项目10-维护AD-DS.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Windows Server,活动目录企业应用（微课版）,项目,10,维护,AD DS,杨云 主编,10.1,相关知识,10.1.1,系统状态概述,Windows Server 2012 R2,服务器的系统状态,(system state),内所包含的数据，因服务器所安装的角色种

2、类的不同而有所不同，例如其中可能包含下面的数据：,注册值,COM+,类别注册数据库,(Class Registration database),启动文件（,boot files,）,Active Directory,征书服务,(AD CS),数据库,AD DS,数据库,(Ntds.dit),SYSVOL,文件夹,群集服务信息,Microsoft Intemet Information Services(IIS)metadirectory,受,Windows Resource Protection,保护的系统文件,10.1.2,AD DS,数据库,AD DS,内的组件主要有,AD DS,数据库文

3、件与,SYSVOL,文件夹，其中,AD DS,数据库文件默认位于,%Systemroot%NTDS,文件夹内，如,图,10-1,所示。,图,10-1 AD DS,数据库,Ntds.dit,：,AD DS,数据库文件，存储着此台域控制器的,AD DS,内的对象。,Edb.log,：它是,AD DS,事务日志（扩展名,.log,默认会被隐藏），容量大小为,10 MB,。当您要更改,AD DS,内的对象时，系统会先将变更数据写入到内存（,RAM,）申，然后等系统空闲或关机时，再根据内存内中记录来将更新数据写入,AD DS,数据库（,ntds.dit,）。这种先在内存中处理的方式，可提高,AD DS,

4、工件效率。系统也会将内存中数据的变化过程写到事务日志内（,edb.log,），若系统不正常关机（例如断电），以致于内存中尚未被写,AAD DS,数据库的更新数据遗失时，系统就可以根据事务日志，来推算出不正常关机前，在内存中的更新记录，并将这些记录写入,AD DS,数据库。如果事务日志填满了数据，则系统会将其改名，例如,Edb00001.log,、,Edb00002.log,并重新建立一个事务日志。,Edb.chk,：它是检查点（,checkpoint,）文件。每一次系统将内存中的更新记录写入,AD DS,数据库时，都会一并更新,edb.chk,它会记载事务日志的检查点。如果系统不正常关机，以致

5、于内存中尚未被写入,AD DS,数据库的更新记录遗失，则下一次开机时，系统便可以根据,edb.chk,来得知需要从事务日志内的哪一个变动过程开始，来推算出不正常关机前内存中的更新记录，并将它们写入,AD DS,数据库。,Edbres00001.jrs,与,edbres00002.jrs,：这两个是预留文件，未来如果硬盘的空间不够时可以使用这两个文件，每个文件都是,10 MB,。,10.1.3 SYSVOL,文件夹,SYSVOL,文件夹位于,%systemroot%,内，此文件夹内存储着下面数据：脚本文件（,scripts,）、,NETLOGON,共享文件夹、,SYSVOL,共享文件夹与组策略相

6、关设置。,10.1.4,非授权还原,活动目录的备份一般使用微软自带的备份工具【,Windows Server Backup,】进行备份，活动目录有两种恢复模式：非授权还原和授权还原。,1.,非授权还原,非授权还原可以恢复到活动目录到它备份时的状态，执行非授权还原后，有如下两种情况。,如果域中只有一个域控制器，在备份之后的任何修改都将丢失。例如，备份后添加了一个,OU,，则执行还原后，新添加的,OU,不存在。,如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态。例如，备份后添加了一个,OU,，则执行还原后，新添加的,OU,会从其他域控制器上复制过来，因此该,OU,

7、还存在。如果备份后删除了一个,OU,，则执行还原后也不会恢复该,OU,，因为该,OU,的删除状态会从其他的域控制器上复制过来。,2,非授权还原实际应用场景,如果企业的域控制器正常，只是想要还原到之前的一个备份，使用非授权还原可以轻易完成。,如果企业的域控制器出现崩溃且无法修复时，可以将服务器重新安装系统并升级为域控制器（,IP,地址和计算机名不变），然后通过目录还原模式并利用之前备份的系统状态进行还原。,10.1.5,授权还原,当企业部署了额外域控制器时，如果主域控制器的内容和额外域控制器的内容不相同时，它们怎样进行数据同步呢？,1.,域控制器数据同步,当域控制器发现,Active Direc

