ActiveDirectory产品操作指南第3章—详细的维护操作本页内容概述过程:备份ActiveDirectory过程:ActiveDirectory的非授权还原过程:ActiveDirectory对象的授权还原过程:通过重新安全恢复域控制器过程:为现有域安装域控制器过程:删除ActiveDirectory过程:重命名域控制器过程:管理ActiveDirectory数据库过程:管理SYSVOL过程:管理Windows时间服务任务:配置林的时间源任务:在计算机,而不是在PDC仿真器上配置可靠时间源任务:配置客户端以向特定时间源请求时间任务:优化轮询间隔任务:禁用Windows时间服务过程:管理信任过程:管理站点任务:添加新站点任务:将子网添加至网络任务:链接复制站点任务:更改站点链接属性任务:将域控制器移至不同的站点任务:删除站点过程:管理域控制器上的防病毒软件过程:添加全局编录过程:从域控制器中删除全局编录过程:确认站点中的全局编录服务器过程:移动操作主机角色步骤:减少PDC仿真器的工作量过程:传输角色持有者过程:占用操作主机角色过程:选择备用操作主机概述本章提供了有关维护ActiveDirectory所必须执行的过程的详细信息。这些过程是按照其所属的MOF象限来排列顺序,在每个象限中则遵照构成该象限的MOF服务管理功能(SMF)指南。这些象限是:•操作象限•支持象限•优化象限•更改象限操作象限系统管理SMF操作角色群每日返回页首过程:备份ActiveDirectory说明将ActiveDirectory作为Microsoft®Windows系统状态(彼此依赖的系统组件集合)的一部分进行备份。必须对所有的系统状态组件进行备份并存储在一起。域控制器上的系统状态组件包括:•系统启动(引导)文件。这是WindowsServer2003启动所必需的文件。•系统注册表。•组件服务的类别注册数据库。用于在分布式系统环境中编写组件软件的组件对象模型(COM)是二进制标准。•系统卷(SYSVOL)。对于必须在域内共享以用于公共访问的文件,SYSVOL为其提供了默认的ActiveDirectory位置。域控制器上的此SYSVOL文件夹包含:•网络登录共享文件夹。这些文件夹通常用于存放未运行Windows2003的网络客户端计算机的用户登录脚本和组策略对象(GPO)。•启用ActiveDirectory客户端的用户登录脚本。•Windows2003GPO。•文件系统交接点。•文件复制服务(FRS)临时目录和文件,这些文件要求可用并在域控制器之间同步。•ActiveDirectory,其中包括:•ActiveDirectory数据库(Ntds.dit)•检查点文件(Edb.chk)•事务日志,每个大小为10兆字节(MB),(Edb*.log)•保留的事务日志(Res1.log和Res2.log)如果使用集成ActiveDirectory的域名系统(DNS),请确保备份托管DNS的域控制器。如果不使用集成ActiveDirectory的DNS,则必须明确备份区域文件。但是,如果将系统磁盘与系统状态一同备份,则请将区域数据作为系统磁盘的一部分进行备份。如果在域控制器上安装了WindowsClustering或证书服务,也必须将其作为系统状态的一部分进行备份。本指南中未对这些组件进行详细论述。目的需要最新的、经过验证的和可靠备份的几个理由:•还原丢失或损坏的ActiveDirectory数据。使用授权还原过程,可将单个对象或成套对象从删除的状态还原。•恢复由于软件或硬件故障而不能正常引导的域控制器。•在出现全林范围内损坏的事件中执行林恢复。•通过介质操作执行安装。WindowsServer2003中的该项新功能,允许提升新的域控制器,并用本地源的当前信息对其进行填写,而不是必须等待潜在的非常缓慢的媒体(例如,56K的连接)的完整同步复制。指导方针尽管WindowsServer2003中的备份工具支持多种类型的备份(普通、复制、增量、差异和日常),但是支持ActiveDirectory并且可用的仅有普通备份,因为ActiveDirectory是作为系统状态的一部分来进行备份的。普通备份可在域控制器联机的同时创建整个系统状态的备份。如果没有使用集成ActiveDirectory的DNS区域,则除系统状态和/或系统磁盘之外,还应将包含备份中所有DNS区域文件的文件路径包括在内,以确保恢复成功。备份哪些域控制器可为每个ActiveDirectory域定义备份集,该备份集由要求成功还原域的物理域控制器组成。域备份集的集合确保可执行林还原操作。对于每个域,备份集至少拥有两台或多台域控制器,并且其中至少有一台域控制器是应用程序分区复制集的成员。备份集必须包括集中每台计算机的系统状态、系统磁盘备份以及全局编录。如果使用集成ActiveDirectory的DNS,则有助于备份至少一台DNS服务器。注意:备份仅能用于还原生成备份的域控制器。它不能用于还原不同的域控制器或在不同硬件上的该域控制器。何时备份ActiveDirectory备份集中的每台域控制器在墓碑生存时间内必须至少备份两次。默认情况下,墓碑生存时间为60天,因而可将备份集中每台域控制器的备份要求设为每30天进行一次。