1 / 36

第 12 章 域与活动目录

第 12 章 域与活动目录. 本章重点 ◆ 活动目录概述 ◆ 活动目录的安装、域控制器管理 ◆ 活动目录管理工具: Active Directory 用户和计算机、域和信任关系、站点和服务 ◆ 备份与恢复活动目录. 第 12 章 域与活动目录. 目 录. 12.1 活动目录概述 12.2 安装活动目录 12.3 域控制器管理 12.4 活动目录管理工具 12.5 备份与恢复活动目录 ◆ 综合实训 12: 活动目录. 12.1 活动目录概述. 12.1.1 什么是活动目录.

bazyli
Download Presentation

第 12 章 域与活动目录

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第12章 域与活动目录 本章重点 ◆活动目录概述 ◆活动目录的安装、域控制器管理 ◆活动目录管理工具:Active Directory用户和计算机、域和信任关系、站点和服务 ◆备份与恢复活动目录

  2. 第12章 域与活动目录 目 录 12.1活动目录概述 12.2 安装活动目录 12.3 域控制器管理 12.4 活动目录管理工具 12.5 备份与恢复活动目录 ◆综合实训12: 活动目录

  3. 12.1活动目录概述 12.1.1 什么是活动目录 活动目录(Active Directory,AD)是Windows Server 2003的目录服务,它存储着网络上各种对象(如用户、组、计算机、共享资源、打印机和联系人等)的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。通过活动目录服务,管理员可以实现整个网络的集中管理。 活动目录的服务通过将对网络中的各种资源的信息保存到一个数据库中,来为网络中的用户和管理员提供对这些资源的访问、管理和控制,这个数据库叫活动目录数据库。 域(Domain)是Windows Server 2003目录服务的基本管理单位,域模式的最大好处就是它的单一网络登录能力,任何用户只要在域中有一个帐户,就可以漫游网络。域目录树中的每一个节点都有自己的安全边界,这种层次结构既保证了安全性,又做到细致兼备。 组织单元(Organizational Unit,OU):活动目录服务把域详细划分成组织单元,组织单元是一个逻辑单位,是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。

  4. 12.1活动目录概述 12.1.1 什么是活动目录 域树:由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。 域林:是指由一个或多个没有形成连续名字空间的域树组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。 站点:是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。 域控制器:是使用活动目录安装向导配置的Windows Server 2003的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。

  5. 12.1活动目录概述 12.1.2 Windows Server 2003活动目录的特性 Windows Server 2003活动目录是一个完全可扩展、可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要,充分体现了微软产品集成性、深入性和易用性等优点。 1.集成性 Windows Server 2003活动目录的集成性主要是指它结合了三个方面的管理内容:用户和资源管理、基于目录的网络服务和基于网络的应用管理。 2.深入性 Windows Server 2003活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。活动目录的伸缩性是通过为每个域创建一个目录存储的方法来获得的。 3.易用性 Windows Server 2003活动目录主要体现在其简易的安装和管理上。

  6. 12.1活动目录概述 12.1.3 活动目录的体系结构 活动目录包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件及打印机等资源。目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证快速访问和容错。 活动目录具有层次化结构,由组织单元、域、域树、域林构成层次结构。活动目录为每个域建立一个目录数据库的副本,用于存储域的对象。 域是活动目录的核心单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。在域中,所有的域控制器都是平等的,活动目录以多主复制模型在域控制器间实现目录复制。一个域可以是其他域的子域或父域构成域树,域树实现连续的域名空间,域树上的域共享相同的域名系统的域名后缀。域树的第一域是该域树的根,域树中的每一个域共享共同的配置、模式对象、全局目录。 Windows Server 2003活动目录设计为“全局编录”,“全局编录”让用户即使在不知道对象是位于哪一个域内的情况下,仍然可以快速地找到所需的对象。

