS) 状况的工具。" f: \$ a+ L- T, c/ ~/ y1 j	有关 Ultrasound 工具的详细信息，请参阅 www.microsoft.com/homepage/ms.htm。0 `" z' {, d/ y% M( n
W32tm.exe 6 {/ w% [) `9 Y! H4 b	用于诊断与 Windows 时间有关的问题的工具。 : g- V0 {4 \. b: g4 S- H9 v	“开始”>“运行”>“cmd”，在命令提示符下，键入 w32tm /? 来查看选项 g# e5 ]* [" o1 g0 \|3 \|