管控Windows Server 2012活動目錄數(shù)據(jù)庫

AD數(shù)據(jù)庫的構(gòu)成

打開“%systemroot% tds”目錄，可顯示和AD數(shù)據(jù)庫相關(guān)的文件，包括“ntds.dit”、“ebdxxx.log”、“ebd.chk”、“res1.log”、“reslog2.log”、“temp.ebd”等，其中的“ntds.dit”是活動目錄數(shù)據(jù)庫文件，“ebd.log”是當前的日志文件，當該文件被寫滿后，會按照數(shù)字編號被命令為“ebdxxx.log”。

注意，活動目錄會循環(huán)刪除日志文件?！皉es1.log”和“reslog2.log”是預留的日志空間文件，“ebd.chk”是數(shù)據(jù)庫檢查點文件，檢查點一般用于在恢復和初始化時驗證數(shù)據(jù)庫的一致性。“temp.ebd”是維護AD數(shù)據(jù)庫時使用的臨時文件，“ebdtmp.log”是暫時日志填充文件。

重定向AD數(shù)據(jù)庫位置

維護AD數(shù)據(jù)庫時，管理員必須在CMD窗口中執(zhí) 行“net stop ntds”命令，停止活動目錄域服務。執(zhí)行“net start ntds”命令，可啟動活動目錄域服務。

圖1 執(zhí)行ntdsutil命令

為保護AD數(shù)據(jù)庫安全，建議將AD數(shù)據(jù)庫重定向到其他磁盤。先停止AD DS服務，依次執(zhí)行“ntdsutil:active instance NTDS1”，“ntdsutils NTDS1”命令（如圖1），激活名為“NTDS1”的實例，并切換到文件維護模式。在“file maintenance:”提示符下執(zhí)行“move db to f: tdsdb”命令，將AD數(shù)據(jù)庫移動到指定目錄中，繼續(xù)執(zhí)行“info”命令來查看更改后的AD數(shù)據(jù)庫路徑信息。

當然，也可將上述命令集成到一條指令中，例如執(zhí)行“ntdsutil"active instance NTDS1" "files""info" quit quit”等，來連貫的執(zhí)行不同的操作。

整理AD數(shù)據(jù)庫碎片

為了提高AD數(shù)據(jù)庫的性能，需要定期對其進行整理操作，來清除其中的碎片信息，其方式分為在線整理和離線整理，一般來說，最常用的是離線整理方式。

先停止AD DS域服務，按照上述方法激活名為“NTDS1”的實例，并切換到文件維護模式。在“file maintenance:”提示符下執(zhí)行“compact to f:zlsp”命令，對AD數(shù)據(jù)庫進行壓縮整理操作。完成后連續(xù)執(zhí)行“quit”命令，返回正常的命令窗口。執(zhí)行“copy" f:zlsp tds.dit""f: tdsdbdit"”命令，替換原有的AD數(shù)據(jù)庫文件。之后刪除“c:windows tds”目錄中的所有以“.log”為后綴的日志文件，并重啟AD DS域服務。

快速修復AD數(shù)據(jù)庫

當AD數(shù)據(jù)庫出現(xiàn)故障，最好的解決方法是使用備份的文件進行恢復，如未備份，可使用“ntdsutil”工具進行修復，不過其修復能力有限，往往無法徹底修復。在修復前，建議將出現(xiàn)問題的域控斷開網(wǎng)絡，防止其對其他的域控造成不利影響。停止AD DS域服務，按照上述方法激切換到文件維護模式。在“file maintenance:”提示符下執(zhí)行“recover”命令，對AD數(shù)據(jù)庫進行故障修復操作，當提示成功恢復數(shù)據(jù)庫后，執(zhí)行“checksum”命令，檢查數(shù)據(jù)庫的完整性。最后重啟AD DS服務器，完整修復操作。

清除重復的SID信息

如果忘記了重置目錄服務還原模式管理員密碼，可以執(zhí)行“ntdsutil”命令，執(zhí)行“set DSRM password”命令，按照密碼復雜性原則來設置新的密碼。在實際工作中，經(jīng)常采用Ghost工具來克隆系統(tǒng)，這樣就避免了漫長的常規(guī)安裝系統(tǒng)操作?？寺“惭b雖然簡單好用，但是其存在SID信息重復的問題。為此可以執(zhí)行“ntdsutil”命令，在“ntdsutils:”提示符下執(zhí)行“security account management”命令，進入安全策略賬戶維護模式，繼續(xù)執(zhí)行“connect to server xxx.com”、“check duplicate sid”、“clean duplicate sid”命令，連接到目標目標域控上，在當前活動目錄數(shù)據(jù)庫中檢查是否存在重復的SID信息，并這些重復的SID信息清除掉。

