|
Active Directory 快速恢复动手实验
实 验 手 册
1. 实验目的
通过动手操作,深入了解Active
Directory 的结构与原理,了解Active Directory常见故障现象,掌握Active Directory 故障排除的工具与方法。
2. 实验场景
为比较全面地掌握Active
Directory故障的各种场景,本实验涉及两个域五个服务器,结构如图一所示:
图一:Active
Directory 故障排除动手实验 实验场景
在以上场景中,将分别练习域控制器正常时的功能、各故障现象、故障恢复工具与方法等。
3. 实验环境配置
实验涉及两个域五个服务器。域及服务器具体配置如下:
§
根域:Nwtraders.msft
该域中包括三台服务器,分别为:
ü
DC1.Nwtraders.msft IP:10.10.10.1
根域中的第一台域控制器。同时具备五个操作主机角色、全局编目GC功能、以及DNS服务功能。
ü
DC2.Nwtraders.msft IP:10.10.10.2
根域中的第二台域控制器。同时具有DNS服务功能。
ü
Svr3.Nwtraders.msft IP:10.10.10.3
根域中的一台普通服务器。
§
子域:Sales.Nwtraders.msft
该域为 Nwtraders.msft的子域。该域中包括一台服务器DC4,被配置为该域的域控制器,配置如下:
ü
DC4.Sales.Nwtraders.msft IP:10.10.10.4
§
独立服务器 Svr5
Svr5为一台独立的服务器,不属于任何域。IP:10.10.10.5
§
其他配置:
ü
管理员Adminisrator口令:P@ssw0rd
ü
所有服务器的IP配置如图二:
图二:各服务器IP配置
IP配置说明:
.
IP地址子网ID为10.10.10,主机ID与每台服务器主机名的最后一位一致。
.
所有服务器的DNS同时指向DC1和DC2。
§
虚拟机配置:
该实验在Microsoft Vitrual PC 2004虚拟机环境中运行。为保证性能,主机要求1G内存,10G空闲硬盘空间。
该实验用到以下虚拟硬盘文件:
ü
Win03Base.vhd 所有虚拟机的Base文件。
ü
DC1
Hard Disk.vhd DC1硬盘镜像文件。
ü
DC1.vmc DC1虚拟机配置文件。
ü
DC2
Hard Disk.vhd DC2硬盘镜像文件。
ü
DC2.vmc DC2虚拟机配置文件。
ü
Svr3
Hard Disk.vhd Svr3硬盘镜像文件。
ü
Svr3.vmc Svr3虚拟机配置文件。
ü
DC4
Hard Disk.vhd DC4硬盘镜像文件。
ü
DC4.vmc DC4虚拟机配置文件。
ü
Svr5
Hard Disk.vhd Svr5硬盘镜像文件。
ü
Svr5.vmc Svr5虚拟机配置文件。
将光盘中的以上文件复制到本地硬盘。双击相应的.vmc文件,或在Virtual PC Console控制台中选中相关虚拟机,点击Start,即可打开虚拟机。
打开虚拟机前请确认所有虚拟机已启动Undo功能。
本实验过程中并不要求同时打开所有5个虚拟机。为了保证性能,建议在实验过程中根据实验要求只打开相应的虚拟机。
? 说明:
?
本课程以动手实验为主,讲稿仅用于给学员提供实验内容的基本概念和纲要。
?
本课程共计6小时。其中讲解1小时,学员操作5小时。
?
关于本课程的任何问题、意见、建议,请与课程设计者联系:FrankLFeng@hotmail.com
?
4. 动手实验
实验一:了解Active Directory
实验目的:
了解Active
Directory正常运行的情况下的功能与现象。
实验要求:
本实验使用DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5三台虚拟机。
实验内容:
Lab
1.1 浏览域控制器正常安装完成后的状态
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
|
(1)
启动以下三台虚拟机:DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5
|
|
1.
一台Windows Server 2003服务器提升为域控制器以后,会自动安装相关管理工具。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”,查看成功安装“Active
Directory 用户和计算机”,“Active Directory 域和信任关系”,“Active Directory站点和服务”,“域安全策略”,“域控制器安全策略”。
(3)
作为对比,以帐户Administrator、口令P@ssw0rd登录独立服务器Svr5。点击“开始”-“程序”-“管理工具”,可以发现“本地安全策略”工具。说明一台服务器提升为域控制器后,“本地安全策略”工具被删除。
|
|
2.
同时,在文件系统中将会产生相关文件夹和文件来存储Active Directory数据。
|
(4)
在虚拟机DC1中,打开资源管理器。
(5)
浏览“C:\WINDOWS\NTDS”文件夹。
(6)
浏览“C:\WINDOWS\SYSVOL”文件夹。
(7)
作为对比,可以发现独立服务器Svr5中没有这些文件夹。
|
Lab
1.2 验证操作主机功能
|
内 容
|
操 作 步 骤
|
|
1.