8、tory,的内容不一致时，它们会通过比较,AD,的优先级来浃定使用哪台,DC,的内容。,Active Directory,的优先级比较主要考虑以下,3,个方面的因素。,版本号：版本号指的是,Active Directory,对象修改时增加的值，版本号高者优先。例如，域中有两个域控制器,DC1,和,DC2,，当,DC1,创建了一个用户，版本号会随之增加，所以,DC2,会和,DC1,进行版本号比较，发现,DC1,的版本号要高些，所以,DC2,就会向,DC1,同步,Active Directory,内容。,时间：如果,DC1,和,DC2,两个域控制器同时对同一对象进行操作，由于操作间隔相关很小，系统

9、还来不及同步数据，因此它的版本号就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。,GUID,：如果,DC1,和,DC2,两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的,GUID,了，显然这完全是个随机的结果。一般情况下，时间完全相同的非常罕见，因此,GUID,这个因素只是一个备选方案。,授权还原就是通过增加时间版本，使得,AD1,授权恢复的数据变得更新而实现将误操作的数据推送给其他,AD,，而还原点时间之后新增加的操作由于并不在备份文件中，会从其他,DC,重新写入到,AD1,中。,2,授权还原实际应用场景,当企业部署了多台

10、域控制器时，如果想通过还原来恢复之前被误删的对象时，可以使用授权还原。,如果企业有多台域控制器，将一台域控制器还原至一个旧的还原点时，之前的误删对象会暂时被还原，但是因为这台域控制器被还原到了一个旧的还原点，当接入域网络时，便会和其他域控制器进行版本比较，发现自己的版本较低便会同步其他域控制器的,AD,内容，将还原回来的对象再次删除，这样便无法还原被误删的对象。如果可以通过授权还原，也就是通过更改需要还原的对象的版本号，将其的值增加,10,万，使得它的版本号非常的高，当接入到网络时，其他的,AD,域将会因为版本低而同步这个对象，从而实现误删对象的还原。,3,授权还原实例描述,若域内只有一台域控

11、制器，则只需要执行非授权还原即可，但是若域内有多台域控制器，则可能还需执行授权还原。,例如域内有两台域控制器,DC1,与,DC2,，而且您曾经备份域控制器,DC2,的系统状态，可是今天不小心利用,Active Directory,管理中心控制台将用户账户,”,test_user2”,删除了，之后这个变更数据会通过,AD DS,复制机制被复制到域控制器,DC1,，因此在域控制器,DC1,内的,MIKE,账户也会被删除。,若要救回被不小心删除的”,TEST_USER2”,账户，您可能会在域控制器,DC2,上利用标准的非授权还原来将之前已经备份的旧”,TEST_USER2”,账户恢复，可是虽然在域控

12、制器,DC2,内的”,TEST_USER2”,账户已被恢复，但是在域控制器,DC1,内的”,TEST_USER2”,却是被标记为已删除的账户，请问下一次,DC1,与,DC2,之间执行,Active Directory,复制程序时，将会有什么样的结果呢？,答案是在,DC2,内刚被恢复的”,TEST_USER2”,账户会被删除，因为对系统来说，,DC1,内被标记为已删除的”,TEST_USER2”,的版本号码较高，而,DC2,内刚复原的”,TEST_USER2”,是旧的数据，其版本号码较低。两个对象有冲突时，系统会以戳记（,stamp,）来作为解决冲突的依据，因此版本号码较高的对象会覆盖掉版本号码

