Windows Server 2012 R2伺服器-域控功能介紹
域是一個安全邊界 域是一個複製單元DC:域控制器域中有三個分割槽:ADSI編輯器功能檢視(adsiedit.msc):域分割槽、配置分割槽、架構分割槽
目錄樹:相當於家族,一個家族相當於一個樹,都是在一個域中目錄林:指由一個或多個沒有形成連續名字空間的域樹組成關於複製:有兩種,多主複製和單主複製,在同一域中,所有DC的資料庫都是相互同步的
活動目錄資料庫有三個邏輯分割槽:Domain,Configration,Schema。在同一個域的DC,三個分割槽都同步;如果不是一個域中的DC,只同步Configration和Schema分割槽。
GC(全域性編錄)GC是一臺特殊的DC,記錄了整個林中所有物件在一個林中至少有一個DC,預設情況下林中第一臺DC就是GCDC的資料庫記錄了當前域中所有物件的所有屬性;GC除了儲存當前域中所有物件的所有屬性外,還儲存了整個林中所有物件的部分屬性如何檢視林中有多少個DC是GC? DNS中檢視OU(組織單元) 相當於一個容器,OU有效的組織域中物件,使域組織更加有條理OU在公司中一般來表示一個部門OU可以巢狀可以針對OU進行許可權的委派,實現分散管理兩個站點的DC需要建立“站點鏈路”才能保證DC資料同步(Active Directory站點和服務功能來操作)在什麼情況下建立備份域控:統一化管理 其主要根據業務部門的需求來決定在什麼情況下建立子域:獨立管理和運營(×××店) 其主要根據業務部門的需求來決定
如何保證兩個站點DC同步:站點鏈路(Active Directory站點和服務功能來操作)1.預設情況下180分鐘,系統自動同步2.可以手工的實現“立即複製”站點最大的好處:可以讓客戶端優先找本站點的DC來完成登陸的身份驗證,只有在本站點的DC出現故障的情況下,才會找其他站點的DC完成登陸。
客戶端要在DC上身份驗證成功,需要滿足兩個條件:1.輸入了DC上正確的使用者名稱和密碼2.在DC上能夠找到當前登陸的計算機物件
快照命令:ntdsutils 回車,下一步輸入IFM回車,需要設定活動例項,輸入activate instance ntds,再次輸入IFM,然後?尋求幫助來完成。
顆粒化密碼策略:在Windows域的組策略中:密碼策略必須應用在域上,不能應用在OU上。複雜性:大寫字母,小寫字母,數字,特殊字元(4個必須包含3個才可以)
使用者登陸快取:預設快取10個賬號,180天
修改還原模式密碼:1.需要能正常登陸到DC2.使用NTDSUTIL來進行修改NTDSUTIL-->SET DSRM PASSWORD --> Reset Password on Server %s -->輸入新密碼---確認新密碼-->完成!
移動活動目錄資料庫:1.Net Stop ntds2.Ntdsutil-->Activate Instance NTDS--> files -->Move DB to %sMove LOGS to %s3.Net Start ntds*
活動目錄備份:新增角色功能 Windows Server Backup系統狀態1.如果是一臺普通的伺服器:登錄檔,com+類庫,Boot Files2.如果是DC:登錄檔,com+類庫,Boot Files,活動目錄資料庫,Sysvol3.如果是CA:登錄檔,com+類庫,Boot Files,證書資料庫4.DC+CA:登錄檔,com+類庫,Boot Files,證書資料庫,活動目錄資料庫,Sysvol
如果備份系統狀態--->在還原的時候,當前的系統一定要能正常工作!對於AD的備份,還是推薦整機備份(裸機恢復的備份)--->即使買了一臺新的伺服器,也可以保證一次恢復,大大提高了恢復的成功率!
活動目錄回收站(Active Directory管理中心-啟用回收站-域(本地)-Deleted Objects中)1.啟用活動目錄回收站必須需要Enterprise Admins成員2.當前的林功能基本至少是Windows 2008R2 模式3.活動目錄回收站一但啟用,無法禁用4.活動目錄 回收站啟用後,活動目錄資料庫容量會增加15%-30%