  7. 12.1活动目录概述 12.1.4活动目录的等级 Windows Server 2003新增加一个称为“域或林功能”的特性,它分为不同的级别,每一个级别有不同的功能。 Windows Server 2003的“域功能”设置只会影响本域,不会影响其他域,域功能分为三个级别: ▲Windows 2000混合模式:这个级别内的域控制器可以是Windows Server 2003,Windows 2000 Server与Windows NT4.0 Server,这是默认值。 ▲Windows 2000原始模式:这个级别内的域控制器可以是Windows Server 2003,Windows 2000 Server。 ▲Windows Server 2003:这个级别内的域控制器只能是Windows Server 2003。 Windows Server 2003的“林功能”也分为Windows 2000、Windows Server 2003过渡版及Windows Server 2003三个级别。

  8. 12.2 安装活动目录 12.2.1 安装活动目录前的准备 活动目录(AD)是Windows Server 2003非常关键的服务,它不是孤立的,而是与许多协议和服务有着非常紧密的关系,并涉及到整个操作系统的结构和安全。因为安装AD前必须完成一系列的策划和准备。 1.文件系统与网络协议:计算机必须安装Windows Server 2003操作系统;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹,最小250M的可用磁盘空间;计算机须安装网卡并连入网络,运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS),并有一个静态的IP地址。 2.规划域结构:活动目录可包含一个或多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。选择根域最为关键,推荐使用一个已经注册的DNS域名的子域名作为活动目录的根域名。 3.域名策划:目录域名通常是该域的完整DNS名称,同时为了确保向下兼容,每个域还应有一个与以前版本兼容的名字(NetBIOS名字)。 4. 记录相关参数:在将Windows Server 2003的计算机升级到活动目录服务器时,应当先记录计算机的相关参数。

  9. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 活动目录并不是Windows Server 2003系统默认安装的组件,所以安装好操作系统后,需要手工安装活动目录,利用【Active Directory安装向导】可以轻松完成过程。操作步骤如下: (1)单击【开始】|【管理工具】|【管理您的服务器】命令,打开【管理您的服务器】窗口,单击【添加或删除角色】超链接,运行【配置您的服务器向导】(或运行dcpromo.exe命令),打开【预备步骤】页,单击【下一步】按钮。系统需要先检测所有的设备、操作系统,并搜索网络连接,搜索完成后显示【配置选项】对话框中,选择【自定义配置】选项,单击【下一步】按钮。

  10. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 (2)打开【服务器角色】页,选择【域控制器(Active Directory)】选项,单击【下一步】按钮,打开【选择总结】页。单击【下一步】按钮,将打开【Active Directory安装向导】对话框,利用此安装向导可在此服务器上安装活动目录服务,单击【下一步】按钮。 (3)显示【操作系统兼容性】页,对安装过程做简单说明。单击【下一步】按钮,打开【域控制器类型】页,需要选择服务器要担任的角色,由于用户所建立的是域中的第一台域控制器所以选择【新域的域控制器】单选按钮,单击【下一步】按钮。

  11. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 (4)打开【创建一个新域】页,选择【在新林中的域】单选按钮,单击【下一步】按钮。打开【新的域名】页,在【新域的DNS全名】框中输入需要创建的域名,如jsjjs.com,单击【下一步】按钮。

  12. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 (5)打开【NetBIOS名】页,更改NetBIOS名称,运行非Windows操作系统客户端将使用NetBIOS域名。可保持默认设置,单击【下一步】按钮。 (6)打开【数据库和日志文件文件夹】页,将显示数据库、日志文件的保存位置,一般不作修改,单击【下一步】按钮。

  13. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 (7)打开【共享的系统卷】页,指定作为系统卷共享的Sysvol文件夹。Sysvol文件夹存放域的公用文件的服务器副本。一般不作修改,单击【下一步】按钮。 (8)打开【DNS注册诊断】页,如果在安装活动目录之前未配置DNS服务器,可在此让安装向导配置DNS,推荐使用这种方法,单击【下一步】按钮。

  14. 12.2 安装活动目录 12.2.2 使用向导安装活动目录 (9)打开在【权限】页,为用户和组选择默认权限,考虑到现在大多数网络环境中仍然需要使用Windows Server 2003以前的操作系统,所以选择【与Windows 2000之前的服务器操作系统兼容的权限】选项,如单击【下一步】按钮。 (10)在【目录服务恢复模式的管理员密码】对话框中输入以目录恢复模式下的管理员密码,单击【下一步】按钮。安装向导将显示安装摘要信息。单击【下一步】按钮即可开始安装,安装完成之后,重新启动计算机即可。

