第3章域控制器

第第3 3章章 域控制器管理域控制器管理关于我关于我丰富实战经验的优秀网络工程师潜心多年笔耕不辍的资深作者先后规划和筹建多个校园网络，主持实施多个系统集成工程和综合布线工程，始终工作在网络教学和网络管理第一线。经过多年的摸爬滚打，积累了大量的网络建设和网络管理工作经验。作为网管，既掌握网络设备与服务器的安装、配置和故障排除技巧，又了解新技术的发展和新设备的性能；作为教师，既深深懂得教育和教学规律，又非常熟知学生和学习心理，并具有良好的语言表达能力。自1997年10月始，陆续在电脑报、中国电脑教育报、在线技术、玩电脑、微型计算机等电脑报刊上发表技术文章近200篇，并长期主持电脑报网络通信版的专家坐堂。近几年，先后在清华大学出版社、人民邮电出版社、电子工业出版社、科学出版社、重庆大学出版社等社，出版网络硬件安装与管理、网络服务器搭建与管理、网络综合布线标准教程等30余册图书。网站：http:/团队合作的又一呕心沥血之作本书既包含了作者在网络规划、建设、实施、验收和测试方面的多年心血，又得到了多位网络工程师的指导和帮助。本书对当前最新标准、最新技术做了总结和归纳，可以说本书包含了当前最新、最主流、最先进和最实用的设计思想、施工技术和验收经验等，是一本不可多得的好书。第第3章章 域控制器管理域控制器管理3 1域控制器管理规划域控制器管理规划域控制器管理规划域控制器管理规划3 23 3活动目录的备份与恢复活动目录的备份与恢复活动目录的备份与恢复活动目录的备份与恢复安装额外的域控制器安装额外的域控制器安装额外的域控制器安装额外的域控制器3 4提升域控制器级别和提升林功能级别提升域控制器级别和提升林功能级别提升域控制器级别和提升林功能级别提升域控制器级别和提升林功能级别3 5目录权限的委派目录权限的委派目录权限的委派目录权限的委派3 5拯救域控制器拯救域控制器拯救域控制器拯救域控制器3.1 域控制器管理规划域控制器管理规划 n n3.1.1 3.1.1 案例情景案例情景案例情景案例情景n n企业网络中采用了企业网络中采用了“域域”管理模式管理模式 ，并且设有额外域控制器和子域，并且设有额外域控制器和子域控制器。控制器。n n域控制器操作系统为域控制器操作系统为Windows Server 2008Windows Server 2008。n n3.1.2 3.1.2 项目需求项目需求项目需求项目需求 n n确保活动目录数据库的安全确保活动目录数据库的安全 n n域功能级别的调整域功能级别的调整 n n分担管理权限分担管理权限n n3.1.3 3.1.3 解决方案解决方案解决方案解决方案 n n使用使用Windows Server BackupWindows Server Backup备份活动目录数据库备份活动目录数据库 n n部署额外域控制器部署额外域控制器 n n委派控制权限委派控制权限3.2 活动目录的备份与恢复活动目录的备份与恢复 n n3.2.1 安装安装Windows Server Backup n n3.2.2 完整备份完整备份 n n3.2.2 自定义备份自定义备份 n n3.2.3 使用命令行备份使用命令行备份 n n3.2.4 定制备份计划定制备份计划 n n3.2.3 恢复目录数据库恢复目录数据库 3.2.1 安装安装Windows Server Backup 3.2.2 完整备份完整备份 完整备份完整备份完整备份完整备份3.2.2 自定义备份自定义备份 3.2.3 使用命令行备份使用命令行备份 显显示服示服示服示服务务器已器已器已器已经连经连接的磁接的磁接的磁接的磁盘盘 图图3-113-11运行运行运行运行备备份命令份命令份命令份命令使用命令行备份使用命令行备份图图3-123-12查查看看看看备备份信息份信息份信息份信息3.2.4 定制备份计划定制备份计划 n n1.使用向导定制备份计划使用向导定制备份计划 n nWindows Server 2008Windows Server 2008操作系统提供计划备份向操作系统提供计划备份向导，帮助管理员自动完成某些备份任务，实现导，帮助管理员自动完成某些备份任务，实现备份自动化。备份自动化。n n2.命令行计划备份命令行计划备份n nWbadminWbadmin命令行同样可以完成计划备份任务命令行同样可以完成计划备份任务 。1.使用向导定制备份计划使用向导定制备份计划 使用向导定制备份计划使用向导定制备份计划使用向导定制备份计划使用向导定制备份计划2.