活动目录的维护、备份与修复

如果想提升域功能级别的话 需要使用Active Directory用户和计算机 通过开始--运行--输入dsa.msc按确定来打开Active Directory用户和计算机   对着域名(yejunsheng.com)右键--选择提升域功能级别  可以看到当前域功能级别是Windows 2000混合模式  我现在把它提升到Windows Server 2003 按提升    这个时候它就告诉你此更改影响整个域.提升域功能级别后,你可能无法还原 就是说是单向一次 按确定就ok了

如果想提升整个森林的功能级别的话   通过开始--程序--管理工具--选择Active Directory 域和信任关系

  对着Active Directory 域和信任关系右键--选择提升林功能级别      我现在把林功能级别提升为Windows server 2003   按提升 它提示此更改影响整个林．提升林功能级别后,你可能无法还原   按确定就ok了   如果说无法提升林功能级别  可能当前在你的森林里面有一台DC不可用 就是说你那台DC还没有启动    提升域功能级别也一样  如果森林里面有一台DC不可用  域功能级别也不能提升  注意:提升森林功能级别的前提是当前所有森林里面的域是windows server 2003  或者windows server 2000本机模式才可以

 

  如果你想看那个LostAndFound文件    就按查看--选择高级功能    如果一边把一个用户加入组  一边把一个用户删除了  那么这个用户会放到LostAndFound这个容器里面 那具体这个用户是被删除还是被还原  你就可以在这个容器的右边找这个用户 然后进行操作 在命令提示符下输入regsvr32 schmmgmt.dll按回车键来注册那个动态连接库 

通过开始--运行--输入mmc按确定来打开控制台--按文件--选择添加/删除管理单元--按添加--按Active Directory 架构--按添加就可以了    只有在命令提示符下输入regsvr32 schmmgmt.dll按回车键来注册那个动态连接库后  才有Active Directory架构这一项  否则是看不到的 

在控制台里面对着Active Directory架构右键--选择操作主机   可以看到当前架构主机是london.yejunsheng.com

在命令提示符下输入whoami /all按回车键后 可以查看当前用户的信息    其中有一行叫做用户的SID  yejunsheng\administrator是我当前登录的用户  S-1-5-21-555357802-1166499522-374538438-500 是我当前登录用户的SID 这三段555357802-1166499522-374538438是标识域的   凡是在不同的域上面  这三段会不一样   开头S-1-5-21都一样 最后的500是由于域内的RID作标识的 换句话说最后一段就叫做RID 

我现在来到一台计算机名称叫做Florence的额外域控制器    打开Active Directory 用户和计算机后  对着域名(yejunsheng.com)右键--选择操作主机   按结构  可以看到当前操作主机是londom.yejunsheng.com  我现在把这个操作主机传送到Florence.yejunsheng.com这台计算机里面   按更改  按是就ok了  传送的提前是两边的这两台DC都能正常工作 之后就由Florence这台DC去维护当前域内森林的关系了 它已经跟GC分开了

  我现在把London那台主DC暂停掉使它不能够和Florence那台辅助DC进行通讯  然后到Florence这台计算机把PDC从London那台主算机抢夺过来        对着域名(yejunsheng.com)右键--选择操作主机--按PDC  可以看到操作主机错误   当前操作主机脱机.角色不能传送   按更改   等一下就会报错了   说请求的FSMO操作失败    按是就进行抢夺了  

你可以把windows server 2003光盘里面的SUPPORT\TOOLS\SUPTOOLS.MSI安装   然后通过开始--程序--Windows Support Tools--按Command Prompt  在Command Prompt里面输入ntdstil按回车键   输入roles按回车键  输入con按回车键  输入con to ser london.yejunsheng.com按回车键   输入quit按回车键   输入seize rid mas按回车键   按是就进行抢夺了 注意:ntdsutil这个命令的好处是不用输入全字母  只要你所输入的字符能够在这里面唯一去表示这个命令就可以了    比如connections这个命令 我只输入con按回车键就ok了

在Command Prompt里面输入netdom按回车键   输入netdom query fsmo按回车键后可以查看到所有的操作主控了

现在我把Florence这台计算机重新启动  等8秒左右就按F8键  按目录服务还原模式(只用于Windows域控制器)

注意:这个密码是你安装活动目录的时候输入的密码    输入密码后按确定就ok了

我现在来到London这台主DC   通过开始--运行--输入ntbackup按确定    在备份工具里面按备份   把System State沟上  我把它存储在C盘里面   按开始备份就可以了

我现在已经进入Florence这台辅助DC的活动目录还原模式了     在命令提示符下输入ntdsutil按回车键  输入files按回车键  输入move db to e:\ 按回车键    就是说我现在把活动目录数据库移动到e盘根目录下了   在命令提示符里面可以看到数据库的大小和位置  日志文件的位置和大小   硬盘的大小和位置

  如果想把活动目录数据库文件压缩怎么办呢？ 在命令提示符下输入ntdsutil按回车键  输入files按回车键  输入compact to e:\temp按回车键就ok了   就是说我现在要把这个活动目录压缩文件存储在e盘里面的temp文件里面   在命令提示符里面也提示如果压缩成功你需要把旧的日志文件删除掉

我现在把temp里面的活动目录压缩文件复制再粘贴到E盘这个时候就可以看到以前的文件是14.oMB  现在变成10.0MB了 按是就替换了

我现在来到London这台主DC 打开Active Directory后  按Users 把yejunsheng这个用户删除掉  你会发现Florence这台辅助DC里面的yejunsheng这个用户也没有了    但是最后你发现你删除错了   怎么办呢？ 我现在把London这台主DC重新启动 然后按F8键  按目录服务还原模式(只用于Windows域控制器)

现在已经进入London这台主DC的目录还原模式了  通过开始--运行--输入ntbackup按确定   在备份工具里面按还原和管理媒体  把System State 沟上   按开始还原就ok了 

当活动目录数据还原完成后   你就在命令提示符里面    输入ntdsutil按回车键   输入au re按回车键   比如我现在想把yejunsheng这个用户还原回来  就这样输入restore object cn=yejunsheng,cn=users,dc=yejunsheng,dc=com按回车键   这个时候它就问您确实想要执行这个授权还原吗？ 你就按是就ok了 你再重新启动之后   yejunsheng这个用户就不会被其他DC覆盖  而能够去覆盖其他DC了