  15. 12.3 域控制器管理 12.3.1 设置域控制器属性 域(Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限地域扩展。 在活动目录中,目录存储只有一种形式,即域控制器(Domain Controller),包括了完整的域目录的信息。因此,每一个域中必须有一个域控制器,否则域也就不存在了。Windows Server 2003的所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术。对于管理员来说,域控制器管理是最重要的工作。 在单域网络中,域控制器是网络正常运作中心,所起到的网络控制作用是非常重要的。因此,用户必须根据网络运行情况合理地设置域控制器的属性。管理员通过设置域控制器属性,不但可以确定域控制器的位置、操作系统和常规属性,而且还可设置域控制器的组和管理员。要设置域控制器属性的操作步骤如下:

  16. 12.3 域控制器管理 12.3.1 设置域控制器属性 (1)在【Active Directory用户与计算机】窗口中,展开域节点,再单击Domain Computers子节点,使详细资料窗格中域控制器列出相关内容。 (2)在详细资料窗格中,右击要设置属性的域控制器,从快捷菜单中选择【属性】命令,打开域控制器的【属性】对话框。 (3)在【常规】选项卡中,在【描述】文本框中输入对域控制器的一般描述;如果不希望域控制器的可受信任用来作为委派,可禁用【计算机可受信任用来作为委派】复选框。

  17. 12.3 域控制器管理 12.3.1 设置域控制器属性 (4)单击【操作系统】标签,打开【操作系统】选项卡;在该选项卡中,显示出操作系统的名称、版本,管理员只能查看并不能修改这些内容。 (5)单击【隶属于】标签,打开【隶属于】选项卡,要添加组,单击【添加】按钮,打开【选择组】对话框,为域控制器选择一个要添加的组;要删除某个已经添加的组,在【成员属于】列表框选择该组,单击【删除】按钮即可。 (6)当管理员为域控制器添加多个组时,还可为域控制器设置一个主要组。要设置主要组,在【成员属于】列表框中选择要设置的主要组,一般为Domain Controllers,也可为Cert Publishers,然后单击【设置主要组】按钮即可。

  18. 12.3 域控制器管理 12.3.1 设置域控制器属性 (7)单击【位置】标签,打开【位置】选项卡,在【位置】文本框中输入域控制器的位置;或者单击【浏览】按钮选择路径。 (8)单击【管理者】标签,打开【管理者】选项卡,要更改域控制器的管理员,可单击【更改】按钮,打开【选择用户或联系人】对话框,选择新的管理人即可。 要删除管理人,可单击【清除】按钮;要查看和修改管理人属性,可单击【查看】按钮。 (9)域控制器设置完毕,单击【确定】按钮保存设置。

  19. 12.3 域控制器管理 12.3.2 查找域控制器目录内容 在Windows Server 2003中,活动目录实际上是一个网络清单,包括网络中的域、域控制器、用户、计算机、联系人、组、组织单元及网络资源等各个方面的信息,使管理员对这些内容的查找更加方便,查找目录内容的操作步骤如下: (1)在【Active Directory用户和计算机】控制台窗口的目录树中右击域节点,从快捷菜单中选择【查找】命令,打开【查找用户联系人及组】对话框。 (2)在【查找】下拉列表框中选择要查找的目录内容,包括用户联系人及组、计算机、打印机、共享文件夹、组织单元、自定义搜索和路由器等。例如选择【计算机】。

  20. 12.3 域控制器管理 12.3.2 查找域控制器目录内容 (3)在【范围】下拉列表框中选择查找范围,如整个目录。在【计算机名】文本框中输入要查找的计算机名,在【所有者】文本框中输入计算机的用户名;在【作用】下拉列表框中选择计算机在网络中作用。 (4)单击【高级】选项卡,设置高级查找条件,单击【字段】按钮,在【条件】下拉列表框和【值】文本框中设置查询条件。 (5)高级条件设置好之后,单击【添加】按钮,将条件添加到下面的文本框中,可重复添加高级条件设置。 (6)所有查找条件设置完毕,单击【开始查找】按钮开始查找,将查找结果列出,查找完毕,单击关闭按钮关闭窗口。

