全方位管理活动目录.docVIP

维护好网络的“存储中心”——全方位管理活动目录作为一名网络管理员，都知道Active Directory(活动目录)对于整个网络的运行是非常重要的。Active Directory是Windows 2000/Server 2003网络中一系列数据库、系统服务和API的核心组成部分，是关键系统服务的必要元素。要维护和保证Active Directory正常运行，我们既要了解和掌握Active Directory各方面的知识点，又要熟悉对Active Directory的灾难恢复，下面介绍具体维护方法。什么是Active Directory？Active Directory即活动目录，是Windows 2000/Server2003网络中一个用来储存网络资源的相关信息，并且让使用者或应用程序可以存取这些相关信息的网络服务。让网络拓扑及通讯协议透明化，提供集中式的管理，降低管理负担，提供单一登入机制。避免用户记忆多组账号及密码，使用户在网络空间中登录和漫游变得更加容易。Active Directory数据库包括这五个文件：Ntds.dit存储了活动目录内所有的对象，Edb.log为事务日志文件，默认大小10MB。Edb.chk为检查点文件Res1.log、Res2.log为保留的事务日志文件，默认大小各为10MB，默认情况都是保存在系统的\Windows\NTDS目录下。为何要备份Active Directory？Active Directory是一个可以复制的数据库，和其他数据库一样，它在以下几个方面容易受到损坏：1．由于软件或硬件故障而不能正常引导的域控制器：2．损坏的或者无效的数据库架构．这里的架构是指数据库的结构，包括数据类型以及数据的组织方式等：3．DNS记录丢失，记录损坏或者无用的信息：4．系统管理员的误操作．导致Active Directory数据丢失或受到损坏。备份活动目录因Active Directory的组成文件在Windows 2000/Server 2003域控制器的运行过程中一直是打开使用的。所以我们不能像操作普通文件那样直接复制一份Active Directory数据库。我们可以借助Windows 2000/Server 2003提供的在线备份工具来备份。备份可以在域控制器处于联机状态时执行，它不对用户正常工作产生任何影响。操作步骤如下：依次单击“开始→运行”，键入ntbackup，单击“确定”。按照弹出窗口中的提示向下操作，等出现如图界面时选中“System State”项，选好备份的目的地，再单击“开始备份”即可。 注意：备份Active Directory有它的一些特殊约束，不能以为只要备份了，就可以高忱无忧了。Active Directory只备份当前有效的数据。当你在Active Directory中删除了一个对象时，域控制器会为这个已删除的对象创建一个标志，然后向域中其他的域控制器宣告对象删除了。这个标志意味着在Active Directory中一个对象被标记为删除，但是这个对象本身并没有被真正删除，只有当达到全局标志时间(Global Tombstone Lifetime，默认情况下是60天)的时候。域控制器才真正把这个对象删除。如果我们把Active Directory恢复到某个对象删除以前的状态，并且如果在全局标志时间到期之前没有复制这个被删除对象的标志，这个域控制器内被删除的对象仍然存在，最终的结果就是Active Directory数据库不完整。为了避免这种情况的发生。Windows 2000/Server 2003将会拒绝从过期的Active Directory备份中恢复。所以，在每删除一个对象之后，最好再对Active Directory做一次备份或者每60天做一次备份。当然。如果你的Active Directory备份已经超过了过期期限，可以参照微软的“Backup of the Active Directory Has 60一Day Useful Life”这篇文章上的方法进行恢复(文章地址：/default.aspx?scid=kb;en-us;216993)。我们在备份其他文件时，可以根据需要选择完全备份、完全复制、差导备份或增量备份，但是对Active Directory备份．只能进行完全备份。确保你的域控制器的备份至少要包含系统状态、系统盘的文件以及Sysvol文件夹的内容。系统状态包括了绝大多数恢复域控制器所需的关键文件和设置。备份系统盘的文件以及Sysvol文件夹的内容是为了保证能成功恢复。你只能使用原服务器的备份来恢复该服务器．不可以使用别的服务器的备份来恢复其他的服务器。所以要完整备份你的网络．就必须为企业中的每一