命令行计划备份命令行计划备份 图图3-223-22查查看磁看磁看磁看磁盘盘图图3-233-23创创建建建建备备份份份份计计划划划划命令行计划备份命令行计划备份图图3-243-24启用启用启用启用备备份份份份图图3-253-25启用启用启用启用备备份份份份计计划划划划3.2.3 恢复目录数据库恢复目录数据库 n n1.向导方式向导方式 n n2.命令行方式命令行方式 1.向导方式向导方式 向导方式向导方式向导方式向导方式2.命令行方式命令行方式 图图3-333-33查查看看看看备备份版本份版本份版本份版本标识标识图图3-343-34是否是否是否是否执执行系行系行系行系统统状状状状态态恢复恢复恢复恢复命令行方式命令行方式图图3-353-35恢复完恢复完恢复完恢复完毕毕图图3-363-36系系系系统统状状状状态态恢复成功恢复成功恢复成功恢复成功3.3 安装额外的域控制器安装额外的域控制器 n n3.3.1 将成员服务器升级到域控制器将成员服务器升级到域控制器 n n3.3.2 网络中工作站的配置网络中工作站的配置 3.3.1 将成员服务器升级到域控制器将成员服务器升级到域控制器 将成员服务器升级到域控制器将成员服务器升级到域控制器3.3.2 网络中工作站的配置网络中工作站的配置 图图3-433-43设设置置置置备备份份份份DNSDNS服服服服务务器器器器IPIP地址地址地址地址3.4 提升域控制器级别和提升林功能级别提升域控制器级别和提升林功能级别 n n3.4.1 3.4.1 提升域功能级别提升域功能级别提升域功能级别提升域功能级别 n n默认状态下，无论是默认状态下，无论是Windows Server 2003Windows Server 2003还是还是Windows Windows Server 2008Server 2008域的功能级别都是域的功能级别都是Windows 2000Windows 2000纯模式，这纯模式，这主要是为了兼容网络中早期版本的主要是为了兼容网络中早期版本的WindowsWindows用户。随着用户。随着网络中计算机系统的不断升级，可以根据需要提升域网络中计算机系统的不断升级，可以根据需要提升域控制器的功能级别，以获得更多的功能支持。控制器的功能级别，以获得更多的功能支持。n n3.4.2 3.4.2 提升林功能级别提升林功能级别提升林功能级别提升林功能级别 n n默认状态下，默认状态下，WindowsWindows目录林功能级别使用的是目录林功能级别使用的是Windows 2000Windows 2000模式，如果要提升到模式，如果要提升到Windows Server 2003Windows Server 2003或或Windows Server 2008Windows Server 2008林功能级别模式，必须先将网络林功能级别模式，必须先将网络的所有域控制器功能级别提升到的所有域控制器功能级别提升到Windows Server 2003Windows Server 2003或或Windows Server 2008Windows Server 2008。3.4.1 提升域功能级别提升域功能级别 注意注意注意注意 域功能级别提升是不可逆的，一旦提升到域功能级别提升是不可逆的，一旦提升到域功能级别提升是不可逆的，一旦提升到域功能级别提升是不可逆的，一旦提升到“WindowsServer2003”“WindowsServer2003”功能功能功能功能级别，将不能回退到级别，将不能回退到级别，将不能回退到级别，将不能回退到“Windows2000“Windows2000模式模式模式模式”功能级别。功能级别。功能级别。功能级别。3.4.2 提升林功能级别提升林功能级别 知识链接知识链接 n n1.域功能级别域功能级别 n nWindows 2000Windows 2000模式模式 n nWindows Server 2003 Windows Server 2003 n nWindows Server 2008 Windows Server 2008 n n2.