AD系列之 為什么需要AD系列之 部署第一個AD系列之 用備份進行AD的重AD系列之 部署額外域控制AD系列之 ActiveDirectory的還AD系列之 離線部署額外域控制AD系列之 ActiveDirectory的脫機碎片整AD系列之 ActiveDirectory的拓AD系列之 ActiveDirectory操作主機詳AD系列之 實戰(zhàn)操作主機角色轉(zhuǎn)AD系列之十 什么是站AD系列之十 實戰(zhàn)ActiveDirectory站點部署與管AD系列之十 AD系列之十 域控制器的強制卸AD系列之十 域控制器的終極卸AD系列之十 理解域信任關(guān)AD系列之十 實戰(zhàn)詳解域信任關(guān)AD系列之十 AD系列之十 AD系列之二 AD系列之二十 公司招聘工程師的要求中也都明確要求應(yīng)聘者熟悉或精通ActiveDirectory。站點，組策略，拓?fù)洌僮髦鳈C角色，全局編錄….很多初學(xué)者容易陷入這些技術(shù)細(xì)節(jié)而缺少了對全局的把握。從今天開始，推出ActiveDirectory系列博文，希望對廣大學(xué)習(xí)AD的朋友有所幫助。Florence，一臺是客戶機用戶賬號，如果者能回答出張建國賬號的用戶名和，我們就認(rèn)可這個訪 準(zhǔn)備資源\\Florence\人事，服務(wù)器對者提出了驗證請 成功地通過了驗證，到了目標(biāo)資源500臺服務(wù)器，這大致是一個中型公司的規(guī)模，那么我們的麻煩就來了。如果這500臺服務(wù)器上都有資源要分配給，那會有什么樣用戶名和。而服務(wù)器管理員也好不到哪兒去，每個用戶賬號都重新創(chuàng)建500次！如果公司內(nèi)有1000人呢？我們難以想象這么管理網(wǎng)絡(luò)資源的，這eDirectory的數(shù)據(jù)庫中。ActiveDirectory這個微軟工程師必備的重要知識點。域中有三種計算機，一種是域控制器，域控制器上著ActiveDirectory；ence是域控制器，Berlin是成員服務(wù)器，Perth是工作站。NS需要為域中的計算機提供解析服務(wù)；另外一個重要的原因是域中的計算DNSSRV記錄來定位域控制器，因此我們在創(chuàng)建域之前需NSDNS解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來選擇DNS服務(wù)器。首先我們要在DNS服務(wù)器上創(chuàng)建出一個區(qū)域，區(qū)域的名稱和相同，域內(nèi)計 錄，SRV記錄和Cname記錄。SNSSOA記錄的意義，NS記錄描述了有多 臺服務(wù)器，域控制器上著ActiveDirectory，可以說，域控制器就是域因為我們剛剛在192.168.11.1上創(chuàng)建了 ence上安裝一個ActiveDirectory數(shù)據(jù)庫，點擊下一步繼續(xù)。 基本上域的NETBIOS名稱就是中.之前的部分。ActiveDirectory數(shù)據(jù)庫的路徑我們使用了默認(rèn)值，如果在生產(chǎn)環(huán)境，可以考ActiveDirectoryDNS服務(wù)器進行檢測，檢查是否在DNS服務(wù)器上已經(jīng)創(chuàng)建了和相同的區(qū)域，而且區(qū)域是否允許動態(tài)更新。如下圖所示，DNSDNS檢測有問題，我們應(yīng)該及時排除接下來要選擇用戶和組的默認(rèn)權(quán)限，我們選擇了不允許如下圖所示，ActiveDirectoryFlorenceActiveDir重啟Florence后我們發(fā)現(xiàn)已經(jīng)可以用域管理員的登錄了， ActiveDirectory中創(chuàng)建計算機賬號。創(chuàng)建計算機賬號從操作上看非 這時系統(tǒng)需要我們輸入一個有權(quán)限在ActiveDirectory中創(chuàng)建計算機賬號的用戶名和口令，我們輸入了域管理員的用戶名和。ActiveDirectory中創(chuàng)建關(guān)ActiveDirectory中利用組織單位展示出企業(yè)ctiveDirectory用戶和計算機，選擇新建組織單位。