维护活动目录维护活动目录议程:维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。
不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。
系统状态组件组件描述活动目录活动目录信息,只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下:# 须具有备份权限。
默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。
# 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。
# 在DC联机时执行活动目录备份。
3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复(1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。
在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。
(2)修改目录服务还原模式的administrator密码进入目录服务还原模式后,只有administrator帐号才可以登录。
此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。
而不是正常登录时的密码。
这个密码如果忘记怎么办?2003平台支持对该密码的修改,在2000中就回天无力了DEMO1:如何修改目录服务还原模式下的密码:三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动目录的复制,进行数据更新。
当要把一台DC恢复到备份之前的正常状态时执行常规恢复。
常规恢复也称为非授权恢复。
常规恢复一般用于恢复由于硬件失败而造成的活动目录损坏。
2、授权恢复授权恢复要在常规恢复之后进行,其作用是在活动目录中利用多个DC恢复域中的单个活动目录对象。
授权恢复用于恢复一个因错误地删除了某个对象而造成的活动目录损坏,但授权恢复不能用于恢复架构的更改。
在执行授权恢复时需要标注一个对象为授权,这时它在活动目录中拥有最高的版本号。
版本号是从1开始,随着活动目录数据库的更新而增长。
默认的情况下标注为授权的对象版本号,在备份发生时间到恢复发生时间之间每天增长100000。
利用增长版本号可以确保该对象与其它DC上的记录进行复制时,授权对象可以取代备份后任何更新的值。
demo(1)常规恢复当前域dc及其额外dc与主恢复不同,由于域中还有其它DC,执行常规恢复后需要与其它DC进行同步。
(2)执行授权恢复域信任关系基本概念域是安全边界,若无信任关系,域用户帐户只能在本域内使用。
信任关系在两个域之间架起了一座桥梁,使得域用户帐户可以跨域使用。
确切地说就是:信任关系使一个域地DC 可以验证其他域的用户,这种身份验证需要信任路径。
例如:A 域与B 域没有信任关系,A 域上的员工使用自己在A 域的帐户,将不能访问B 域上的资源。
一.什么是信任, 为什么要在域之间建立信任关系?总之,两个域之间只有建立适当的信任关系后才可以实现互相访问,这就像两个国家之间要进行友好往来需要建立外交关系一样。
二.信任的方向信任是有方向的,信任的方向决定了资源访问的方向。
例如,如果a 域信任b 域,那么b 域中的用户就可以访问a 域中的资源。
在window server 2003中默认建立的信任关系都是双向的,手工建立的则可以根据访问需要建立单项或双向的信任关系。
有一个信任关系:A 域信任B 域,其中A 域是信任域,B 域是受信任域,这个信任关系指明B 域是受A 域信任的域,即B 域的用户帐户可以访问A 域的资源(在拥有相应权限的前提下)。
从这里我们可以看出,信任关系具有方向性,这个信任关系是单向信任,B 域的用户可以访问A 域的资源,但A 域的用户还不能访问B 域的资源。
还有一种信任关系:A 域和B 域之间的双向信任(A 域信任B 域,且B 域信任A 域),在这种信任关系下,A 域和B 域的用户帐户都能访问对方域的资源,因为这两个域都得到了对方域的信任。
所有信任关系中只能有两个域:信任域和受信任域。