林功能级别林功能级别 n nWindows 2000 Windows 2000 n nWindows Server 2003 Windows Server 2003 n nWindows Server 2008Windows Server 20083.5 目录权限的委派目录权限的委派 n n3.5.1 安全组权限委派安全组权限委派 n n3.5.2 用户权限委派向导用户权限委派向导 n n3.5.3 管理服务器测试管理服务器测试 3.5.1 安全组权限委派安全组权限委派 提示提示提示提示 如果打开的组属性对话框中，没有如果打开的组属性对话框中，没有如果打开的组属性对话框中，没有如果打开的组属性对话框中，没有“安全安全安全安全”选项卡，可以在选项卡，可以在选项卡，可以在选项卡，可以在“Active“ActiveDirectoryDirectory用户和计算机用户和计算机用户和计算机用户和计算机”窗口中，依次选择窗口中，依次选择窗口中，依次选择窗口中，依次选择“查看查看查看查看”“”“高级功能高级功能高级功能高级功能”选项使其显示选项使其显示选项使其显示选项使其显示 安全组权限委派安全组权限委派3.5.2 用户权限委派向导用户权限委派向导 用户权限委派向导用户权限委派向导3.5.3 管理服务器测试管理服务器测试 知识链接知识链接 n n1.权限委派权限委派 n n委派是委派是Active DirectoryActive Directory最重要的安全功能之一，最重要的安全功能之一，通过委派管理，可以为适当的用户和组指派一通过委派管理，可以为适当的用户和组指派一定范围的管理任务，定范围的管理任务，既可以分担管理员工作负既可以分担管理员工作负担，又可以增强网络安全性。通常可以将权限担，又可以增强网络安全性。通常可以将权限委派到以下对象：委派到以下对象：n n组织单位组织单位n n域域n n站点站点3.6 拯救域控制器拯救域控制器 n n3.6.1 3.6.1 服务器故障但仍然可用服务器故障但仍然可用服务器故障但仍然可用服务器故障但仍然可用n n当主域控制器上的域无法正常工作，但系统运行正常，并且仍可当主域控制器上的域无法正常工作，但系统运行正常，并且仍可以连接网络，此时可以将网络中的额外域控制器提升为新的主域以连接网络，此时可以将网络中的额外域控制器提升为新的主域控制器（此时原主域控制器将自动降级成额外的域控制器），最控制器（此时原主域控制器将自动降级成额外的域控制器），最后在故障服务器上运行后在故障服务器上运行dcpromodcpromo命令将其本身从命令将其本身从Active DirectoryActive Directory中中删除即可。删除即可。n n3.6.2 3.6.2 服务器彻底崩溃服务器彻底崩溃服务器彻底崩溃服务器彻底崩溃 n n如果主域控制器发生严重故障，无法正常使用，则上述方法也就如果主域控制器发生严重故障，无法正常使用，则上述方法也就不能解决问题。状态正常的额外域控制器，除无法提供创建对象不能解决问题。状态正常的额外域控制器，除无法提供创建对象服务外，其他功能基本正常。此时，只能强行将额外域控制器提服务外，其他功能基本正常。此时，只能强行将额外域控制器提升为新的主域控制器，重新安装故障主域控制器，并升级为新主升为新的主域控制器，重新安装故障主域控制器，并升级为新主域控制器的额外域控制器即可。域控制器的额外域控制器即可。3.6.1 服务器故障但仍然可用服务器故障但仍然可用 n n1.转移操作主机角色转移操作主机角色 n n转移转移“Active Directory“Active Directory用户和计算机用户和计算机”中的操作中的操作主机角色主机角色 n n转移转移“Active Directory“Active Directory域和信任关系域和信任关系”中的操作中的操作主机角色主机角色 n n转移转移“Active Directory“Active Directory架构架构”中的操作主机角色中的操作主机角色 n n2.提升额外域控制器为全局编录服务器提升额外域控制器为全局编录服务器 n n3.安装安装DNS集成区域集成区域 n n4.原主域控制器的恢复原主域控制器的恢复 1.转移操作主机角色转移操作主机角色n n转移转移“Active Directory用户和计算机用户和计算机”中的中的操作主机角色操作主机角色 转移操作主机角色转移操作主机角色转移操作主机角色转移操作主机角色注意注意注意注意“基础结构基础结构基础结构基础结构”角色的转移与当前额外域控制器是否同时担当角色的转移与当前额外域控制器是否同时担当角色的转移与当前额外域控制器是否同时担当角色的转移与当前额外域控制器是否同时担当“全局编录全局编录全局编录全局编录”角色有关，角色有关，角色有关，角色有关，如果是则将提示如果是则将提示如果是则将提示如果是则将提示“ActiveDirectory“ActiveDirectory域服务域服务域服务域服务”对话框。但此时如果可以确保额外域控制器对话框。但此时如果可以确保额外域控制器对话框。但此时如果可以确保额外域控制器对话框。但此时如果可以确保额外域控制器上上上上“全局编录全局编录全局编录全局编录”服务的可用性，也可以单击服务的可用性，也可以单击服务的可用性，也可以单击服务的可用性，也可以单击“是是是是”按钮强行转移。