輸入用戶，選擇“永不過期”的重什么。域中的計算機可以共戶賬號，計算機賬號和安全策略，我們來看看這們現(xiàn)在有個簡單的任務(wù)，要把成員服務(wù)器Berlin上一個共享文件夾的讀權(quán)限分配給公司的員工。上次我們實驗時已經(jīng)為創(chuàng)建了用戶賬號，這次我和安全”，準(zhǔn)備把Tools文件夾共享出來。s文件夾的讀權(quán)限只分配給。 們只把共享文件夾的權(quán)限授予了。Berlin上的共享文件夾Tools，如下圖所示，順利地到組等信息，令牌就相當(dāng)于的電子。當(dāng)Berlin上的共享文件夾時，Berlin的守護進程會檢查者的令牌，然后和被資源的 我們先看如何利用對ActiveDirectory的備份來實現(xiàn)域控制器的重建。SystemState，SystemStateActiveDirectorySystemStateActiveDirectory，RegistrySysvol就夠了，但備份工具中不允許再進行粒度更細(xì)致的劃分，因此我們選擇備份整個SystemState。SystemStateC:\ADBAK外一臺計算機來Florence。如下圖所示，我們把這臺新計算機也命名為FlDNS192.168.11.1。ActiveDirectoryActiveDirectory即可。BACKUP.BKFSystemy的重建工作。嘗試讓域用戶進行登錄，一切正常，至此，ActiveDirectoryActiveDirectory數(shù)據(jù)庫進行備份，然后在域控制器時利用備份內(nèi)容還原ActiveDirectoryActiveDirectory的容錯和性能問題。ActiveDirectory數(shù)據(jù)庫。使用額外域控制器的好處很多，首先是避免了域控理一個用戶登錄的時間是0.1秒，那最后一個用戶登錄進入系統(tǒng)肯定要遭遇一錄請求通過低速的廣域網(wǎng)提交到的域控制器上進行驗證不是一個效率高的ActiveDirectory數(shù)據(jù)ActiveDirectory內(nèi)容是動態(tài)同步的，也就是說，任何ActiveDirectory，其他的域控制器都要把這個修改作用ActiveDirectoryActiveDirectory數(shù)據(jù)的完整ActiveDirectory內(nèi)容不一致，域控制的主服務(wù)器和輔助服務(wù)器的區(qū)別。NT4的這種結(jié)構(gòu)我們稱之為單主，而自Win2003域中的第一臺域控制器我們稱之為主域控制器是不太嚴(yán)謹(jǐn)?shù)模m然事實上第一臺域控制器比其他的域控制器承擔(dān)了的任務(wù)。制器。Firenze不用先加入域，F(xiàn)irenze是工作組內(nèi)的一立計算機也是可以 ActiveDirectory數(shù)據(jù)庫的路徑使用默認(rèn)值即可 服務(wù)還原模式的管理員，以后我們從備份還原ActiveDirectory到本機。FirenzeFlorenceActiveDirectory內(nèi)容了過來。我們請大家考慮一個問題FlorenceFirenze是現(xiàn)在域中的兩個域控制器，F(xiàn)lorenceFirenzeActiveDirectory內(nèi)容應(yīng)該完全一致，但如果現(xiàn)FlorenceFirenzeActiveDirectory內(nèi)容出現(xiàn)了差異，那應(yīng)該以ActiveDirectoryActiveDirectory的變化過去。iveDirectoryActiveDirectory內(nèi)ActiveDirectory的內(nèi)容不一致，他們就需要分析一ActiveDirectoryActiveDirectory內(nèi)容為準(zhǔn)。ActiveDirectory的優(yōu)先級比較主要考慮面因素，分別是：AB，Aadministrator412345；Badministrator5這時A就會把B的ActiveDirectory內(nèi)容到本機的ActiveDirecotry中。