清理AD數(shù)據(jù)庫中的垃圾信息

在AD數(shù)據(jù)庫運行過程中，可能會因為各種異常操作造成垃圾信息的產(chǎn)生。為了避免不必要的問題，最好將垃圾數(shù)據(jù)從AD數(shù)據(jù)庫中及時清除。在CMD窗口中執(zhí)行“ntdsutil”程序，在提示符下依次執(zhí)行“metadatacleanup”、“select operation target”、“connections”、“connect to server xxx.com”、“quit”命令。連接到名為“xxx.com”的目標站點。在“select operation target:”提 示符下執(zhí)行“l(fā)ist site”命令，顯示域中所有的可用站點。 在“select opeartion target:”欄中輸入目標站點，例 如“select site 2”等。 在“select opeartion target:”欄中繼續(xù)輸入“l(fā)ist domains”，回車后顯示該站點中的域信息。

根據(jù)顯示的結(jié)果來進一步選擇目標域，例如輸入“select domain 1”等。選擇目標站點后，在“select operation target:”欄 中輸 入“l(fā)ist servers for domain in site”，回車后列出其中所有可用的域控。例如輸入“select server x”命令，選擇目標域控，這里的“x”為具體的序號。執(zhí)行“quit”命令后，在“meta cleanup:”欄中執(zhí)行“remove select server”命令，在彈出的警告窗口中點擊“是”按鈕，即可對目標AD數(shù)據(jù)庫中垃圾數(shù)據(jù)進行清理。完成以上操作后，可在Active Directory站點和服務窗口對應站點中刪除目標Server對象，在Active Directory用戶和計算機窗口中刪除目標域控對象。對于域?qū)ο?，在?zhí)行了以上清理操作后，還需在Active Directory域和信任關(guān)系窗口中清除已失效的域信任關(guān)系。

靈活的AD數(shù)據(jù)庫備份方式

同之前的版本相比，Windows Server 2012可以更見簡單高效的還原AD數(shù)據(jù)庫。例如運行Windows Server Backup程序，在其右側(cè)點擊“一次性備份”項，在向?qū)Ы缑嬷羞x擇“其他選項”項，在下一步窗口中選擇“自定義”項，來自由定義備份內(nèi)動。當然選擇“整個服務器（推薦）”項，可以備份當前域控的所有磁盤。在下一步窗口中點擊“添加項目”按鈕，在選擇項窗口（如圖2）中選擇“裸機恢復”、“系統(tǒng)狀態(tài)”、“系統(tǒng)保留”以及系統(tǒng)盤等項目。點擊“高級設置”按鈕，在“VSS設置”面板中選擇“VSS完整備份”項。

圖2 備份向?qū)Ы缑?/p>

點擊“下一步”按鈕，選擇“本地驅(qū)動器”項，之后選擇目標磁盤，即可執(zhí)行備份操作。當然選擇“遠程共享文件夾”項，可將備份數(shù)據(jù)保存到指定網(wǎng)絡共享路徑中。

為了提高備份的靈活性，可以讓系統(tǒng)自動定時進行備份操作。在Windows Server Backup程序右側(cè)點擊“備份計劃”項，選擇備份項目，這與上述基本一致，在指定備份時間窗口中根據(jù)需要選擇具體的備份頻率，包括每日一次和每日多次。例如在每天的指定時間進行備份，在下一步窗口中選擇“備份到卷”項，選擇目標磁盤，完成備份計劃創(chuàng)建操作。

此外，還可以使用系統(tǒng)內(nèi)置的“wbadmin”命令，來快速進行備份操作。

例如，在命令提示符下執(zhí)行“wbadmin start backup -backuptarget:f:-include:c:”命令，將系統(tǒng)盤備份到F盤，執(zhí)行“wbadmin get versions”命令，并在返回信息中顯示備份事件、備份目標、版本標識符、可以恢復的內(nèi)容，以及快照ID等信息。 執(zhí)行“wbadmin START SYSTEMSTATEBACKUP -backuptarget:f:”命令，可將系統(tǒng)狀態(tài)信息備份到F盤。

快速還原AD數(shù)據(jù)庫

當執(zhí)行了異常操作（例如誤刪除域賬戶等），造成了AD數(shù)據(jù)庫中的信息丟失，就需要使用還原機制進行恢復了。在實際的網(wǎng)絡環(huán)境中，通常存在多臺域控，彼此之間可以互為備份。

為了避免在還原后，該域控從別的域控那里獲得錯誤的信息，讓AD數(shù)據(jù)庫還原失效的話，最好使用權(quán)威還原模式加以應對。

注意，當AD數(shù)據(jù)庫還原之后，如果發(fā)現(xiàn)有的客戶機無法加入域的話，說明還原操作可能破壞了域和客戶機賬戶之間的信任關(guān)系，為此只需重新加入域，來重建信任票據(jù)關(guān)系即可。

在進行還原時，需要重啟域控，按照提示點擊F8鍵，在高級啟動選項菜單中選擇“目錄服務修復模式”項，輸入賬戶名（例如“.administrator”）和目錄還原模式管理密碼，進入安全模式。啟動Windows Server Backup程序，在其右側(cè)點擊“恢復”項，在向?qū)Ы缑嬷羞x擇“此服務器”項，在下一步窗口中選擇用于恢復的備份日期，來顯示對應的可用備份項目。