13、较低的对象。,若要避免上述现象发生，您需要另外再执行授权还原。当您在,DC2,上针对”,TEST_USER2”,账户另外执行授权还原后，这个被恢复的旧”,TEST_USER2”,账户的版本号码将被增加，而且是从备份当天开始到执行授权还原为止，每天增加,100000,，因此当,DC1,与,DC2,开始执行复制工作时，由于位于,DC2,的旧”,TEST_USER2”,账户的版本号码会比较高，所以这个旧”,TEST_USER2”,会被复制到,DC1,，将,DC1,内被标记为已删除的”,TEST_USER2”,覆盖掉，也就是说旧”,TEST_USER2”,被恢复了。,10.2,项目设计及准备,10.2

14、1,项目设计,未名公司基于,Windows Server 2012,活动目录管理公司员工和计算机。活动目录的域控制器负责维护域服务，如果活动目录的域控制器由于硬件或软件方面原因不能正常工作时，用户将不能访问所需的资源或者登录到网络上，更为重要的是这将导致公司网络中所有与,AD,相关的业务系统、生产系统等都会停滞。通过定期对,AD DS,进行备份，当,AD,出现故障或问题时，就可以通过备份文件进行还原，修复故障或解决问题。因此，公司希望管理员定期备份,AD,活动目录服务。公司拓扑如,图,10-1,所示。（,注意：,DC1,和,DC2,位于同一站点！,）,图,10-1,公司拓扑图,10.2.2,

15、项目分析,根据企业项目需求，下面我们通过以下操作模拟企业,AD,的备份与还原过程。,在【技术部】,OU,中创建两个用户“,test_user1,”和“,test_user2,”，并对域控制器进行备份。,在部署单台域控制器环境中使用非授权还原被误删的【技术部】,OU,中的“,test_user1,”用户。,在部署多台域控制器环境中使用授权还原被误删的【技术部】,OU,中的“,test_user2,”用户。,移动与重组,AD DS,数据库。,重设“目录服务还原模式”的系统管理员密码。,配置,Active Directory,回收站。,10.3,项目实施,10.3.1,任务,1,备份,AD DS,（

16、DC,）,您应该定期备份域控制器的系统状态，以便当域控制器的,AD DS,损坏时，可以通过备份数据来恢复域控制器。,步骤,1,首先您需要添加,Windows Server Backup,功能,：【打开,服务器管理器,单击仪表板处的,添加角色和功能,持续单击“,下一步,”按钮直到出现如图,10-2,所示的界面时勾选,Windows Server Backup,单击“,下一步,”按钮、“,安装,”按钮】。,图,10-2,添加,Windows Server Backup,功能,步骤,3,在文件服务器（,192.168.10.254,）中创建一个名为【,backup,】的共享。,步骤,2,在,DC1

17、上的【技术部】,OU,下新建两个用户，分别为“,test_user1,”和“,test_user2,”，如图,10-3,所示。,图,10-2,在,【,技术部,】OU,下新建两个用户,步骤,4,在,DC1,的【服务器管理器】主窗口下，单击【工具】下的【,Windows Server Backup,】，在打开的对话框中右键单击【本地备份】，在弹出的快捷菜单中选择【一次性备份】，如图,10-3,所示。,图,10-3,【一次性备份】,步骤,5,在弹出的,【,一次性备份向导,】,中的,【,备份选项,】,选择,【,其他选项,】,并下一步，在,【,选择备份配置,】,中选择,【,自定义,】,并下一步，在,【

18、选择要备份的项,】,中选择,【,添加项目,】,，在弹出的,【,选择项,】,中勾选,【,系统状态,】,，如图,10-4,所示。,图,10-4,备份系统状态,步骤,6,【指定目标类型】中选择【远程共享文件夹】并下一步，在【指定远程文件夹】中的位置输入“,192.168.10.254Backup,”并单击“下一步”按钮，确认无误单击【备份】进行备份，如图,10-5,所示。,图,10-5,开始备份,10.3.2,任务,2,非授权还原（恢复,DC1,系统状态）,步骤,1,在,DC,上将,【,技术部,】OU,下,“,test_user1,”,用户删除。,步骤,2,重启域控制器,DC1,，按,【F8】,进