經(jīng)過這么一輪后，A和B的ActiveDirectory內(nèi)容就達到了新的平衡，他們ActiveDirectory中所有對象的版本號也都完全一致了。修改的時間靠后，時間靠后者優(yōu)先。這里我們順便提及一下，ActiveDirectorctiveDirectory還有一個時間的限制，這些我們以后再詳細(xì)加以說明。GUID了，顯然這完全是個隨機的結(jié)果。一般情況下時間完全相同的非常罕見，因此GUID這個因素只是一個備選方案。ActiveDirectory優(yōu)先級原理，我們引入一個具體的例子讓大家iveDirectory中的也刪除，以便和Florence的ActiveDirectory保持一致。那么我們應(yīng)該怎么做才能把給恢復(fù)回來呢？很多朋友會很自然地想到利用Firenze上的ActiveDirectory備份來解決這個兩個域控制器，我們就要好好考慮一下了。Firenze從備份還原后，F(xiàn)lorenceActiveDirectoryFlorence的版本veDirectory中已經(jīng)擁有了的用戶賬號，但Firenze和Florence比較這樣一來，剛被還原的肯定會被重新刪除掉！用戶。在備份之后我們誤刪除了，現(xiàn)在我們在Firenze上開始利ActiveDirectory掛起，適合我們從備份還原ActiveDirectory。ActiveDirectoryrectory的版本號呢，確保選擇“否”。如下圖所示，我們運行Authoritativerestore來修改AD對象的版本號。storeObject命令只針對的版本號進行修改，那如何在AD中表示張建國呢？按照對象名規(guī)范，隸屬于 ，修本號成功了。iveDirectory數(shù)據(jù)。部署額外域控制器是我們部署額外域控制器時的首考慮使用離線方式來部署額外域控制器，也就是說額外域控制器在ActiveDirectory時不通過網(wǎng)絡(luò)從其他的域控制器，而是從ActiveDirectory的離線文件，這樣就可有效避免對網(wǎng)絡(luò)環(huán)境的依賴。ActiveDirectoryActiveDirectoryActiveDirectory備份之后，把離cpromo來調(diào)用離線文件從而完成額外域控制器的部署。ActiveDirectoryFlorenceActiveDirectory進行備份，備份工具使tiveDirectoryActiveDirectory的備份，但大家要注意NTBACKUP備份的粒度并不太細(xì)致，因此我們對SystemStateActiveDirectory之外的其他內(nèi)容。如下圖所示，我SystemStateActiveDirectory，ActiveDirectory，RegisSystemState后生成的備份文件，我們可以看到備份文件的大小是480M左右，其實其中部分?jǐn)?shù)據(jù)是我們需要的。ACKUP后，選擇“還原文件和設(shè)置”。emState的備份中包含了五部分內(nèi)容。C:\ADBAK，這其實就是把備份文件中的內(nèi)容展開到C:\ADBAK成了五個，每個備份中的一部分內(nèi)容。離線部署其實只需要ActiveDirectory，RegistrySYSVOL三個文件夾的內(nèi)容，這三個文件夾的數(shù)據(jù)Active控制器了，如下圖所示，我們在Firenze上運行Dcpromoadv。選擇從備份文件ActiveDirectory，備份文件的路徑是C:\ADBAK，里面enze配置成全局編錄服務(wù)器。ActiveDirectory是一個被設(shè)計用于查詢的非關(guān)系型數(shù)據(jù)庫，ActiveDirectory使用一段時間后，需要對數(shù)據(jù)庫內(nèi)容進行，以減少數(shù)據(jù)碎片及提高查詢ActiveDirectory的數(shù)據(jù)庫進行離線ActiveDirectory創(chuàng)建時默認(rèn)的數(shù)據(jù)庫及事務(wù)日志的存放路徑是 下，先來了解一下下圖中各文件的作用。