在正确配置Active Directory后,可以成功完成相关功能,如创建/删除 用户、组、组织单位等。
|
(1)
如果对Active Directory不太熟悉,可以通过打开“Active Directory 用户和计算机”工具进行创建或删除 用户、组、组织单位等操作。
|
|
2.
由于默认安装时自动配置了操作主机功能,所以可以成功完成创建新域、删除域、等操作。
操作主机的概念将在实验四和实验五种详细讨论。
该操作作为实验四和实验五的对比实验。以了解正常情况下的现象。
|
(2)
尝试删除Sales.Nwtraders.msft域:
a)
以帐户Administrator、口令P@ssw0rd登录域控制器DC4。
b)
在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。
c)
在“Active Directory安装向导”中,单击“下一步”。
d)
选中“这个服务器是域中的最后一个域控制器”,点击“下一步”。
e)
输入用户名“administrator”口令“P@ssw0rd”,单击“下一步”。
f)
在新口令中连输两次“P@ssw0rd”,单击“下一步”。
g)
单击“下一步”。
h)
可以看到,域控制器卸载正常进行。
(3)
尝试增加新域
a)
以帐户Administrator、口令P@ssw0rd登录域控制器Svr5。
b)
在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。
c)
在“Active Directory安装向导”中,单击两次“下一步”。
d)
选择“新域的域控制器”,单击“下一步”。
e)
选择“在现有域树中的子域”,单击“下一步”。
f)
在用户名、口令、域中分别输入“administrator”“P@ssw0rd”“nwtraders.msft”,单击“下一步”。
g)
在“父域”中,输入“nwtraders.msft”,在“子域”中,输入“Tech”,单击“下一步”。
h)
连续单击“下一步”,直到开始创建子域。
i)
可以看到,子域创建正常进行。
|
|
|
(4)
|
Lab
1.3 了解全局编录GC
|
内 容
|
操 作 步 骤
|
|
1. 全局编录的概念
全局编录是存储林中所有 Active
Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。
全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分,这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。
在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。
|
|
|
2. 查看和更改全局编录角色。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”-“Active Directory站点和服务”。
(3)
依次展开“Active Directory站点和服务”-“Sites”-“Default-First-Site-Name”-“Servers”-“DC1”。
(4)
右键点击“DC1”下的“NTDS Settings”,点击快捷菜单的“属性”,打开“NTDS Settings属性”对话框。
(5)
在对话框的“常规”属性页,可以看到“全局编录”前的复选框被选中。说明DC1具有全局编录角色。
(6)
可以通过选中或清空此复选框来启用或禁用一台服务器的全局编录角色。
|
|
|
(7)
为保证后续实验的正常进行,关闭DC1。
单击DC1虚拟机右上角“关闭”按钮,在“Close”对话框中选择“Turn off and delete changes”,单击“OK”,关闭DC1虚拟机。
(8)
用同样的方法关闭所有打开的虚拟机。
|
实验二:DNS问题
实验目的:
本实验了解由于DNS配置错误导致的故障现象。
实验要求:
本实验使用DC1.nwtraders.msft、Svr3.nwtraders.msft两台虚拟机。
实验内容:
Lab
2.1 了解SRV记录
|
内 容
|
操 作 步 骤
|
|
0
实验准备
|
(1)
确保作完实验1.2后已经以“Turn off and
delete changes”选项关闭了DC1。
(2)
启动DC1.nwtraders.msft、Svr3.nwtraders.msft两台虚拟机。
|
|
1
Active
Directory的正常运行依赖于DNS。
DNS中的SRV记录用于将服务解析为主机名。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”-“DNS”,打开DNS管理控制台。
(3)
依次展开“正向查找区域”-“Nwtraders.msft”,可以看到除了常规的“SOA”“NS”“A”记录外,有一系列子节点如“_tcp”,展开次节点,可以看到一系列记录类型为“服务位置(SRV)”的记录。
|
Lab
2.2 了解DNS配置错误的现象
|
内 容
|
操 作 步 骤
|
|
1
用户登录、安全设置等大量操作依赖DNS。
此处以设置用户权限为例进行演示。
|
(1)