  21. 12.3 域控制器管理 12.3.3 连接到其他域 在一个多域的网络中,用户经常需要将当前域连接到其他域,这样可使当前域中的用户和计算机能访问其他域中的资源,也可将当前域控制器的部分操作主机功能传送给其他域控制器,甚至可将当前域控制器更改为其他域中的域控制器。 要连接到网络中其他域,在控制台目录树中,右击【Active Directory用户和计算机】根结点,从弹出的快捷菜单中选择【连接到域】命令,打开【连接到域】对话框,在【域】文本框中输入要连接的域名;或者单击【浏览】按钮,打开【浏览域】对话框,选择要连接的域。单击【确定】按钮即可建立连接。

  22. 12.3 域控制器管理 12.3.4 更改域控制器 控制器出现故障的可能,导致域网络不能正常运行时,管理员的用户必须更改域控制器,以保证网络的正常运作。在Windows Server 2003中,由于不再区分主域控制器和辅助域控制器,域控制器的更改变得更加简单,用户只须建立当前域与其他任何可写的域控制器的连接即可。 要更改域控制器,在控制台目录树中,右击【ActiveDirectory用户和计算机】根站点,从弹出的快捷菜单中选择【连接到域控制器】命令,打开【连接到域控制器】对话框,然后在【输入另一个域控制器的名称】文本框中输入要连接的域控制器;或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器,可选择【任何可写的域控制器】选项,系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后,单击【确定】按钮完成连接。

  23. 12.4 活动目录管理工具 为了更好地帮助用户使用活动目录提供的各项功能,可以使用【管理工具】提供的活动目录工具对其进行管理。主要有: ▲Active Directory用户和计算机:专门用来设置或管理域用户、组。 ▲Active Directory域和信任关系:专门用来设置或管理域信任关系。 ▲Active Directory站点和服务:专门用来设置或管理网站。 12.4.1 Active Directory域和信任关系 为了保证不同域之间能够进行正确的信息传输,网络管理员要在不同的域之间建立信任关系。Windows Server 2003提供了【Active Directory域和信任关系】管理工具可以帮助管理员完成不同的域之间信任关系的设置。 1.提升域功能级别 Windows Server 2003提供有四个域功能级别,默认情况下域为Windows 2000混合模式,可以根据实际需要提升域功能级别,具体操作步骤如下: (1)选择【开始】|【程序】|【管理工具】|【Active Directory域和信任关系】命令,打开【Active Directory域和信任关系】控制台窗口。

  24. 12.4 活动目录管理工具 (2)在控制台树中,右击要提升功能的域,在弹出的菜单中选择【提升域功能级别】命令,打开【提升域功能级别】对话框。 (3)在【选择一个可用的域功能级别】下拉列表中,选择【Windows 2000纯模式】或【Windows Server 2003】选项,单击【提升】按钮,可提升域功能。 2.配置信任关系 Windows Server 2003中所有域控制器都是平等的,域与域之间有一定的信任关系,信任关系使得一个域的用户可由另一个域中的域控制器进行验证,才能使一个域中的用户访问另一个域中资源。域的信任关系强只有两种域:信任关系域和被信任关系域。信任关系就是域A信任域B,域B中的用户可以通过域A的域控制器进行身份验证后可以访问域A的资源。信任与被信任关系可以是单向的,也可以是双向的。

  25. 12.4 活动目录管理工具 实训案例: 假设xxjs.com域要使用hbtvc.com域的资源,那么xxjs.com域就是受信任域,hbtvc.com域则是信任域,建立hbtvc.com域到xxjs.com域的单向信任关系。 1:首先在hbtvc.com域的设置 (1)以系统管理员身份登录hbtvc.com域的域控制器。 (2)单击【开始】|【程序】|【管理工具】|【Active Directory域和信任关系】,打开【Active Directory域和信任关系】窗口。 (3)在控制台树中,右击要建立信任关系的域名hbtvc.com,在弹出的菜单中选择【属性】命令,打开【属性】对话框,单击【信任】标签,打开【信任】选项卡,在此设置【受此域信任的域】项。