其中的NTDS.DIT是ActiveDirectory的數(shù)據(jù)庫文件，EDB.LOG是事務(wù)日志文件，事務(wù)日志文件記錄了數(shù)據(jù)庫內(nèi)容的變更，非常重要。默認(rèn)的事務(wù)日志文件大小只有10M，如果事務(wù)日志文件已經(jīng)記錄滿了，系統(tǒng)就會自動地生成edb00001.log用以繼續(xù)事務(wù)日志，如果edb00001.log也存滿了，就會接下來生成edb00002.log，以此樣既可以提高性能，也可以增加數(shù)據(jù)安全性，但Win2003要求ActiveDirectory的數(shù)據(jù)庫和事務(wù)日志都在同一個硬盤上，不像Win2000中ActiveDirectory的數(shù)據(jù)庫和事務(wù)日志可以在不同的硬盤上。EDB.CHKActiveDirectory和內(nèi)ActiveDirectoryActiveDirectory20MActiveDirectory的事務(wù)日志預(yù)留20M空間，避免當(dāng)硬盤空間用光后無法正常關(guān)機。ActiveDirectory使用一段時間后，會產(chǎn)生數(shù)據(jù)碎片，表現(xiàn)為ActiveDirectory占用的空間增大，響應(yīng)速度降低，這時就需要對ActiveDirectory做一些碎片整理了。ActiveDirectory的碎片整理分為和離線兩部分，默認(rèn)情況下整理會12小時進行一次。整理的好處是在數(shù)據(jù)庫的過程中不需要關(guān)閉ActiveDirectory，用戶不會受到影響；缺點是整理只能在已分配的數(shù)據(jù)庫空間內(nèi)進行碎片整理，無法減少數(shù)據(jù)庫占用的空間。如果ActiveDirectory的規(guī)模不大，數(shù)據(jù)變更不頻繁，我們使用默認(rèn)的整理也就可以了。這時我們就要使用今天提到的離線了。離線需要對ActiveDirectory進行脫機處理，然后再進行ActiveDirectory的碎片整理，這個過程中Activ時間例如晚上進行。ActiveDirectory進行脫機碎片處理后，可以有效地減少ActiveDirectory數(shù)據(jù)庫的大小，提高查詢速度，有的單位經(jīng)過第ActiveDirectory進行脫機碎片處理后，可以把ActiveDirectory的大小從11G降為6G！因此對ActiveDirectory更新頻繁，而且ActiveDirectory內(nèi)包含海量 如何才能對ActiveDirectoryFlorenceFlorence上要進入服務(wù)還原模式，在這個模式下，ActiveDirectory將被脫機掛起，然后我們就可ence，然后在自檢結(jié)束后按F8鍵選擇進入“服務(wù)還原模式”。進入服務(wù)恢復(fù)模式后，我們輸入命令NTDSUTIL，如下圖所示，使NTDSUTILActiveDirectory進行碎片整理。CompactToC:\ActiveDirectory數(shù)據(jù)庫清理碎片后壓縮到C盤的根下，這樣在C盤的根下得到一個消除了ActiveDirectory碎片的Ntds.dit。ActiveDirectory，Exchange，WINS等服務(wù)器都使用了類似ctiveDirectoryActiveDirectoryveDirectory的ActiveDirectory數(shù)據(jù)庫，今天我們要討論一下額外域控制器在進行ActiveDirectory時所使用拓?fù)洹Ｔ贜T4的時代，域控制器被分為兩類，PDC和BDC。PDC是主域控制器的縮寫，BDC是備份域控制器的縮寫。每個域中只能有一個PDC，BDC可以有多個，BDC的 數(shù)據(jù)是從PDC而來。只有PDC才可以更改域中的用戶賬號，計 數(shù)據(jù)，BDC的內(nèi)容是只讀的！這種模型我們稱為單主，這種模型我們并不陌生，類似于DNS服務(wù)器的輔助服務(wù)器和主服務(wù)器的關(guān)系。單主模型比較簡單，管理難度不大，但較容易構(gòu)成單點故障。