Windows erver 2003由入门到精通.pptVIP

AD的灾难性恢复处理 重新安装恢复AD 还原AD的最简单方法是重新安装操作系统，重新提升DC 从备份中还原AD 从备份文件恢复AD是非常适合的。但要注意使用的还原模式，如果因恢复错误操作的信息，应记得使用授权恢复模式。 Windows 2003多种服务器角色集于一身（ＤＮＳ，ＤＨＣＰ，ＶＰＮ） 操作主机角色 Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。 在每个林中，至少有五个指派给一个或多个域控制器的操作主机角色。在每个林中，林范围的操作主机角色必须只出现一次。在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。 林范围内的操作主机角色 每个林必须具有以下角色： 架构主机 域命名主机 在林中这些角色必须是唯一的。这意味着在整个林中，只能有一个架构主机和一个域命名主机。 架构主机 架构主机域控制器控制对架构的全部更新和修改。要更新林的架构，您必须拥有架构主机的访问权。在整个林中，只能有一个架构主机。 域命名主机 担当域域命名主机角色的域控制器控制林中域的添加或删除。在整个林中只能有一个域命名主机。 注意：与设置成 Windows 2000 功能级别的林中的域命名主机不同，设置成 Windows Server 2003 功能级别的林中的域命名主机不要求作为全局编录来启用。 域范围内的操作主机角色 林中的每个域都必须有下列角色： 相对 ID (RID) 主机 主域控制器 (PDC) 仿真主机 结构主机 在每个域中这些角色都必须是唯一的。即林中的每个域都只能有一个相对 ID 主机、PDC 仿真主机以及结构主机。 RID 主机 RID 主机将系列相对 ID (RID) 分配给域中每个不同的域控制器。在任何时候，林中的每个域中只能有一个域控制器作为 RID 主机。 每次当域控制器创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全 ID (SID)。SID 包含一个“域”SID（它与域中创建的所有 SID 相同）和一个 RID（它对域中创建的每个 SID 是唯一的）。 要在域之间移动对象（使用 Movetree.exe），必须由您启动在域控制器上的移动操作，而此域控制器必须是目前包含该对象的域的 RID 主机。 PDC 仿真主机 如果此域包含在没有 Windows 2000 或 Windows XP Professional 客户端软件情况下运行的计算机，或者包含 Windows NT 备份域控制器 (BDC)，则由 PDC 仿真主机担当 Windows NT 的主域控制器。它处理来自客户端的密码更改并将更新复制到 BDC。在任何时候，林中的每个域中只能有一个域控制器作为 PDC 仿真主机。 在默认情况下，PDC 仿真主机还负责同步整个域内所有域控制器上的时间。域的 PDC 模拟器将其时钟设置为父域中任意域控制器上的时钟。父域中的 PDC 模拟器应配置为与外部时间源同步。您可以使用下列语法执行“net time”命令，同步 PDC 模拟器和外部服务器上的时间： net time \\ServerName /setsntp:TimeSource 最终结果是整个林内所有运行 Windows Server 2003 或 Windows 2000 的计算机的时间相差都在几秒钟以内。 PDC 模拟器接受域中其他域控制器执行的密码更改的首选复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将验证请求转发给 PDC 模拟器。 配置了 PDC 模拟器角色的域控制器支持两种身份验证协议： Kerberos V5 协议 NTLM 协议 结构主机 在任何时候，每个域中只能有一个域控制器作为结构主机。结构主机负责更新从它所在的域中的对象到其他域中对象的引用。结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新，从而使全局编录的数据始终保持最新。如果结构主机发现数据过时，则它从全局编录申请更新的数据。结构主机然后将这些更新的数据复制到域中的其他域控制器 注意： 单域情况下结构主机不需要工作，不能同时和GC配置在一起单域除外。除非域中只有一个域控制器，否则不应将结构主机角色指派给维护全局编录的域控制器。如果结构主机和全局编录处于相同的域控制器中，则结构主机不会运行。结构主机从不查看过时的数据，也从不将任何