點擊“下一步”按鈕，選擇恢復的內(nèi)容，包括文件和文件夾、Hyprt-V、卷、應用程序、系統(tǒng)狀態(tài)等?？梢愿鶕?jù)實際需要進行選擇，例如選擇“系統(tǒng)狀態(tài)”項，在下一步窗口中選擇“原始位置”項，表示恢復系統(tǒng)狀態(tài)。

注意，為了實現(xiàn)授權(quán)還原，需要選擇“對Active Directory文件執(zhí)行授權(quán)還原”項，否則執(zhí)行的就是非授權(quán)還原。

所謂授權(quán)還原，指的是禁止域環(huán)境中的其他域控同步復制AD數(shù)據(jù)庫，即在域中發(fā)布一個通告，告知其他域控本機的AD數(shù)據(jù)庫為最高值，其他所有域控均要以本機的AD數(shù)據(jù)庫為準，這樣，其他域控就不會將舊的數(shù)據(jù)（例如包含已經(jīng)刪除的域賬戶信息等）同步到AD數(shù)據(jù)庫中。對于非授權(quán)還原來說，情況則恰好相反。如果其數(shù)據(jù)比較舊的話，其他域控就會將最新的數(shù)據(jù)同步過來，這樣就無法實現(xiàn)恢復數(shù)據(jù)的目的。

點擊“下一步”按鈕，系統(tǒng)會提示在執(zhí)行恢復操作后，域控之間會同步數(shù)據(jù)。之后點擊“恢復”按鈕，系統(tǒng)將執(zhí)行恢復操作并重啟系統(tǒng)。

使用命令行還原AD數(shù)據(jù)庫

當然，也可以使用“wbadmin”命令，來執(zhí)行還原操作。在CMD窗口中執(zhí)行“wbadmin get version”命令，會顯示備份列表信息，不同的備份項目擁有各自的版本標識符。

例如，執(zhí)行“wbadmin START SYSTEMSTATERECOVERY-version:01/01/2018-09:00”命令，使用指定的備份文件標識符，來恢復特定時間的備份數(shù)據(jù)，這里的“01/01/2018-09:00”為對應備份文件的版本標識符。該命令執(zhí)行后，在提示欄中點擊“Y”鍵，執(zhí)行恢復操作并重啟系統(tǒng)，系統(tǒng)會提示恢復操作已經(jīng)完成。

注意，以上命令行操作實現(xiàn)的是非授權(quán)還原。如果需要執(zhí)行授權(quán)還原，其方法稍有不同。在恢復命令執(zhí)行后，系統(tǒng)提示重啟時不要重啟系統(tǒng)，執(zhí)行“ntdsutil”命令，在“ntdsutil:”提示符下依次執(zhí)行“Active Instance NTDS1”、“Authoritative restore”、“Restore object CN=user1,OU=bumen1,DC=xxx,DC=com”命令，在彈出的警告窗口中執(zhí)行“是”按鈕，執(zhí)行恢復操作即可。

這里以恢復誤刪除的OU為“bumen1”中的“user1”賬戶為例。執(zhí)行“quit”命令推出“ntdsutil”程序。執(zhí)行“Repadmin /showmeta CN=user1,OU=bumen1,DC=xxx,DC=com”，可以看到其增加值為10000，可以使該恢復的賬戶對象成為整個域的授權(quán)版本，這樣在域控之間同步時就不會刪除該被恢復的賬戶對象。

實現(xiàn)裸機還原，恢復域控活力

如果域控的系統(tǒng)出現(xiàn)嚴重故障，或系統(tǒng)分區(qū)受到嚴重損壞，那么就需要使用完整備份來執(zhí)行還原操作了。

所謂完整備份，指的是在備份時必須選擇“裸機恢復”、“系統(tǒng)狀態(tài)”、“系統(tǒng)保留”、“本地磁盤 (C)”等對象。因為域控已經(jīng)損壞無法啟動，所以需要使用安裝光盤或者安裝U盤引導系統(tǒng)，在安裝界面中點擊“下一步”按鈕，在出現(xiàn)“現(xiàn)在安裝”界面中點擊“修復計算機”選項，之后依次點擊“疑難解答”、“系統(tǒng)恢復映像”等按鈕。

在系統(tǒng)映像恢復窗口中點擊“Windows Server 2012”選項。在恢復向?qū)Ы缑嬷羞x擇“使用最新的可用系統(tǒng)映像”項，在下一步窗口中選擇“格式化并重新分區(qū)磁盤”選項，點擊“排除磁盤”按鈕，并選擇需要排除的磁盤，使其排除在重新分區(qū)的范圍外。

點擊“高級”按鈕，選擇“完成還原后自動重新啟動計算機”和“自動檢測和更新磁盤錯誤信息”項。在下一步窗口中點擊“完成”按鈕，可以對目標磁盤進行分區(qū)和格式化操作。

在之后彈出的警告窗口中點擊“是”按鈕，開始執(zhí)行還原操作。之后重啟域控，就可以將其恢復到可用狀態(tài)。