從Win2000開始，ActiveDirectory開始使用多主的模型，也就是說每個區(qū)別了。Win2003使用了和Win2000同樣的多主模型，而Win2008則在多BDC是有些關(guān)聯(lián)的?，F(xiàn)在我們知道了Win2003的ActiveDirectory中使用了多主的模型，也就是任何一個域控制器都可以修改ActiveDirectory。為了ActiveDirectory的性，顯然所有域控制器上的ActiveDirectory內(nèi)容應(yīng)該都相同。那么，如果一個域控制器修改了自己的ActiveDirectory，修改的的內(nèi)容是如何到其他域控制器上的呢？這就是我們今天要討論的內(nèi)容，ActiveDirectory的拓?fù)洌ctiveDirectory的拓?fù)涫且粋€比較復(fù)雜的問題，今天我們只討論在同一少了域控制器，域控制器上的進程KCC就會進行ActiveDirectory拓?fù)涞挠媍tiveDirectory，也就是說當(dāng)一個域控制器的ActiveDirectory內(nèi)容發(fā)生變化器都有兩個伙伴，ActiveDirectory的沿著順時針和逆時針兩個方向進域控制器ActiveDirectory時，一般會使用“帶通知的拉”，也就是說，當(dāng)DC1修改了ActiveDirectory后，DC1會在5分鐘內(nèi)通知自己的伙伴DC2，“快來，我的AD中有些新內(nèi)容”。DC2收到通知后，會啟動一個Active如果ActiveDirectory中發(fā)生了一些緊急，例如用戶口令被修改，那么此時5ActiveDirectory給PDC操作主機。如果一個域控制器在一個小時之內(nèi)都沒有收到伙伴發(fā)來 我們通過一個實例來觀察一下域控制器的拓?fù)洌蛑杏蠪lorence，F(xiàn)irenzeBerlinFlorenceActiveDirectory站點和服務(wù)，可以看到每個域控制器的伙伴。如下圖所示，F(xiàn)lorence的復(fù)制伙伴是Berlin和Firenze。而Firenze的伙伴是Florence和BerlinBerlin的伙伴是Florence和Firenze的環(huán)形拓?fù)渚筒惶线m，因為域控制器ActiveDirectory時有個嚴(yán)格的限制， 是如果DC1的ActiveDirectory發(fā)生了變化，那么DC1可以給DC2，DC2可估計是為了避免在大型網(wǎng)絡(luò)中進行ActiveDirectory時環(huán)形拓?fù)鋵?dǎo)致的延遲問題，試想一下，如果一個大型網(wǎng)絡(luò)中有100個域控制器，域控制器的平均間隔為5分鐘，那么從第一個域控制器到最后一個域控制器可能需要大約500分鐘！這種延遲是不可接受的，因此在大型網(wǎng)絡(luò)中KCC會使用網(wǎng)狀拓?fù)?，網(wǎng)狀拓?fù)渚筒幌癍h(huán)形拓?fù)淠菢佑幸?guī)律了，每個域控制器可能會有多個伙伴，看也可以自己指定域控制器的伙伴，例如我們想指定Florence的伙伴，我FlorenceActiveDirectory如下圖所示，F(xiàn)lorence可以從域控制器列表中選擇自己的伙伴。這樣來，我們就完成了對Florence伙伴的手工指定域控制器的拓?fù)渥詈糜蒏CC來自動計算，域控制器一旦拓?fù)涑霈F(xiàn)問DNSSRV記錄來進行排錯，可能還ActiveDirectoryActive面的博文中，我們已經(jīng)了解到每個域控制器都能自主修改ActiveDirect域中的第一個域控制器往往比其他的域控制器承擔(dān)了的任務(wù)。了哪些的任務(wù)呢？這就是我們今天要討論的話題，操作主機！PDC主機，RID主機，結(jié)構(gòu)主機，域命名主機和架構(gòu)主機，今天的這篇博文將分PDC（主域控制器）BDC（備份域控制器），PDC才可以修改數(shù)據(jù)庫，BDC的數(shù)據(jù)庫是從PDC而來的。從Win2000開始，所有的域控制ActiveDirectory了，那為什么Win2003PDC主NT4服務(wù)控制器通訊。這就是PDC主機的第一個用途，兼容NT4服務(wù)器。