19、入高级启动选项，选择,【,目录服务修复模式,】,，如图,10-6,所示,图,10-6,选择,【,目录服务修复模式,】,步骤,3,在登录界面中不能使用域管理员账号登录，必须用本地的管理员账号登录。单击人像左侧的箭头图标，单击其他用户，然后如图,10-7,所示输入,目录服务还原模式,的系统管理员的用户名称与密码来登录，其中用户名称可输入,Administrator,或,DC1Administrator,。,图,10-7,使用本地管理员登录,步骤,4,打开,【,Windows Server Backup】,工具，在打开的对话框中右键单击,【,本地备份,】,，在弹出的快捷菜单中选择,【,恢复,】,，如

20、图,10-8,所示。,图,10-5【,恢复,】,备份,步骤,5,在弹出的,【,恢复向导,】,中的,【,要用于恢复的备份存储在哪个位置？,】,选择,【,在其他位置存储备份,】,并下一步，在,【,指定位置类型,】,中选择,【,远程共享文件夹,】,并下一步，在,【,指定远程文件夹,】,中输入,“,192.168.10.254backup,”,并下一步，在弹出的,【Windows,安全,】,中输入有权限访问共享的凭据，本例中输入的是,文件服务器,ms1,的管理员账户和密码,。如图,10-6,所示。,图,10-6 【,指定远程文件夹,】,及凭据,步骤,7,在,【,选择备份日期,】,中选择要还原的备份日期

21、并单击,“,下一步,”,按钮，在,【,选择恢复类型,】,中选择,【,系统状态,】,并下一步，在,【,选择系统状态恢复的位置,】,中选择,【,原始位置,】,并下一步，在弹出的提示单击,【,确定,】,，如图,10-7,所示。,图,10-7 【,确认恢复向导,】,步骤,7,核对恢复设置正确之后，单击,【,恢复,】,按钮，开始还原，过程将持续,15,30,分钟，还原完成之后，会提示重新启动系统，如图,10-8,所示。,图,10-8,正在还原,步骤,8,重启计算机完成后，使用域管理员账号登录，登录后出现图,10-9,所示界面，表示恢复已经成功。,图,10-9,非授权还原成功,10.3.3,任务,3,授权

22、还原,下面练习假设上述用户账户”,test_user2”,建立在域,的组织单位【技术部】内，我们需要先执行,非授权还原,，然后再利用,ntdsutil,命令来针对用户账户”,test_user2”,执行授杈还原。您可以按照下面的顺序来练习。,在域控制器,DC1,上建立组织单位【技术部】，在【技术部】内建立用户账户”,test_user2”,等组织单位【技术部】、用户账户”,test_user2”,被复制到域控制器,DC2,在域控制器,DC1,上备份系统状态,在域控制器,DC1,上将用户账户”,test_user2”,删除（此账户会被移动到,Deleted Objects,容器内）,等这个被删除

23、的”,test_user2”,账户被复制到域控制器,DC2,，也就是等,DC2,内的”,test_user2”,也被删除（默认等,15,秒）,在,DC1,上先执行非授权还原，然后再执行授权还原，它便会将被删除的”,test_user2”,账户恢复,下面仅说明最后一个步骤，也就是先执行,非授权还原,，然后再执行,授权还原,。,步骤,1,在主域控制器（,DC1,）下将【技术部】,OU,下“,test_user2,”用户删除，稍待片刻，到额外域控制器下（,DC2,）上查看【技术部】,OU,下的用户，发现,DC2,上也只有用户“,test_user1,”，“,test_user2,”用户已经被删除。,

24、重复前面,10.3.2,小节,中的,到,步骤,2,到步骤,7,。注意不要执行步骤,8,，,也就是完成恢复后，,不要,重新启动计算机。,步骤,3,继续在,Windows PowerShell,或命令提示符窗口下依次执行下面命令（完整的操作界面可参考图,10-11,）：,Ntdsutil,。,步骤,4,在,ntdsutil,：提示符下执行下面命令：,activate instance ntds,/,表示要将域控制器的,AD DS,数据库设置为使用中。,步骤,5,在,ntdsutil,：提示符下执行下面命令：,authoritative restore,步骤,6,在,authoritative re