以帐户Administrator、口令P@ssw0rd登录虚拟机Svr3。
(2)
打开Windows资源管理器。
(3)
右键单击C:盘下文件夹Test1,在快捷菜单中选择“属性”,打开Test1属性对话框,选择“安全”属性页。
(4)
点击“添加”按钮,打开“选择用户、计算机或组”对话框。
(5)
可以看到“查找位置”为“Nwtraders.msft”。单击“位置”按钮,打开“位置”对话框,可以改变查找位置。
(6)
点击“高级”-“立即查找”。
(7)
选择任意用户,如“Zhang3”,连击两次“确定”。
(8)
设置“Zhang3”为“完全控制”。单击“取消”,关闭“属性”对话框。
|
|
2
如果DNS配置错误,可能导致各种故障。
此处假设Svr3的DNS解析指向Internet上的DNS服务器,观察故障现象。
|
(9)
在虚拟机Svr3中,点击菜单“开始”-“设置”-“网络连接”,打开网络连接窗口。
(10) 右键点击“本地连接”,选择“属性”,打开“本地连接 属性”对话框。
(11) 选择“Internet协议(TCP/IP)”,点击“属性按钮”
(12) 将“首选DNS服务器”和“备用DNS服务器”分别改为Internet上的DNS服务器地址:
61.134.1.4和61.134.1.9。
(13) 点击两次“确定”,关闭相关对话框。
(14) 在菜单“开始”-“运行”中输入命令“IPCONFIG /FLUSHDNS”,单击“确定”。
(15) 在“开始”菜单中选择“关机”,在对话框中选择“重新启动”,重启Svr3。
(16) 重启完成后,以帐户Administrator、口令P@ssw0rd登录虚拟机Svr3。
(17) 打开Windows资源管理器。
(18) 右键单击C:盘下文件夹Test1,在快捷菜单中选择“属性”,打开Test1属性对话框,选择“安全”属性页。
(19) 点击“添加”按钮,打开“选择用户、计算机或组”对话框。
(20) 可以看到,“查找位置”处为“Svr3”,点击“位置”按钮,无法将查找位置设置为“Nwtraders.msft”。
(21) 由此可见,由于DNS配置错误,将无法导航到Nwtraders.msft域。
|
|
3
以上只演示了DNS配置错误的一个极端的例子。但这个例子在许多配置了Active Directory同时又通过简单防火墙上Internet的企业中却有发生。
类似的错误配置还包括使用早期的不支持SRV记录的DNS服务器、将DNS区域设置为不允许动态更新等。此不赘述。
|
(22) 为保证后续实验的正常进行,关闭Svr3。
单击Svr3虚拟机右上角“关闭”按钮,在“Close”对话框中选择“Turn off and delete changes”,单击“OK”,关闭Svr3虚拟机。
|
实验三:域控制器备份与还原
实验目的:
掌握域控制器的备份操作,掌握域控制器还原的场景与方法。
实验要求:
本实验使用DC1.nwtraders.msft、DC2.nwtraders.msft、Svr3.nwtraders.msft、Svr5四台虚拟机。
实验内容:
Lab
3.1 备份Active Directory
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
|
(1)
启动以下两台虚拟机:DC1.nwtraders.msft、DC2.nwtraders.msft。
(2)
为保证备份内容在后续实验步骤中使用,需要将备份内容放到主机上而不是虚拟机中。
为此,将主机的C:\VMShare文件夹映射为DC1虚拟机的Z:盘。具体设置步骤如下:
a)
在主机C:盘上建立文件夹C:\VMShare.
b)
在DC1的虚拟机窗口的“Edit”菜单中选择“Settings”。
c)
在“Settings for DC1”对话框中,选择“Shared
Folders”。点击“Share Folder”按钮。
d)
在“浏览文件夹”对话框中,选择C:\VMShare文件夹。在“Drive Letter”中选择“Z:”,选中“Share Every Time”复选框。点击“确定”。
e)
点击“OK”。
|
|
1.
可以使用Windows 备份工具来备份系统状态数据已达到备份Active
Directory的目的。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“附件”-“系统工具”-“备份”,打开“备份或还原向导”。
(3)
在向导欢迎页面点击“高级模式”。
(4)
在“备份工具”对话框中选择“备份”属性页。
(5)
在备份内容中,选择“System State”复选框。
(6)
在“备份工具”对话框左下方的“备份媒体或文件夹”中,点击“浏览”按钮,打开“另存为”对话框。
(7)
在“保存在”下拉框中,选择“我的电脑”下的“网络驱动器(Z:)”。
(8)
保持文件名“Backup.bkf”。单击“保存”按钮。
(9)
在“备份工具”对话框右下方,点击“开始备份”按钮。
(10) 在“备份作业信息”对话框中,点击“开始备份”按钮。
(11) 等待备份完成,约需5分钟左右。
(12) 备份完成后,点击“关闭”。
(13) 在“备份工具”对话框的“作业”菜单下,选择“退出”。
|
Lab
3.2 域控制器的非授权还原
|
内 容
|
操 作 步 骤
|
|
0.