Windowsworkgroup3.1以上的計算機都有機會成為主瀏覽器。如果一個網(wǎng)絡(luò)時首先比較操作系統(tǒng)版本，版本新的優(yōu)先成為主瀏覽器，例如Win2003優(yōu)Win2000。如果操作系統(tǒng)版本相同，再比較誰是域控制器，域控制器比普通的計算機優(yōu)先。如果參與的有多個域控制器，那么PDC主機會優(yōu)先。最后PDC操作主機，那么它們之間又如何進行主瀏覽器的呢？它們之間會通過GUID來選出最后的勝利PDC主機的第三個用途就是ActiveDirectory的優(yōu)先權(quán)，正常情況下，ActiveDirectory的周期是5分鐘，但如果ActiveDirectory中發(fā)生了一些緊主機，由PDC主機來統(tǒng)一管理這些ActiveDirectory的緊急。如果一臺域控制器發(fā)現(xiàn)用戶輸入的口令和ActiveDirectory中的口令不一致，域控制器考確的，但是自己的ActiveDirectory還沒有接收到的變化。域控制器為了避通知PDC主機。PDC主機除了上述的幾種用途，還可用于充當(dāng)域內(nèi)的時間源，同時PDC主機也是組策略的首選地點。順便提一下，PDC主機的作用級別是域級別，也就是說，在一個域中只能有一臺域控制器充當(dāng)PDC主機。介紹完P(guān)DC主機的作用后，我們來介紹RID主機。RID是SID的一部分，什么是SID呢？SID是安全標(biāo)識符（SecurityIdentify）的縮寫，當(dāng)我們在域中創(chuàng)建用是說，SID真正對應(yīng)了用戶賬號或計算機賬號。一個域用戶對應(yīng)的SID格式是這樣的，S-1-5-21-D1-D2-D3-RID，S是SID的縮寫，1是SID的版本號，5代表機構(gòu)，21代表子，D1-D2-D3是三個數(shù)字，代表對象所在的域或計算機，RI的SID就是S-1-5-21- -500，其中的RID是50RIDSID的組成部分，RIDActiveDirectory提供一個可DC主機類似，RID主機的作用級別也是域級別。機還要負(fù)責(zé)添加或刪除描述外部的交叉對象。ActiveDirectory的架構(gòu)，我們只能從架構(gòu)主ActiveDirectoryExchange，OfficeCommunicationsServer，SMS等。Exchange的部署就無法繼續(xù)，MCSE的考題中曾經(jīng)考過這個ActiveDirectory中的用途，今天我們通ActiveDirectory中操作主機角色出現(xiàn)了問題，我們就可以用今天介紹的知識來進行故障排除。能有一個架構(gòu)主機和域命名主機。如果操作主機角色工作在域級別，例如PDC我們的實驗拓?fù)淙缦聢D所示，域內(nèi)有兩個域控制器，F(xiàn)lorence和Firenze。FlorenceFlorenceFlorenceFirenze間切換操作主機角色。其實當(dāng)我們用DcpromoActiveDirectory時，這個域控制角色從Florence轉(zhuǎn)移到Firenze上。FlorenceFlorenceActiveDirectory用戶和計算機，如下圖所示，PDC主機，RID主機但為何工具中顯示的是我們只能把操作主機角色從Florence轉(zhuǎn)移到Florence呢？Firenze作為操作主機角色轉(zhuǎn)移的目標(biāo)，F(xiàn)irenzeActiveDirectory用戶和計算機中右鍵單擊，選擇“連接到域控制器”，從域控制器列表中選擇Firenze即可。orenceFirenzeRID主機角FlorenceFirenze。系統(tǒng)彈出窗口詢問是否確定進行操作主機角色的把PDC和結(jié)構(gòu)主機也轉(zhuǎn)移到Firenze上。zeActiveDirectory域和信任關(guān)系，從菜單中選擇架構(gòu)主機所需要的管理工具。如下圖所示，我們運行regsvr32smgmt.dll，系統(tǒng)提示動態(tài)庫成功。這時我們會發(fā)現(xiàn)可以添加一個名為“ActiveDirectory了動態(tài)庫的作用。