虽然每月备份操作足以满足成功进行灾难恢复的要求,但它们并不易于进行自最近一次备份以来新信息的恢复。因此在规划备份频率时,应将这些变化考虑在内。备份的频率由业务要求和技术要求来决定,并根据部署的需要进行调节。默认情况下,每隔30天机器帐户会更改一次密码。因此,域控制器也会每隔30天更改一次它的机器帐户密码。如果打算使用旧密码还原域控制器,可能会导致域控制器无法通过其伙伴进行复制。所以,为了将使用旧密码还原域控制器的影响降至最低,应在30天内执行一次以上的备份。除定期备份要求外,在下列时刻应立即执行备份:•更改了数据库[Ntds.dit]或日志文件的存储位置。•将域控制器从Windows2000Server升级至WindowsServer2003,或任何更进一步地操作系统升级。•新域控制器的媒体操作安装要求进行当前备份。•更改了墓碑生存时间。注意:来自Windows2000Server的备份不能用于还原运行WindowsServer2003的域控制器。ActiveDirectory通过不允许还原来保护其自身不会受到比墓碑生存时间更早的数据还原。因此,备份的生命周期与为企业设置的墓碑生存时间相等。任务:备份ActiveDirectory和相关组件步骤:备份系统状态可在以下网址找到该步骤。步骤:备份系统状态和系统磁盘可在以下网址找到该步骤。依赖性无必需的技术•备份•磁带驱动器或其他备份介质操作象限系统管理SMF操作角色群按照需要返回页首过程:ActiveDirectory的非授权还原说明非授权还原将域控制器返回至其备份时的状态,然后允许使用备份后出现的任何更改进行正常的复制以覆盖此状态。还原系统状态后,域控制器会查询其复制伙伴。复制伙伴将所有更改复制到还原的域控制器,以确保域控制器具有正确的和更新的ActiveDirectory数据库副本。目的非授权还原允许还原域控制器上的整个目录,而无须再次引入或更改自备份以来已修改过的对象。非授权还原的最常用于在灾难性或衰弱性硬件故障后进行整个域控制器的恢复。数据损坏时并不常用此非授权还原,除非是本地数据损坏且不能成功加载数据库。指导方针如果打算还原已删除的对象,则应参考授权还原的步骤。在单台域控制器上还原整个目录以处理数据损坏或硬件故障时,请使用非授权还原。可在为单机服务器、成员服务器或域控制器的WindowsServer2003系统上执行非授权还原。服务器必须是在目录服务还原模式下,方可执行非授权还原。任务:执行域控制器的非授权还原非授权还原是还原ActiveDirectory的默认方式。要执行非授权还原,必须能够在目录服务还原模式下启动域控制器。从备份介质还原域控制器后,复制伙伴会使用标准的复制协议来更新已还原的域控制器上的ActiveDirectory和相关信息。步骤1:在目录服务还原模式下重新启动域控制器注意:必须重新安装操作系统的情况下:还原此目录前,无须在目录服务还原模式下执行非授权还原。重新安装操作系统后,可在机器正常启动后执行还原。可在以下网址找到该步骤步骤2:从备份介质还原可在以下网址找到该步骤。步骤3:验证ActiveDirectory还原可在以下网址找到该步骤。任务:通过重新安装和之后从介质还原来还原域控制器如果无法在目录服务还原模式下重新启动域控制器,则可通过重新安装操作系统、之后从备份还原ActiveDirectory来还原该域控制器。为了还原操作成功,必须将WindowsServer2003重新安装到与先前相同的驱动器号,并且该驱动器至少具有相同量的物理驱动器空间。重新安装WindowsServer2003后,即可执行该系统状态和系统磁盘的非授权还原。步骤1:安装WindowsServer2003本指南不提供WindowsServer2003的安装说明。步骤2:从备份介质还原可在以下网址找到该步骤。步骤3:验证ActiveDirectory还原可在以下网址找到该步骤。依赖性还原该域控制器需要具备先前使用备份工具进行的备份。必需的技术备份操作象限系统管理SMF操作角色群按照需要返回页首过程:ActiveDirectory对象的授权还原说明授权还原过程将对象返回至其最近一次备份时的状态。该过程会将自最近的备份所作的更改清除。这与非授权还原不同。非受权还原依赖于复制伙伴引进当前数据,其中包括有关自该备份以来已删除的对象的信息。不应将授权还原作为更改控制基础结构的一部分来依赖。管理和更改实施的正确委派将会优化数据的一致性、完整性和安全性。目的授权还原常用于从该目录(例如:已删除的用户帐户)中恢复损坏或已删除的对象。不应将授权还原用于恢复整个域控制器。指导方针子树或叶对象的授权还原恢复了子树或叶,并将其标记为此目录的权威。这表示还原的对象将会被复制到其他域控制器中,并作为保持移动的数据。在对象已删除的情况下,此对象将会被恢复;在其他情况下,此对象将返回至其先前的状态。确保正在还原的信息成功恢复至关重要。组成员身份尤其敏感,授权还原期间后续步骤可能会对组成员产生巨大影响。如同非授权还原,从备份介质还原开始,然后执行以下附加步骤来完成授权还原。任务:执行一个或多个目录对象的授权还原注意:如果此已删除对象不包括组对象,则无需执行步骤3到10。此外,如