当域控制器故障后,可以使用Windows 备份工具进行还原。
这样的还原过程有两点需要了解:
a)
还原过程序要在目录服务还原模式下进行。
b)
还原完成后,被还原的域控制器将和其他域控制器同步,以获取自上次备份后的更新。
以下步骤将演示上述两个特点。
|
|
|
1.
假设在上次备份后,有一些更新。例如删除了用户Zhang3.
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”-“Active Directory 用户和计算机”
(3)
在“Active Directory 用户和计算机”管理控制台中,展开“Nwtraders.msft”,展开“TestOU”。
(4)
右键点击用户“Zhang3”,选择“删除”,单击“是”,删除用户“Zhang3”。
(5)
在虚拟机DC2中,打开“Active
Directory 用户和计算机”,展开“Nwtraders.msft”,展开“TestOU”。确认对“Zhang3”的删除已复制到DC2。如果尚未删除,等待片刻,刷新。
|
|
2.
还原域控制器DC1
|
(6)
在虚拟机DC1的“开始”菜单中,点击“关机”,选择“重新启动”。重启DC1。
(7)
在启动过程中,按下“F8”键,进入Windows启动高级选项。
(8)
按向下箭头,选择“目录服务还原模式(只用于Windows域控制器)”,按回车,将系统启动到目录服务还原模式。
(9)
以帐户Administrator、口令P@ssw0rd登录。
(10) 在安全模式提示对话框中单击“确定”。
(11) 点击“开始”-“程序”-“附件”-“系统工具”-“备份”,打开“备份或还原向导”。
(12) 在向导欢迎页面点击“高级模式”。
(13) 在“备份工具”对话框中选择“还原和管理媒体”属性页。
(14) 依次展开“文件”-“backup.bkf…”,选中“System State”前的复选框。
(15) 点击右下方的“开始还原”按钮,点击两次“确定”。
(16) 等待还原完成,约需5分钟左右。
(17) 还原完成后,单击“关闭”按钮,系统提示是否重启,选择“是”,重启DC1。
(18) 在DC2虚拟机窗口的“Action”菜单下,选择“Pause”。
|
|
3.
DC1还原以后,其数据并不是最新的。DC1重启以后,在域控制器复制过程中,会与DC2同步,以获取最新数据。
|
(19) DC1启动完成后,以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(20) 点击“开始”-“程序”-“管理工具”-“Active Directory 用户和计算机”
(21) 在“Active
Directory 用户和计算机”管理控制台中,展开“Nwtraders.msft”,展开“TestOU”。
(22) 由于DC2被暂停,可以看到,曾被删除的用户“Zhang3”被还原。
(23) 在DC2虚拟机窗口的“Action”菜单下,选择“Resume”。等待片刻。
(24) 在DC1中,刷新“Active Directory 用户和计算机”管理控制台。可以发现,刚刚还原的用户“Zhang3”被自动删除。这是因为DC1在复制过程中获得了来自DC2的更新信息。
|
Lab
3.3 域控制器的授权还原
|
内 容
|
操 作 步 骤
|
|
0.
实验Lab3.2 适用于还原受损的域控制器。
但如果还原的目的是为了挽救误操作,例如由于不慎删除了用户“Wang5”,希望通过还原操作恢复用户帐户“Wang5”,则需要使用域控制器的授权还原操作。
|
|
|
1.
授权还原与实验Lab3.2的非授权还原过程基本类似,只是在进入“目录服务还原模式”下完成还原以后,不要立即重启,而是通过命令指定要授权还原的对象路径。
该命令的本质是强行大大增加还原对象的版本号,使其在复制过程中保持最高版本。
|
(1)
根据Lab3.2的操作步骤(1)-(5)同样的步骤删除用户“Wang5”。
(2)
根据Lab3.2的操作步骤(6)-(16)同样的步骤启动DC1到目录服务还原模式下,完成还原操作。但不要重启机器。
(3)
在“开始”菜单中选择“运行”,输入“CMD”,打开命令提示符窗口。
(4)
输入命令“NTDSUTIL”,回车。
(5)
在ntdsutil:提示符下,输入“Authoritative
Restore”。
(6)
在“Authoritative Restore”提示符下,输入以下内容:
Restore subtree “cn=wang5,ou=testou,
dc=nwtraders,dc=msft” (以上内容在以行内输入,包括双引号及逗号)。回车。
(7)
在“授权还原确认对话”对话框中,点击“是”。
(8)
以上命令完成后。输入两次“Quit”,退出ntdsutil.
(9)
在“开始”菜单中,选择“关机”,选择“重新启动”,重启DC1。
|
|
2.