强行转移此角色并不会对按钮强行转移。强行转移此角色并不会对按钮强行转移。强行转移此角色并不会对按钮强行转移。强行转移此角色并不会对其他角色功能产生影响。其他角色功能产生影响。其他角色功能产生影响。其他角色功能产生影响。（2）转移）转移“Active Directory域和信任关系域和信任关系”中中的操作主机角色的操作主机角色（3 3）转移）转移）转移）转移“Active Directory“Active Directory架构架构架构架构”中的操作主机角色中的操作主机角色中的操作主机角色中的操作主机角色 转移转移转移转移“Active Directory“Active Directory架构架构架构架构”中的操作主机角色中的操作主机角色中的操作主机角色中的操作主机角色2.提升额外域控制器为全局编录服务器提升额外域控制器为全局编录服务器 注意注意注意注意 在在在在WindowsServer2003WindowsServer2003域控制器上默认没有安装该组件，管理员可域控制器上默认没有安装该组件，管理员可域控制器上默认没有安装该组件，管理员可域控制器上默认没有安装该组件，管理员可以从以从以从以从WindowsServer2003WindowsServer2003安装光盘的安装光盘的安装光盘的安装光盘的WindowsSupporttoolsWindowsSupporttools工具包中获工具包中获工具包中获工具包中获得得得得NTDSNTDS安装程序。安装程序。安装程序。安装程序。3.安装安装DNS集成区域集成区域 安装安装DNS集成区域集成区域安装安装DNS集成区域集成区域4.原主域控制器的恢复原主域控制器的恢复 n n原主域控制器的系统故障排除后，重新安原主域控制器的系统故障排除后，重新安装装Active Directory服务，并作为新主域控服务，并作为新主域控制器（主机名为：制器（主机名为：AD）的额）的额外域控制器，主机名称仍为外域控制器，主机名称仍为AD。为了不至于影响到原有。为了不至于影响到原有网络客户端的应用，应将其重新升级为主网络客户端的应用，应将其重新升级为主域控制器。域控制器。3.6.2 服务器彻底崩溃服务器彻底崩溃 n n1.占用操作主机角色占用操作主机角色 n n2.提升额外域控制器为全局编录服务器提升额外域控制器为全局编录服务器 n n3.安装安装DNS集成区域集成区域 注意注意注意注意 使用此方法重新安装域控制器后，建议不要使用使用此方法重新安装域控制器后，建议不要使用使用此方法重新安装域控制器后，建议不要使用使用此方法重新安装域控制器后，建议不要使用“占用占用占用占用”的方式再次抢夺操的方式再次抢夺操的方式再次抢夺操的方式再次抢夺操作主机角色，这种操作非常危险，建议普通用户不要随便使用。作主机角色，这种操作非常危险，建议普通用户不要随便使用。作主机角色，这种操作非常危险，建议普通用户不要随便使用。作主机角色，这种操作非常危险，建议普通用户不要随便使用。1.占用操作主机角色占用操作主机角色 n nroles 图图3-883-88转转入入入入fsmomaintenancefsmomaintenance提示符提示符提示符提示符占用操作主机角色占用操作主机角色n nconnect to server AD 图图3-893-89命令行命令行命令行命令行执执行行行行结结果果果果占用操作主机角色占用操作主机角色n nconnect to domain 图图3-903-90绑绑定主域控制器定主域控制器定主域控制器定主域控制器占用操作主机角色占用操作主机角色n nseize RID master 图图3-913-91“角色占用确角色占用确角色占用确角色占用确认对话认对话”对话对话框框框框占用操作主机角色占用操作主机角色n n单击单击“是是”按钮按钮图图3-923-92强强强强行占用行占用行占用行占用RIDRID主机角色主机角色主机角色主机角色占用操作主机角色占用操作主机角色n nseize PDC 图图3-933-93“角色占用确角色占用确角色占用确角色占用确认对话认对话”对话对话框框框框占用操作主机角色占用操作主机角色n n单击单击“是是”按钮按钮图图3-943-94强强强强行占用行占用行占用行占用PDCPDC角色角色角色角色占用操作主机角色占用操作主机角色n neize infrastructure master 图图3-953-95“角色占用确角色占用确角色占用确角色占用确认对话认对话”对话对话框框框框占用操作主机角色占用操作主机角色n