25、store,：提示符下，针对域,的组织单位,【,技术部,】,内的用户,“,test_user2,”,执行授权还原，其命令如下所示：,restore subtree CN=test_user2,，,ou=,技术部，,DC=long,，,DC=com,步骤,7,在图,10-10,中单击,“,是（,Y,）,”,按钮。,图,10-10,授权还原确认,图,10-11,为前面几个步骤的完整操作过程。,图,10-11,授权还原的部分操作过程,步骤,9,在,authoritative restore,：提示符下，执行,quit,命令,。,步骤,10,在,ntdsutil,：提示符下，执行,quit,命令。,步

26、骤,11,利用常规模式重新启动系统。,步骤,12,等域控制器之间的,AD DS,自动同步完成，或利用,Active Directory,站点和服务手动同步，或执行下面命令来手动同步：,repadmin /syncall /e /d /A /P,其中,/e,表示包含所有站点内的域控制器，,/d,表示信息中以,distinguished name(DN),来识别服务器，,/A,表示同步此域控制器内的所有目录分区，,/P,表示同步方向是将此域控制器（,）的变动数据传送给其他域控制器。,完成同步工作后，可利用,Active Directory,管理中心或者,Active Directory,用户和计算

27、机来验证组织单位,【,技术部,】,内的用户账户“,test_user2”,是否已经被恢复。,10.3.4,任务,4,移动,AD DS,数据库,AD DS,数据库与事务日志的存储位置默认在,%systemroot%NTDS,文件夹内，然而一段时间以后，若硬盘存储空间不够或为了提高运行效率，有可能需要将,AD DS,数据库移动到其他位置。,在此我们,不采用,进入,目录服务还原模式,的方式，而是利用将,AD DS,服务停止,的方式来进行,AD DS,数据库文件的移动工作此时必须是隶属于,Administrators,组的成员才有权限进行下面的操作。,我们需要利用,ntdsuti.exe,来移动,AD

28、 DS,数据库与事务日志，下面的练习假设要将它们都移动到,C:NewNTDS,文件夹。,步骤,1,打开命令提示符或,Windows PowerShell,窗口。执行下面命令来停止,AD DS,服务：,net stop ntds,步骤,2,接着输入,Y,后按,ENTER,键。它也会将其他相关服务一起停止。,步骤,3,在命令提示符下执行下面命令（参考图,10-12,）：,ntdsutil,。,在,ntdsutil,：提示符下执行下面命令：,activate instance ntds,表示要将域控制器的,AD DS,数据库设置为使用中。,步骤,4,在,ntdsutil,：提示符下，执行下面命令：,

29、files,；,在,file maintenance,：提示符下执行下面命令：,info,它可以检查,AD DS,数据库与事务日志当前的存储位置，由图,10-12,下方可知道它们目前都位于,C:WindowsNTDS,文件夹内。,图,10-12 AD DS,数据库所在文件夹：,C:WindowsNTDS,文件夹,步骤,5,在,file maintenance,：提示符下，执行下面命令，以便将数据库文件移动到,C:NewNTDS,：,move db to C:NewNTDS,；,在,file maintenance,：提示符下，执行下面命令，以便将事务日志文件也移动到,C:NewNTDS,：,M

30、OVE LOGS TO c:NewNTDS,。,步骤,6,在,file maintenance,：提示符下，执行下面命令，以便执行数据库的完整性检查：,integrity,。,在,file maintenance,：提示符下执行下面命令：,quit,。,若完整性检查成功的话，可跳到步骤,13,，否则请继续下面的步骤。,步骤,7,在,ntdsutil,：提示符下执行下面命令进行数据库语法分析（图,10-13,）：,semantic database analysis,步骤,8,在,semantic checker,：提示符下执行下面命令，以便启用详细信息模式：,verbose on,。,在,se