  26. 12.4 活动目录管理工具 (4)单击【新建信任】按钮,打开【新建信任向导】对话框,单击【下一步】按钮,在打开的【信任名称】页中输入另一个域的名称(xxjs.com)或NetBIOS名称(xxjs)。 (5)单击【下一步】按钮,在打开的【信任类型】页中选择【领域信任】单选按钮。 (6)单击【下一步】按钮,在打开的【信任的传递性】页中选择【可传递】单选按钮。

  27. 12.4 活动目录管理工具 (7)单击【下一步】按钮,打开【信任方向】页,单击【单向:外传】单选按钮。 (8)单击【下一步】按钮,打开【信任密码】页中输入对方的信任密码,单击【下一步】按钮,打开【选择信任完毕】页,单击【下一步】按钮,打开【正在完成新建信任向导】页,单击【完成】按钮,完成hbtvc.com域的设置,将在【受此域信任的域】列表中,出现对方的域名。 2)然后在xxjs.com域的设置 以系统管理员身份登录xxjs.com域的域控制器,按hbtvc.com域的设置方法,只是在步骤(7)中的【信任方向】改为【单向:内传】即可。

  28. 12.4 活动目录管理工具 12.4.2 Active Directory站点和服务 使用【Active Directory站点和服务】的功能,通过站点发布到Active Directory中,就可以让Active Directory充分提供有关网络物理结构的信息,用于判断如何更有效地复制目录信息和处理服务请求。 1.创建站点的优点 ▲加速登录身份验证的效率; ▲平衡更新目录信息和网络带宽限制; ▲让Active Directory的服务更加优化。 2.站点和Active Directory的关系 可以将站点看成是至少拥有一个IP地址的一组计算机,这组计算机成为一个子网,站点与活动目录的关系: ▲网络的物理结构与其域结构之间没有必要的相关性; ▲活动目录允许单个域中有多个站点,单个站点中存在多个域; ▲站点和域名称空间之间没有必要的连接。

  29. 12.4 活动目录管理工具 12.4.2 Active Directory站点和服务 3.何时创建站点 当局域网结构为单个局域网,且规划目录复制时通常整个局域网可以作为单个站点。 希望某个特定的用户登录到特定的域控制器时,只要定义域控制器与该用户在相同的站点中即可。 当域控制器的反应慢,局域网配置的跨越地理范围较大时,创建多个站点。 当所有域控制器间的复制必须同时进行时,最好将所有的域控制器指派到相同的站点,反之创建多个站点。 当服务器和工作站之间的连接情况良好,就可以建立站点,并在每个站点中建立【桥头服务器】以提供负载平衡。

  30. 12.4 活动目录管理工具 12.4.2 Active Directory站点和服务 4.设置站点 (1)新建站点:单击【开始】|【程序】|【管理工具】|【Active Directory站点和服务】命令,打开【Active Directory站点和服务】窗口。右击Sites文件夹,在快捷菜单中单击【新建】|【站点】命令,在【新建对象-站点】对话框中,在【名称】中输入站点名,单击【确定】按钮。 (2)设置站点的部分选项:在控制台树中,右击新建的站点,在快捷菜单中单击【属性】命令,打开【属性】对话框,设置【站点】、【位置】、【对象】、【安全】和【组策略】等项。 (3)建立站点的链接和链接桥:在【Active Directory站点和服务】窗口的【Sites】文件夹下的,【Inter-Site Transports】下的IP和SMTP建立站点的链接。 (4)创建子网:在【Active Directory站点和服务】窗口中,右击【Subnets】, 在快捷菜单中单击【新建】|【子网】|输入地址和子网掩码。

  31. 12.5 备份与恢复活动目录 在Windows Server 2003中,备份与恢复活动目录是一项非常重要的工作。你不能单独备份活动目录,因为Windows Server 2003将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分,它们不能单独进行备份,必须作为系统状态数据的一部分进行备份。 12.5.1备份活动目录 如果一个域内存在不止一台域控制器,当重新安装其中的一台域控制器时,备份活动目录并不是必需的,你只需要将其中的一台域控制器从域中删除,重新安装,并使之回到域中,那么另外的域控制器自然会将数据复制到这台域控制器上。如果一个域内只有一台域控制器,那就有必要对活动目录进行备份。