查看授权还原效果。
|
(10) DC1成功重启之后,打开“Active
Directory 用户和计算机”管理控制台,展开“Nwtraders.msft”,展开“TestOU”。
(11) 可以看到,用户“Wang5”被恢复。
(12) 在DC2中,打开“Active Directory 用户和计算机”管理控制台,展开“Nwtraders.msft”,展开“TestOU”。可以发现用户“Wang5”被恢复。如果还没有,等待片刻,刷新。
|
|
|
(13) 以“Turn
off and delete changes”选项关闭所有虚拟机。以备后续实验操作。
|
Lab
3.4 单域单控制器灾难恢复
|
内 容
|
操 作 步 骤
|
|
0.
该实验讨论一下场景:
假设一个小型企业只有一个单域Nwtraders.msft,且该域中只有一台域控制器DC1.
Nwtraders.msft。该域中还有一台成员服务器Svr3. Nwtraders.msft。
管理员对此域控制器定期备份。
该唯一的域控制器不幸彻底崩溃。
|
|
|
1.
假设该企业的唯一域控制器DC1.Nwtraders.msft彻底崩溃。
在原有机器上完全重装操作系统,或用一台硬件配置一致的机器安装全新的操作系统。
2.
假设Svr5即是刚刚装好的服务器,计划在该服务器上恢复域控制器功能。
|
(1)
启动虚拟机Svr5。
(2)
启动时按“F8”
(3)
按向下箭头,选择“目录服务还原模式(只用于Windows域控制器)”,按回车,将系统启动到目录服务还原模式。
(4)
按实验Lab3.1“备份Active Directory”的内容“0.实验准备”中第(2)步的操作,将主机的C:\VMShare文件夹映射为Svr5虚拟机的Z:盘。
(5)
以帐户Administrator、口令P@ssw0rd登录。
(6)
在安全模式提示对话框中单击“确定”。
(7)
查看“我的电脑”属性,确认机器名为“Svr5”,不属于任何域。查看IP地址配置,确认其为10.10.10.5。
(8)
点击“开始”-“程序”-“附件”-“系统工具”-“备份”,打开“备份或还原向导”。
(9)
在向导欢迎页面点击“高级模式”。
(10) 在“工具”菜单下,选择“还原向导”。点击“下一步”。
(11) 在“还原项目”页,点击“浏览”按钮。
(12) 在“打开备份文件”对话框,输入“Z:\backup.bkf”。单击“确定”。
(13) 在“要还原的项目”下,依次展开“文件”-“backup.bkf”。
(14) 选中“System State”前的复选框。
(15) 点击“下一步”,点击“完成”。点击“确定”,开始还原。
(16) 还原完成后,单击“关闭”按钮,系统提示是否重启,选择“是”,重启Svr5。
(17) 此后,Svr5即承担原DC1的功能。
|
|
3.
验证还原效果
|
(18) Svr5还原并重启后,系统提示需要激活,如果有条件激活该系统,激活完成后,可以看到其机器名已成为DC1,IP地址也成为10.10.10.1,所有特性呈现为DC1. Nwtraders.msft的特性。
(19) 如果无条件激活,可以通过以下方式验证:
a)
在Svr5(现在已变为DC1)保持运行的状态下,启动虚拟机Svr3. Nwtraders.msft.
b)
可以发现Svr3正常启动、登录。
c)
以Administrator登录Svr3后,打开命令提示符。
d)
输入Ping 10.10.10.1,可以Ping通。
e)
输入“NSLOOKUP”,可以正常连到DC1的DNS服务器,依次输入DC1、DC2、SVR3、DC4.SALES,均可正常解析。
f)
打开Windows资源管理器,在地址栏里输入\\DC1\C$,按提示输入用户名Administrator及口令P@ssw0rd,可以打开此共享。
|
|
|
(20) 以“Turn
off and delete changes”选项关闭所有虚拟机。以备后续实验操作。
|
实验四:操作主机角色迁移
实验目的:
掌握操作主机的概念,掌握操作主机角色迁移的工具与方法。
实验要求:
本实验使用DC1.nwtraders.msft、DC2.nwtraders.msft两台虚拟机。
实验内容:
Lab4.1 了解与查看操作主机
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
|
(1)
启动以下两台虚拟机:DC1.nwtraders.msft、DC2.nwtraders.msft
|
|
1.
操作主机的概念
Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。
但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。
在每个林中,至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中,林范围的操作主机角色必须只出现一次。在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
操作主机角色有时称为 Flexible Single Master Operations (FSMO) 角色。
这五个操作主机角色分别是:
ü 架构主机
ü 域命名主机
ü 相对 ID (RID) 主机
ü 主域控制器 (PDC) 仿真主机
ü 结构主机
有关操作主机的详细概念,可以参阅微软帮助文档。
|
|
|
2.