31、mantk checker,：提示符下执行下面命令，以便执行语义数据库分析工作：,Go fixup,。,图,10-13 AD DS,数据库所在文件夹：,C:WindowsNTDS,文件夹,步骤,9,在,semantic checker,：提示符下执行下面命令：,quit,若语义数据库分析没有错误，可跳到步骤,13,，否则继续下面的步骤。,步骤,10,在,ntdsutil,：提示符下执行下面命令（参考图,10-33,）：,Files,。,步骤,11,在,file maintenance,：提示符下执行下面命令，以便修复数据库：,recover,。,步骤,12,在,fde maintenance,

32、提示符下执行下面命令：,quit,。,步骤,13,在,ntdsutil,：提示符下执行下面命令：,quit,。,步骤,14,回到命令提示符下执行下面命令，以便重新启动,AD DS,服务：,net start ntds,10.3.5,任务,5,重组,AD DS,数据库,AD DS,数据库的重组操作（,defragmentation,）会将数据库内的数据排列得更整齐，让数据的读取速度更快，可以提高,AD DS,的工作效率。,AD DS,数据库的重组如下。,在线重组：每一台域控制器会每隔,12,小时自动执行所谓的垃圾收集程序（,garbage collection process,），它会重组,A

33、D DS,数据库。在线重组无法减少,AD DS,数据库文件（,ntds.dit,）的大小，而只是将数据有效率地重新整理、排列。由于此时,AD DS,还在工作中，因此这个重组操作被称为在线重组。,另外，我们曾经说过一个被删除的对象并不会立刻被从,AD DS,数据库内删除，而是被移动到一个名为,Deleted Objects,的容器内，这个对象在,180,天以后才会被自动清除，而这个清除操作也是由垃圾收集程序所负责的。虽然对象已被清除，不过腾出的空间并不会还给操作系统，也就是数据库文件的大小并不会减少。当您建立新对象时，该对象就会使用腾出的可用空间。,脱机重组：脱机重组必须在,AD DS,服务停止

34、或目录服务还原模式中手动进行，脱机重组会建立一个全新的、整齐的数据库文件，并会将已删除的对象所占用空间还给操作系统，因此可以腾出可用的硬盘空间给操作系统或其他应用程序来使用。,下面将介绍如何来执行脱机重组的步骤请确认当前存储,AD DS,数据库的磁盘内有足够可用空间来存储脱机重组所需的缓存，请至少保留数据库文件大小的,15%,可用空间。还有重组后的新文件的存储位置，也需保留至少与原数据库文件大小的可用空间。下面假设原数据库文件位于,C:WindowsNTDS,文件夹，而我们要将重组后的新文件存储到,C:NTDSTemp,文件夹。,步骤,1,打开,Windows PowerShell,窗口。执行

35、net stop ntds,命令，输入,Y,后单击,ENTER,键来停止,AD DS,服务（它也会将其他相关服务停止）。,步骤,2,在命令提示符下执行下面命令：,ntdsutil,；在,ntdsutil,：提示符下执行下面命令：,activate instance ntds,，表示要将域控制器的,AD DS,数据库设置为使用中；在,ntdsutil:,提示符下执行下面命令：,files,；在,file maintenance,：提示符下执行下面命令：,info,，它可以检查,AD DS,数据库与事务日志当前的存储位置，默认都位于,C:WindowsNTDS,文件夹内。,步骤,3,在,file

36、 maintenance,：提示符下，如图,10-14,所示执行下面命令，以便重组数据库文件，并将所产生的新数据库文件放到,C:NTDSTTemp,文件夹内（新文件的名称还是,ntds.dit,）：,compact to C,：,NTDSTemp,。,图,10-14 AD DS,数据库所在文件夹：,C:WindowsNTDS,文件夹,步骤,4,暂时不要离开,ntdsutil,程序，打开文件资源管理器后执行下面几个步骤：,将原数据库文件,C,：,WindowsNTDSntds.dit,备份起来，以备不时之需。,将重组后的新数据库文件,C:NTDSTempntds.dit,复制到,C:Window