使用這個ActiveDirectory架構(gòu)管理單元，如下圖所點指向Firenze。現(xiàn)在五個操作主機角色都集中在Firenze上，我們再為大家介紹法把操作Rolesconnections命令來連接到特定erverFlorence。Florencequit命令返回上級菜單，用？列出當(dāng)Transfernamingmaster Transferinfrastructuremaster TransferPDC 轉(zhuǎn)移PDC主機TransferRID Transferschema 作主機離線時進行操作，如果我們不把操作主機所在的域控制器給格式化Seizenamingmaster Seizeinfrastructuremaster SeizePDC 指定PDC主機SeizeRID Seizeschema 從Firenze又轉(zhuǎn)到了Florence上。域是共戶賬號，計算機賬號及安全策略的一組計算機，這個定義是基于邏輯因素考慮的，只要用戶和計算機在同一個ActiveDirectory內(nèi)，我們就認(rèn)我們通過一個例子加以說明，如下圖所示，某域的域控制器分布在，兩處，有A,B,C三臺域控制器，有D,E,F三臺域控制器。和的本地局域網(wǎng)都是千兆以太網(wǎng)，和之間是一條128K的專線。那么如果才能用最有效率的方法把這個AD的變化到其他五個域控制器上用慢速的廣域網(wǎng)到的一個域控制器上，例如到D，最后再由D六個域控制器之間的AD要沿著兩地間的慢速鏈路走五次，無論如何都讓我引申一下，用戶每天登錄到域進行驗證，顯然的用戶應(yīng)該登錄到的的用戶每天都到的域控制器進行驗證，顯然不是一件好事。的，須考慮到計算機之間的連接速度！正是基于這種考慮，微軟才引入了ActiveDirectory罕見，例如Exchange自動地優(yōu)先考慮在本站點內(nèi)的域控制器之間進行AD。更好的是，如果AD需要垮站點，AD內(nèi)容還可以經(jīng)過壓縮后再進行，顯然站點在設(shè)計時已 于192.168.12網(wǎng)段。由于和之間使用了一條64K的DDN慢速鏈路，因三定位服務(wù)器四配置站點于管理的計算機，一個用于管理的計算機。因此我們需要創(chuàng)建一個新站Default-F ing站點。的域控制器加進來，域控制器根據(jù)IP地址就可以自動加入相應(yīng)的站點。PerthShanghaiFirenze，選擇“移動”。下圖所示，Beijing和Shanghai站點各有兩個。四配置站點們要考慮如何配置站點器了。站點器是一個邏輯控制單元，它并不負(fù)責(zé)行則需要壓縮?？缯军c的AD拓?fù)湟彩怯纱蠹沂煜さ腒CC來設(shè)計的。我們接下來看看如何利用站點器來控制站點間的數(shù)據(jù)傳輸，目前Beijing開“ActiveDirectoryInter-Site-Transports現(xiàn)在Beijing站點和Shanghai站點之間使用的就是基于IP的站點器。到這個站點器連接了BeijingShanghai點器的開銷是100，開銷反映了站點間連接速度的快慢，開銷值越小，速度海和廣州三個站點，其中和之間是用2M的專線連接，和廣州之間器更改了AD，如何傳遞給廣州站點內(nèi)的域控制器呢？從拓?fù)淇?，顯然從直接傳到廣州就不如先從傳到，再經(jīng)過傳到廣州合算。我們怎么才能是10。這樣一來KCC在計算站點間時就可以通過開銷值的量化指標(biāo)判斷出100>10+5，因此KCC在安排點和廣州站點間的AD時會優(yōu)先讓AD次，這個頻率比站點內(nèi)的AD低了很多，顯然是為了適應(yīng)廣域網(wǎng)上的低速鏈anbul加入域的過程。ActiveDirectory肯定可以正常卸載，而且DNS記錄，操作主機角色，AD拓?fù)涞葐栴}都可以面，域控制器卸載時也要進行AD ActiveDirectorysha導(dǎo)判斷我們準(zhǔn)備把ActiveDirectory刪除，點擊“下一步”繼續(xù)。