信任根据它的传递性可以分为可传递的和不可传递的。
如果A 域和B 域之间的信任是可传递的,B 域和C 域之间的信任也是可传递的,那么A 域和C 域之间就自动创建了信任关系。
如果A 域和B 域之间的信任是不可传递的,或者B 域和C 域之间的信任是不可传递的,那么A 域和C 域之间不会自动创建了信任关系。
三.信任的传递性四、信任的工作方式目录林中的两棵树之间及每棵树的父域之间都存在双向的信任关系。
如果B 域中的用户要访问Y 域中的资源,用户所在的客户端计算机会先联系B 域的DC 进行资源访问验证,因为要访问的资源不在本域,所以验证的请求会沿着信任的路径传递到资源所在的Y 域,并最终进行资源的访问。
五.信任的类型:默认信任是系统自动建立的信任关系,不需要我们通过配置建立信任。
默认信任有以下几种:父子信任:在森林中,父子域之间存在的信任关系,称为父子信任,在默认情况下,当现有域树中添加新的子域时,将自动建立父子信任关系。
这种信任是双向的可传递的信任关系。
(1)域间(树根)信任关系:在森林中两棵树之间存在的信任关系,称为域间信任关系,在一个森林中建立第二棵树的时候将自动创建一新的树根信任关系。
这个信任是双向的可传递的。
(2)1.默认信任快捷信任:在同一个森里的两棵树中的两个子树,默认的信任关系是通过信任关系的传递完成的信任,例如, 信任, 信任(1)以下几种信任关系不是系统自动创建的,需要我们手动创建,把它们归为“其他信任”。
2.其他信任域信任关系关系的传递完成的信任,例如, 信任, 信任,则 信任 ,但是这个信任是的路径很长,在访问的时候,造成网络流量的增加和访问速度的变慢,访问效率低下。
我们可以建立 和 之间的快捷信任,来提高访问效率。
外部信任:构建在两个不同的森林或者两个不同的域(一个是windows2000域,一个是windows2003域)之间的信任关系。
这种信任是双向或单向的,不可传递的信任关系。
(2)森林信任:如果在windows server 2003功能级别,可以在两个森林之间创建一个森林信任关系。
这个信任是单向或双向的,可传递的信任关系。
(3)注意:快捷信任是构建在同一个森林的信任关系下的。
这种信任是双向或单向的,可传递的信任关系。
注意:森林信任只能在两个林的根域上建立。
(4)领域信任:不同系统之间创建和使用信任# 验证默认建立的信任关系注:由于信任是双向的,所以可以按方向验证信任关系。
选中“否,不验证传入信任”单选按钮将只验证传出信任;默认建立的信任关系无法删除;# 使用“ad 域和信任”工具创建信任demo1:创建快捷信任单向内传:即传入信任,建立信任后该域的用户可以访问目标域的资源,信任关系将出现在“信任”选项卡的“内向信任”栏中单向外传:即传出信任,建立信任后目标域的用户可以访问本域的资源,信任关系将出现在“信任”选项卡的“外向信任”栏中注意:创建单项信任时,必须在两个域上都创建信任后才可以使用,如在一个域中建立单向内传信任,在另一个域中就要建立单向外传信任。
#创建外部信任#创建林信任实验环境: 和 两个域分别是两个森林的根域,它们不能自动建立信任关系,所以为了能使它们的用户能访问对方域,我们需要手动建立信任关系。
准备工作:1 建立两个域, 和 (实验中的域名使用自己的域名,避免冲突)2 DNS 解析正确。
实验步骤:第一步:在 的域控制器上,打开“Active Directory 域和信任关系”管理器,右击” ”,点击“属性”。
第二步:在 属性对话框中选择“信任”标签页,点击“新建信任”按钮。
进入“新建信任向导”。
第三步:在“名称”下输入你要与之建立信任关系的域的名称。
按“下一步”实验第四步:选择你需要建立的信任的方向性,这里可以选择“双向”。
按“下一步”。
第五步:输入对方域的管理员用户和密码。
按下一步。
第六步:选择身份验证的范围,一般可以选“全域性身份验证”。
按下一步。
第六步:选择身份验证的范围,一般可以选“全域性身份验证”。
按下一步。
第七步:确认要建立的信任,按下一步。
第八步:系统提示成功创建信任关系,按下一步。
第九步:确认在对方域建立信任关系,选择“是”,按下一步。
第十步:确认在对方域建立信任关系,选择“是”,按下一步。
第十一步:完成向导。
第十一步:完成向导。