n单击单击“是是”按钮按钮图图3-963-96强强强强行占用行占用行占用行占用结结构主机角色构主机角色构主机角色构主机角色占用操作主机角色占用操作主机角色n nseize naming master 图图3-973-97“角色占用确角色占用确角色占用确角色占用确认对话认对话”对话对话框框框框占用操作主机角色占用操作主机角色n n单击单击“是是”按钮按钮图图3-983-98强强强强行占用域命名主机脚色行占用域命名主机脚色行占用域命名主机脚色行占用域命名主机脚色占用操作主机角色占用操作主机角色n nseize schema master 图图3-993-99“角色占用确角色占用确角色占用确角色占用确认对话认对话”对话对话框框框框占用操作主机角色占用操作主机角色n n单击单击“是是”按钮按钮图图3-1003-100强强强强行占用行占用行占用行占用结结构主机角色构主机角色构主机角色构主机角色其他操作其他操作n n2.提升额外域控制器为全局编录服务器提升额外域控制器为全局编录服务器n n与与“服务器故障但仍然可用服务器故障但仍然可用”中的操作步骤完全中的操作步骤完全相同。相同。n n3.安装安装DNS集成区域集成区域n n与与“服务器故障但仍然可用服务器故障但仍然可用”中的操作步骤完全中的操作步骤完全相同。相同。知识链接知识链接 n n1.操作主机角色操作主机角色 n n域控制器的主机操作角色包括域控制器的主机操作角色包括5 5种：架构主机种：架构主机、域命名主机、域命名主机、PDCPDC仿真器、仿真器、RIDRID主机和基础架主机和基础架构主机。默认情况下，这些角色都是由主域控构主机。默认情况下，这些角色都是由主域控制器担任的，因此需要一一从故障主域控制器制器担任的，因此需要一一从故障主域控制器转移到额外域控制器。转移到额外域控制器。习习 题题n n1.简述恢复活动目录数据库时的注意事项。简述恢复活动目录数据库时的注意事项。n n2.活动目录权限的委派哪几种实现方式。活动目录权限的委派哪几种实现方式。n n3.Windows Server 2008域的默认林功能级域的默认林功能级别是什么，如何提升目录林的功能级别？别是什么，如何提升目录林的功能级别？n n4.什么是域控制器的操作主机角色？什么是域控制器的操作主机角色？实验：安装和配置额外域控制器实验：安装和配置额外域控制器n n实验目的实验目的实验目的实验目的n n了解额外域控制器的功能和作用，掌握如何部署一台额外域控制了解额外域控制器的功能和作用，掌握如何部署一台额外域控制了解额外域控制器的功能和作用，掌握如何部署一台额外域控制了解额外域控制器的功能和作用，掌握如何部署一台额外域控制器。器。器。器。n n实验内容实验内容实验内容实验内容n n为域为域为域为域部署一台额外域控制器，并通过客户端登录域验证配部署一台额外域控制器，并通过客户端登录域验证配部署一台额外域控制器，并通过客户端登录域验证配部署一台额外域控制器，并通过客户端登录域验证配置结果。置结果。置结果。置结果。n n实验步骤实验步骤实验步骤实验步骤n n1.1.测试实验计算机到域控制器的网络连通性。测试实验计算机到域控制器的网络连通性。测试实验计算机到域控制器的网络连通性。测试实验计算机到域控制器的网络连通性。n n2.2.获取域获取域获取域获取域的管理员凭据。的管理员凭据。的管理员凭据。的管理员凭据。n n3.3.在实验计算机上运行在实验计算机上运行在实验计算机上运行在实验计算机上运行dcpromo.exedcpromo.exe命令，启动域控制器部署向导。命令，启动域控制器部署向导。命令，启动域控制器部署向导。命令，启动域控制器部署向导。n n4.4.使用获取的管理员账户和密码，创建使用获取的管理员账户和密码，创建使用获取的管理员账户和密码，创建使用获取的管理员账户和密码，创建域控制器的额外域域控制器的额外域域控制器的额外域域控制器的额外域控制器。控制器。控制器。控制器。n n5.5.将用于实验的客户端计算机将用于实验的客户端计算机将用于实验的客户端计算机将用于实验的客户端计算机DNSDNS地址指向部署成功的额外域控地址指向部署成功的额外域控地址指向部署成功的额外域控地址指向部署成功的额外域控制器，尝试登录到制器，尝试登录到制器，尝试登录到制器，尝试登录到。n n6.6.查看额外域控制器和主域控制器之间是否能够进行数据同步。查看额外域控制器和主域控制器之间是否能够进行数据同步。查看额外域控制器和主域控制器之间是否能够进行数据同步。查看额外域控制器和主域控制器之间是否能够进行数据同步。结束语结束语谢谢大家聆听！谢谢大家聆听！71