通过图形界面查看以下三个操作主机角色。
ü
相对 ID (RID) 主机
ü
主域控制器 (PDC) 仿真主机
ü
结构主机
以上三个操作主机角色是域范围的,可以在同一个界面中查看。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”-“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”管理控制台。
(3)
右键点击域名“Nwtraders.msft”,在快捷菜单中选择“操作主机”,打开“操作主机”对话框。
(4)
分别单击“RID”“PDC”“结构”属性页,在属性页的“操作主机”框中所显示的即为该域的上述三个操作主机角色所在的域控制器。
|
|
3.
通过图形界面查看“域命名主机”角色。
|
(5)
点击“开始”-“程序”-“管理工具”-“Active Directory 域和信任关系”,打开“Active Directory 域和信任关系”管理控制台。
(6)
鼠标右键点击“Active Directory 域和信任关系”,在快捷菜单中选择“操作主机”,打开“更改操作主机”对话框。
(7)
“更改操作主机”对话框的“域命名操作主机”框中所示即为该林的域命名操作主机角色所在域控制器。
|
|
4.
通过图形界面查看“架构主机”角色。
|
(8)
Windows
Server2003默认不安装“”,为此,需要先注册该管理工具。
(9)
在“开始”菜单-“运行”中,输入以下命令:
Regsvr32 Schmmgmt.dll
点击“确定”。
(10) 系统提示注册成功,点击“确定”。
(11) 在“开始”菜单-“运行”中,输入MMC,点击“确定”。打开微软管理控制台。
(12) 在控制台中,点击菜单“文件”-“添加/删除管理单元”。
(13) 在“添加/删除管理单元”对话框中,点击“添加”按钮。
(14) 在“可用的独立管理单元”下,选择“Active Directory 架构”。依次点击“添加”“关闭”“确定”,完成管理单元添加操作。
(15) 在管理控制台中,右键点击“Active Directory 架构”,在快捷菜单中选择“操作主机”,打开“更改架构主机”对话框。
(16) 在“更改架构主机”对话框的“当前架构主机(联机状态)”框中所示,即为该林的架构主机。
|
|
5.
使用命令行工具NTDSUTIL查看操作主机角色。
|
(17) 在“开始”菜单-“运行”中,输入CMD,点击“确定”。打开命令行控制台。
(18) 在命令提示符下,键入
ntdsutil,回车。
(19) 在
ntdsutil 命令提示符下,键入:
domain management,回车。
(20) 在domain
management命令提示符下,键入
connections,回车。
(21) 在server
connections命令提示符下,键入
connect to server DC1,回车。
(22) 在server
connections命令提示符下,键入
quit,回车。
(23) 在domain
management命令提示符下,键入
select operation target,回车。
(24) 在select
operation target命令提示符下,键入
list roles for connected server,回车。
(25) 系统将列出DC1所拥有的角色。可以看到, 5个操作主机角色均为DC1。
(26) 用上述步骤连接到DC2,(注:不必登录到DC2,只需将步骤(21)的命令改为connect to server DC2即可。)
(27) 可以看到,依然提示5个操作主机角色均为DC1。
|
Lab
4.2 迁移操作主机角色
|
内 容
|
操 作 步 骤
|
|
0.
在Active Directory的维护过程中,由于各种原因,可能需要将操作主机角色迁移到另一台域控制器。
|
|
|
1.
通过图形界面迁移操作主机角色。
在实验Lab4.1中大家已经注意到,通过图形界面查看各操作主机角色时,在显示操作主机的对话框中可以点击“更改”按钮来将操作主机角色迁移到另一台域控制器。
但是,“更改”按钮上下两个文本框中都为同一个服务器。
这是因为当前的管理工具所连接的域控制器恰好为某操作主机角色。
所以,我们需要更改当前管理工具所连接的域控制器,以进行角色迁移。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC1。
(2)
点击“开始”-“程序”-“管理工具”-“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”管理控制台。
(3)
右键点击域名“Nwtraders.msft”,在快捷菜单中选择“连接到域控制器”,打开“连接到域控制器”对话框。
(4)
在“或者选择一个可用的域控制器”下,点击“DC2.Nwtraders.msft”。
(5)
点击“确定”。此时,该“Active Directory 用户和计算机”管理控制台已连接到DC2。
(6)
右键点击域名“Nwtraders.msft”,在快捷菜单中选择“操作主机”,打开“操作主机”对话框。
(7)
在“操作主机”对话框的“RID”属性页,可以看到,当前操作主机为DC1,可以迁移为DC2。点击“更改”按钮。确认对话框中点击“是”。提示成功后点击“确定”。
(8)
请用同样的方式,完成所有5个操作主机的角色迁移。
|
|
2.
