Windows Server 2012 R2服務器-域控功能介紹
域是一個安全邊界 域是一個複製單元
DC:域控制器
域中有三個分區:ADSI編輯器功能查看(adsiedit.msc):域分區、配置分區、架構分區
目錄樹:相當於家族,一個家族相當於一個樹,都是在一個域中
目錄林:指由一個或多個沒有形成連續名字空間的域樹組成
關於複製:有兩種,多主複製和單主複製,在同一域中,所有DC的數據庫都是相互同步的
活動目錄數據庫有三個邏輯分區:Domain,Configration,Schema。在同一個域的DC,三個分區都同步;
如果不是一個域中的DC,只同步Configration和Schema分區。
- GC(全局編錄)
- GC是一臺特殊的DC,記錄了整個林中所有對象
- 在一個林中至少有一個DC,默認情況下林中第一臺DC就是GC
- DC的數據庫記錄了當前域中所有對象的所有屬性;GC除了存儲當前域中所有對象的所有屬性外,
- 還存儲了整個林中所有對象的部分屬性
- 如何查看林中有多少個DC是GC? DNS中查看
-
OU(組織單元) 相當於一個容器,OU有效的組織域中對象,使域組織更加有條理
OU在公司中一般來表示一個部門
OU可以嵌套
可以針對OU進行權限的委派,實現分散管理
兩個站點的DC需要創建“站點鏈路”才能保證DC數據同步(Active Directory站點和服務功能來操作)
在什麼情況下建立備份域控:統一化管理 其主要根據業務部門的需求來決定
在什麼情況下建立子域:獨立管理和運營(×××店) 其主要根據業務部門的需求來決定如何保證兩個站點DC同步:站點鏈路(Active Directory站點和服務功能來操作)
1.默認情況下180分鐘,系統自動同步
2.可以手工的實現“立即複製”
站點最大的好處:可以讓客戶端優先找本站點的DC來完成登陸的身份驗證,只有在本站點的DC出現故障的情況下,
纔會找其他站點的DC完成登陸。客戶端要在DC上身份驗證成功,需要滿足兩個條件:
1.輸入了DC上正確的用戶名和密碼
2.在DC上能夠找到當前登陸的計算機對象
快照命令:ntdsutils 回車,下一步輸入IFM回車,需要設置活動實例,輸入activate instance ntds,再次輸入IFM,然後?尋求幫助來完成。
顆粒化密碼策略:
在Windows域的組策略中:密碼策略必須應用在域上,不能應用在OU上。
複雜性:大寫字母,小寫字母,數字,特殊字符(4個必須包含3個纔可以)
用戶登陸緩存:
默認緩存10個賬號,180天
修改還原模式密碼:
1.需要能正常登陸到DC
2.使用NTDSUTIL來進行修改
NTDSUTIL-->SET DSRM PASSWORD --> Reset Password on Server %s -->輸入新密碼---確認新密碼-->完成!
移動活動目錄數據庫:
1.Net Stop ntds
2.Ntdsutil-->Activate Instance NTDS--> files -->Move DB to %s
Move LOGS to %s
3.Net Start ntds*
活動目錄備份:添加角色功能 Windows Server Backup
系統狀態
1.如果是一臺普通的服務器:註冊表,com+類庫,Boot Files
2.如果是DC:註冊表,com+類庫,Boot Files,活動目錄數據庫,Sysvol
3.如果是CA:註冊表,com+類庫,Boot Files,證書數據庫
4.DC+CA:註冊表,com+類庫,Boot Files,證書數據庫,活動目錄數據庫,Sysvol
如果備份系統狀態--->在還原的時候,當前的系統一定要能正常工作!
對於AD的備份,還是推薦整機備份(裸機恢復的備份)--->即使買了一臺新的服務器,也可以保證一次恢復,大大提高了恢復的成功率!
活動目錄回收站(Active Directory管理中心-啓用回收站-域(本地)-Deleted Objects中)
1.啓用活動目錄回收站必須需要Enterprise Admins成員
2.當前的林功能基本至少是Windows 2008R2 模式
3.活動目錄回收站一但啓用,無法禁用
4.活動目錄 回收站啓用後,活動目錄數據庫容量會增加15%-30%