Windows Server 2012 R2伺服器-域控功能介紹

域是一個安全邊界 域是一個複製單元DC：域控制器域中有三個分割槽：ADSI編輯器功能檢視（adsiedit.msc）：域分割槽、配置分割槽、架構分割槽

目錄樹：相當於家族，一個家族相當於一個樹，都是在一個域中目錄林：指由一個或多個沒有形成連續名字空間的域樹組成關於複製：有兩種，多主複製和單主複製，在同一域中，所有DC的資料庫都是相互同步的

活動目錄資料庫有三個邏輯分割槽：Domain，Configration，Schema。在同一個域的DC，三個分割槽都同步；如果不是一個域中的DC，只同步Configration和Schema分割槽。

GC（全域性編錄）GC是一臺特殊的DC，記錄了整個林中所有物件在一個林中至少有一個DC，預設情況下林中第一臺DC就是GCDC的資料庫記錄了當前域中所有物件的所有屬性；GC除了儲存當前域中所有物件的所有屬性外，還儲存了整個林中所有物件的部分屬性如何檢視林中有多少個DC是GC？ DNS中檢視OU（組織單元） 相當於一個容器，OU有效的組織域中物件，使域組織更加有條理OU在公司中一般來表示一個部門OU可以巢狀可以針對OU進行許可權的委派，實現分散管理

兩個站點的DC需要建立“站點鏈路”才能保證DC資料同步（Active Directory站點和服務功能來操作）在什麼情況下建立備份域控：統一化管理 其主要根據業務部門的需求來決定在什麼情況下建立子域：獨立管理和運營（×××店） 其主要根據業務部門的需求來決定

如何保證兩個站點DC同步：站點鏈路（Active Directory站點和服務功能來操作）1.預設情況下180分鐘，系統自動同步2.可以手工的實現“立即複製”站點最大的好處：可以讓客戶端優先找本站點的DC來完成登陸的身份驗證，只有在本站點的DC出現故障的情況下，才會找其他站點的DC完成登陸。

客戶端要在DC上身份驗證成功，需要滿足兩個條件：1.輸入了DC上正確的使用者名稱和密碼2.在DC上能夠找到當前登陸的計算機物件

快照命令：ntdsutils 回車，下一步輸入IFM回車，需要設定活動例項，輸入activate instance ntds，再次輸入IFM,然後？尋求幫助來完成。

顆粒化密碼策略：在Windows域的組策略中：密碼策略必須應用在域上，不能應用在OU上。複雜性：大寫字母，小寫字母，數字，特殊字元（4個必須包含3個才可以）

使用者登陸快取：預設快取10個賬號，180天

修改還原模式密碼：1.需要能正常登陸到DC2.使用NTDSUTIL來進行修改NTDSUTIL-->SET DSRM PASSWORD --> Reset Password on Server %s -->輸入新密碼---確認新密碼-->完成！

移動活動目錄資料庫：1.Net Stop ntds2.Ntdsutil-->Activate Instance NTDS--> files -->Move DB to %sMove LOGS to %s3.Net Start ntds*

活動目錄備份：新增角色功能 Windows Server Backup系統狀態1.如果是一臺普通的伺服器：登錄檔，com+類庫，Boot Files2.如果是DC：登錄檔，com+類庫，Boot Files，活動目錄資料庫，Sysvol3.如果是CA：登錄檔，com+類庫，Boot Files，證書資料庫4.DC+CA：登錄檔，com+類庫，Boot Files，證書資料庫，活動目錄資料庫，Sysvol

如果備份系統狀態--->在還原的時候，當前的系統一定要能正常工作！對於AD的備份，還是推薦整機備份（裸機恢復的備份）--->即使買了一臺新的伺服器，也可以保證一次恢復，大大提高了恢復的成功率！

活動目錄回收站(Active Directory管理中心-啟用回收站-域（本地）-Deleted Objects中)1.啟用活動目錄回收站必須需要Enterprise Admins成員2.當前的林功能基本至少是Windows 2008R2 模式3.活動目錄回收站一但啟用，無法禁用4.活動目錄 回收站啟用後，活動目錄資料庫容量會增加15%-30%