使用命令提示符迁移操作主机角色。
在这里我们通过命令提示符将刚刚迁移到DC2上的5个角色再迁移到DC1上。
|
(9)
在“开始”菜单-“运行”中,输入CMD,点击“确定”。打开命令行控制台。
(10) 在命令提示符下,键入
ntdsutil,回车。
(11) 在
ntdsutil 命令提示符下,键入:
roles,回车。
(12) 在
fsmo maintenance 命令提示符下,键入:
connection,回车。
(13) 在
server connections 命令提示符下,键入:
connect to server DC1,回车。
(14) 在
server connections 命令提示符下,键入:
quit,回车。
(15) 在
fsmo maintenance 命令提示符下,键入:
transfer PDC,回车。
(16) 在“角色传送确认对话”对话框中,单击“是”。
(17) 系统列出5个操作主机角色,可以看到,PDC仿真主机已成功迁移到DC1。
(18) 在
fsmo maintenance 命令提示符下,依次键入:
transfer RID master
transfer infrastructure master
transfer schema master
transfer domain naming master
完成所有五个操作主机角色的迁移。
|
|
3.
为了保证Active Directory正常运行,建议同时考虑全局编录角色的迁移。过程可参见实验Lab1.3。
|
|
|
|
(19) 以“Turn
off and delete changes”选项关闭所有虚拟机。以备后续实验操作。
|
实验五:域控制器(操作主机)故障与排错
实验目的:
了解操作主机故障现象,掌握操作主机故障修复工具与方法。
实验要求:
本实验使用DC2.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5三台虚拟机。
实验内容:
Lab
5.1 了解操作主机故障现象
|
内 容
|
操 作 步 骤
|
|
0.
如果操作主机崩溃,将会影响到一系列操作。
在实验Lab1.2中,已经演示了操作主机正常工作时的情形。作为对比,这一部分将看到操作主机故障时的现象。
本实验没有启动域控制器DC1,可以模拟作为5个操作主机角色宿主的DC1彻底崩溃的情形。
|
(1)
启动以下三台虚拟机:DC2.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5
|
|
1.
尝试删除Sales.Nwtraders.msft域。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC4。
(2)
在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。
(3)
在“Active Directory安装向导”中,单击“下一步”。
(4)
选中“这个服务器是域中的最后一个域控制器”,点击“下一步”。
(5)
输入用户名“administrator”口令“P@ssw0rd”,单击“下一步”。
(6)
在新口令中连输两次“P@ssw0rd”,单击“下一步”。
(7)
单击“下一步”。
(8)
等待卸载操作进行,可以发现域控制器卸载过程出错。
(9)
单击“确定”,关闭“Active Directory 安装向导”。
(10) 不要关闭虚拟机DC4。实验六将继续使用该虚拟机。
|
|
2.
尝试增加新域
|
(11) 以帐户Administrator、口令P@ssw0rd登录域控制器Svr5。
(12) 在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。
(13) 在“Active
Directory安装向导”中,单击两次“下一步”。
(14) 选择“新域的域控制器”,单击“下一步”。
(15) 选择“在现有域树中的子域”,单击“下一步”。
(16) 在用户名、口令、域中分别输入“administrator”“P@ssw0rd”“nwtraders.msft”,单击“下一步”。
(17) 在“父域”中,输入“nwtraders.msft”,在“子域”中,输入“Tech”,单击“下一步”。
(18) 连续单击“下一步”,直到开始创建子域。
(19) 等待创建过程运行,直到提示出错。可以发现,出错原因是无法连接到域命名主机。
(20) 以“Turn
off and delete changes”选项关闭虚拟机Svr5。
|
|
3.
其他场景不再一一演示。
|
(21) 以“Turn
off and delete changes”选项关闭虚拟机Svr5。以备后续实验。
(22) 注意不要关闭虚拟机DC4。实验六将继续使用该虚拟机。
|
Lab
5.2 强制获取操作主机角色
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
假设作为作为5个操作主机角色宿主的DC1彻底崩溃。为了Active Directory等正常运行,只能强行让DC2获取操作主机角色。该过程称作占用操作主机角色。
|
(1)
启动虚拟机:DC2.nwtraders.msft
|
|
1.
通过命令行强行获取操作主机角色。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC2。
(2)
在“开始”菜单-“运行”中,输入CMD,点击“确定”。打开命令行控制台。
(3)
在命令提示符下,键入
ntdsutil,回车。
(4)
在 ntdsutil 命令提示符下,键入:
roles,回车。
(5)
在 fsmo maintenance 命令提示符下,键入:
connection,回车。
(6)
在 server connections 命令提示符下,键入:
connect to server DC2,回车。
(7)
在 server connections 命令提示符下,键入:
quit,回车。
(8)
在 fsmo maintenance 命令提示符下,键入:
Seize PDC,回车。
(9)
在“角色占用确认对话”对话框中,单击“是”。
(10) 系统首先尝试正常迁移,发现无法连到原有操作主机后,将强行索取。
(11) 索取完成后,系统列出5个操作主机角色,可以看到,PDC仿真主机已被DC2成功占用。
(12) 在
fsmo maintenance 命令提示符下,依次键入:
Seize RID master
Seize infrastructure master
Seize schema master
Seize domain naming master
完成所有五个操作主机角色的强制获取。
|
|
2.