  32. 12.5 备份与恢复活动目录 12.5.1备份活动目录 (1)单击【开始】|【程序】|【附件】|【系统工具】|【备份】命令,打开【备份或还原向导】对话框,单击【高级模式】选项,打开【备份工具】对话框。 (2)单击【备份向导】按钮,弹出【备份向导】对话框,单击【下一步】按钮,打开【要备份的内容】页,选择【只备份系统状态数据】项。 (3)单击【下一步】按钮,打开【备份类型、目标和名称】页,在【选择保存备份的位置】文本框中,输入备份路径,在【键入这个备份的名称】框中,输入文件名。 (4)单击【下一步】按钮,打开【完成备份向导】页,单击【完成】按钮,进行备份操作。

  33. 12.5 备份与恢复活动目录 12.5.2活动目录的恢复 有两种办法可以恢复活动目录。 一是从域的其他域控制器上恢复数据,前提是域内必须还有一台域控制器是可用的,这时当损坏的域控制器重新安装并加入到它原来的域时,域控制器之间会自动进行数据复制,活动目录也会随之恢复。 二是从备份介质进行恢复。通常情况下,整个网络环境中只有一台域控制器,因此从介质恢复活动目录是经常遇到的事情。从备份介质进行活动目录恢复有两种方式可以选择:验证方式和非验证方式。 1.非验证方式恢复 通常情况下,Windows 2003使用非验证方式恢复。活动目录从备份介质中恢复以后,域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。要实现非验证恢复,目录服务必须处于离线状态并且域服务器处于【目录服务恢复模式】, 重新启动服务器,按下【F8】键展开系统启动高级菜单,选择【目录服务恢复模式】选项。使用本地管理员帐户和密码登录Windows Server 2003系统,就可以进行恢复操作了。操作步骤如下:

  34. 12.5 备份与恢复活动目录 12.5.2活动目录的恢复 (1)在【备份工具】对话框中,单击【还原向导】按钮,打开【还原向导】对话框,单击【下一步】按钮,打开【还原项目】页,在【要还原的项目】列表框中,右击【文件】项,从快捷菜单中选择【文件编录】命令,弹出【打开备份文件】对话框中,单击【浏览】按钮,选择相应的备份文件,单击【确定】按钮,返回【还原向导】页。 (2)在【要还原的项目】列表框中,展开【文件】项,选择【System State】项,单击【下一步】按钮,打开【完成还原向导】页,单击【高级】按钮,打开【还原位置】页,选择【原位置】项,单击【下一步】,保持默认选项,返回【完成还原向导】页。 (3)单击【完成】按钮,完成数据恢复,重新启动机器即可。

  35. 12.5 备份与恢复活动目录 12.5.2活动目录的恢复 2.验证方式恢复 验证方式会将从备份介质恢复过来的数据强行复制到域内所有的域控制器上,无论从备份以后数据是否发生了变化。验证模式恢复活动目录通常用于活动目录在域内某台域控制器上发生了严重的错误,而且这种错误通过复制扩散到了域内的其他域控制器上。为实现验证方式恢复,你必须首先实现非验证方式恢复,然后使用NTDSUTIL命令行工具实现验证式恢复。

  36. 综合实训12: 活动目录 实训时间:4小时 实训目标:通过实训,使学生掌握正确安装与配置Active Directory的方法与步骤,进一步理解和运用目录服务知识。 实训内容: 1:安装与管理Active Directory。 使用【配置您的服务器向导】安装Active Directory,类型为【新域的域控制器】,域名xxjs.com.cn,NetBIOS名xxjs,其它保持默认,安装完成,重新启动计算机。 2:添加用户帐户和组:使用【Active Directory用户与计算机】创建域组teacher(设置主要组)和stater,创建域用户teacher1, teacher2属于teacher,user1,user2属于stater。teacher1为域控制器管理员。 3:利用两台计算机建立两个域,xxjs.com.cn和djzx.com.cn的双向信任关系。 4:建立站点xxjs.com.cn。

More Related