37、sNTDS,文件夹，并覆盖原数据库文件。,将原事务日志,C:WindowsNTDS*.log,删除。,这,3,项内容可以在,命令提示符,下完成（参考图,10-15,所示）,PWindows PowerShell,窗口仍保持：,Mkdir C:NTDSbackup,/,创建备份用的文件夹,Copy c:windowsNTDSntds.dit C:ntdsbackupntds.dit,/,备份,NTDS,数据库文件,Copy C:NTDSTempntds.dit C:WindowsNTDSntds.dit,/,重组数据库,Del C:WindowsNTDS*.log,/,删除日志文件,图,10-1

38、5,在命令提示符下运行,DOS,命令,步骤,5,回到,Windows PowerShell,窗口，继续在,ntdsutil,程序的,frle maintenance,：提示符下，执行下面命令，以便执行数据库的完整性检查：,integrity,，由,Integrity check successful,可知完整性检查成功。,步骤,6,在,file maintenance,：提示符下执行下面命令：,quit,；在,ntdsutil,：提示符下执行下面命令：,quit,。,步骤,7,回到命令提示符下执行下面命令，以便重新启动,AD DS,服务：,net start ntds,。,若无法启动,AD D

39、S,服务，请试着采用下面方法来解决问题：,利用事件查看器来查看目录展务记录文件，若有事件标识符为,1046,或,1168,的事件,记录，请利用备份来复原,AD DS,。,再执行数据库完整性检查（,integrityl,若检查失贱请将之前备份的数据库文件,ntds.dit,复制回原数据库存储位置，然后重复数据库重组操作，若这个操作中的数据库完整性检查还是失败的话，请执行语义数据库分析工作（,semantic database analysis,），若失败的话，请执行修复数据库的操作,(recover),。,10.3.6,任务,6,重置“目录服务还原模式”的系统管理员密码,若忘记了目录服务还原模式

40、的系统管理员密码，以致于无法进入目录服务还原模式该怎么办呢？此时您可以在常规模式下，利用,ntdsutil,程序来重置目录服务还原模式的系统管理员密码，步骤如下。,步骤,1,请到域内的任何一台成员计算机上利用域系统管理员账户登录。,步骤,2,打开命令提示符或,Windows PowerShell,窗口，执行,ntdsutil,命令。,步骤,3,在,ntdsutil,：提示符下执行命令：,set DSRM password,；在“,重置,DSRM,管理员密码”,提示符下执行命令：,步骤,4,输入并确认新密码。连续输入,quit,命令以便离开,ntdsutil,程序。,10.4,习题,一、填空题,

41、1,AD DS,内的组件主要有,与,，其中,AD DS,数据库文件默认位于,文件夹内,2,AD DS,数据库文件是,，存储着此台域控制器的,AD DS,内的对象；,AD DS,事务日志文件是,；检查点（,checkpoint,）文件是,。,3,SYSVOL,文件夹位于,%systemroot%,内，此文件夹内存储着下面数据：脚本文件（,scripts,）、,、,与,。,4,活动目录有两种恢复模式：,和,。授权还原用到命令,。,5,AD,的优先级比较主要考虑以下,3,因素：,、,与,。,二、简答题,1,简述非授权还原和授权还原的应用场景。,2,为什么要重组,AD DS,数据库？,3,如何实施授权还原,?,4,如何重置,“,目录服务还原模式,”,的系统管理员的密码？,一、实训目的,掌握备份与还原,AD DS,掌握移动与重组,AD DS,数据库,掌握重设,“,目录服务还原模式,”,的系统管理员密码,二、项目环境,请参照,图,10-1,所示。,三、项目要求,备份,AD DS,。,非授权还原,AD DS,。,授权还原,AD DS,。,移动与重组,AD DS,。,重置,“,目录服务还原模式,”,系统管理员密码。,四、实训指导,请参照,项目,10-4,完成项目的实训，检查学习效果。,实训项目 维护,AD DS,