为了保证Active Directory正常运行,建议同时考虑设置全局编录角色的。过程可参见实验Lab1.3。
|
|
|
|
(13) 不要关闭虚拟机DC2。实验六将继续使用该虚拟机。
(14) 注意不要关闭虚拟机DC4。实验六将继续使用该虚拟机。
|
实验六:域控制器卸载
实验目的:
掌握Active
Directory域控制器强行卸载的方法。
实验要求:
本实验使用实验Lab5.1中出现卸载故障的虚拟机DC4,以及实验Lab5.2中强制获取操作主机角色的DC2。
实验内容:
Lab
6.1 强行卸载域控制器
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
|
(1)
本实验使用实验Lab5.1中出现卸载故障的虚拟机DC4。
|
|
1.
在实验Lab5.1中,DC4卸载出现故障。这将使得DC4无法作为一个正常的域控制器使用,但也无法卸载为一个正常的成员服务器。为此,可以使用强行卸载的方法。
|
(1)
切换到虚拟机DC4。
(2)
在“开始”菜单的“运行”中,输入命令:
dcpromo /forceremoval
(3)
打开“Active Directory安装向导”,开始强制删除Active Directory。单击“下一步”。
(4)
在新管理员密码和确认密码中,输入P@ssw0rd。
(5)
点击两次“下一步”,开始删除过程。
(6)
删除完成后,重新启动该服务器。
|
Lab
6.2 删除域控制器降级失败后的残留数据
|
内 容
|
操 作 步 骤
|
|
0.
实验准备
|
(1)
以下操作使用实验Lab5.2中强制获取操作主机角色的DC2。
|
|
1.
删除域控制器降级失败后的残留数据。
Active Directory 安装向导 (Dcpromo.exe) 用于将服务器提升为域控制器,以及将域控制器降级为成员服务器。
作为降级过程的一部分,此向导会将该域控制器的配置数据从 Active Directory 中删除。
此数据的形式是“NTDS 设置”对象,在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。
在实验Lab6.1中,DC4的卸载是强制执行的,所有操作发生在DC4上,即卸载过程并未通知Active
Directory删除该域控制器的信息。
此时,需要手工删除这些信息。
|
(1)
以帐户Administrator、口令P@ssw0rd登录域控制器DC2。
(2)
在“开始”菜单-“运行”中,输入CMD,点击“确定”。打开命令行控制台。
(3)
在命令提示符下,键入
ntdsutil,回车。
(4)
在 ntdsutil 命令提示符下,键入:
metadata cleanup,回车。
(5)
在metadata cleanup命令提示符下,键入:
connections,回车。
(6)
在 server connections 命令提示符下,键入:
connect to server DC2,回车。
(7)
在 server connections 命令提示符下,键入:
quit,回车。
(8)
在metadata cleanup命令提示符下,键入:
select operation target,回车。
(9)
在select operation target命令提示符下,键入:
list domains,回车。
系统将列出两个域:
0 - DC=Nwtraders,DC=msft
1 - DC=Sales,DC=Nwtraders,DC=msft
(10) 在select
operation target命令提示符下,键入:
select domain 1,回车。表示选择了Sales域。
(11) 在select
operation target命令提示符下,键入:
list sites,回车。系统将列出所有站点。当前只有一个站点Default-First-Site-Name,编号为0。
(12) 在select
operation target命令提示符下,键入:
select site 0,回车。表示选择了站点Default-First-Site-Name。
(13) 在select
operation target命令提示符下,键入:
list servers in site,回车。
系统列出了该站点中的三域控制器DC1、DC2、DC4,编号分别为0、1、2。
(14) 在select
operation target命令提示符下,键入:
select server 2,回车。表明选中服务器DC4。
(15) 在select
operation target命令提示符下,键入:
quit,回车。退到metadata
cleanup提示符下。
(16) 在metadata
cleanup命令提示符下,键入:
remove selected server,回车。
(17) 在“服务器删除确认对话框”中,单击两次“是”。
(18) 至此,DC4的残留信息被成功从DC2删除。
(19) 输入两次“quit”退出ntdsutil工具。
|
|
2.
为使Active Directory正常运行,在实际工作中还要考虑DNS记录的清理等问题。
|
|
|
|
(20) 以“Turn
off and delete changes”选项关闭所有虚拟机。以利于其他学员的实验操作。
|
|