DNSshanghaiSRV記錄自動更上篇博文中我們介紹了如何對域控制器進行常規(guī)卸載，本文中介紹如我曾見過一個單位有10個域控制器，居然有7個不能相互，主要是管理員ActiveDirectory中手工清除被強制卸載的域控DNSSRV記錄等。因此，如果不是萬不得已，還是用常規(guī)強制卸載，我們進行強制卸載的目標(biāo)是shanghai站點的Firenze。Firenzecmd命令提示符，執(zhí)行dcpromo/forceremoval，removal參數(shù)的作用就是執(zhí)行強制卸載，如下圖所示，卸載向?qū)崾疚覀冞@種卸載方式將不對其他域控制器的ActiveDirectory數(shù)據(jù)進行更新。ActiveDirectoryActiveDirectory到其他域控制器就可以了。necttoserverberlin”連接到Berlin，然后輸入“quit”返回上級菜單。接下來我們需要使用“Selectoperationtarget”來選擇被刪除的服務(wù)器對象，選站點和域，然后再進行選擇。Firenzeshanghai站點，F(xiàn)irenze。如下圖所示，我們首先用“l(fā)istsites”列出了當(dāng)前站點，然后用“selectsite1”選定了shanghai站點，我們可以看到對站點的描述用的是數(shù)字而不是字符。選擇了站點之后，我們接下來使用“l(fā)istsinsite”列出了站點中的域，當(dāng) ，編號是0，因此我們接下來使用“select0”用“l(fā)istserversforinsite”可以列出所有的服務(wù)器，當(dāng)前shanghai站點只有Firenze一個域控制器，因此我們使用“selectserver0”選定服務(wù)器FiremoveselectedServer”刪除被選定的服務(wù)器對象Firenze。Firenze被我們從BerlinActiveDirectoryBerlin上打開ActiveDirectory用戶和計算機，如下圖所示，刪除域控制器Firenze。把Berlin的ActiveDirectory到其他域控制器ActiveDirectory的手ActiveDirectoryActiveDirectory進行初始化，以ActiveDirectory的方法，這種方法將更加麻煩，更加，更加，更加強大…..這種強制卸載方法的思路是先進入服務(wù)還原模式，這樣就可以避開損壞ActiveDirectory數(shù)據(jù)庫。這樣做完后從形式基本上可以保證卸載效果和運行Dcpromo/removal大致相當(dāng)。我們以Florence為例為大家演示操作過程。Florence是 由于ActiveDirectory損壞無法進入系統(tǒng)，我們首先要使用 入系統(tǒng)，在系統(tǒng)啟動時我們按下F8，如下圖所示，選擇進入“ ActiveDirectoryActiveDirectory所帶來的問題，如下圖所示，我們通過服務(wù)還原模式可以順利進入系trolSet\Control\Productoptions\ProductType，這個鍵值決定了服務(wù)器的。我們就強行把Florence設(shè)置為一個和ActiveDirectory無關(guān)的獨立服務(wù)器了。ActiveDirectory數(shù)據(jù)，ActiveDirectory數(shù)據(jù)C:\Windows\NTDS。如下圖所示，我們在服務(wù)還原模式下直接刪除NTDS即可。修改完表鍵值，然后刪除NTDS后重啟Florence。如下圖所示，我Dcpromo/removal。雖然ActiveDirectory損壞無法啟動，我們就不用擔(dān)心了。像賬戶就可以B域內(nèi)的資源了。ABA圳公司和公司建立了域信任關(guān)系后，安全性并沒有因此降低。2000Win2003是，另一個域是 lorence和Firenze，我們讓兩個域使用了同一個DNS服務(wù)器?？吹絻蓚€域的區(qū)域數(shù)據(jù)都在同一個DNS服務(wù)器上。 的域控制器Firenze上打開管理工作 M信任 ，因此Firenze的信任方向應(yīng)該選擇單向內(nèi)傳。 信任關(guān)系已經(jīng)創(chuàng)建成功 允許被