Windows服务器01-域控介绍(win10 域服务器)
1、前言
微软开发的域模式,是一套统一身份验证系统,最大的优点是实现了集中式管理。将之前需要重复多次的操作,减少至只需要在域控制器上做一次即可。减少了管理员的工作量。
2、常用域名词
1)域:一套统一身份验证系统,是企业应用的基础,用身份验证系统完成企业级别的业务系统应用。
2)根域:网络中创建的第一个域,一个域林中只能有一个根域,根域在整个域林中处于重要地位,具备最高管理权限。
3)域树:由多个域组成,共享同一存储结构和配置,形成一个连续的名字空间(相同的DNS后缀)。树中的域通过信任关系连接,林包含一个或多个域树。
域树中的域层级越深级别越低,一个“.”代表一个层次,如域a.b.c比b.c这个域级别低,因为a.b.c有两个层级关系,而b.c只有一个,a.b.c就属于b.c的子域。而域d.a.b.c又比a.b.c级别低,原因一样,它们都属于同一个域树。
4)域林:创建根域时默认建立一个域林,其域名也是林的名称。例如b.c是网络中第一个域的根域,也是整个林的根域,那这个林的名称就是b.c。
域树必须建立在域林下,一个域林可以有多个域树。已经存在的域和域树不能任意加入域树和域林,如果一定要这么做,唯一的方法就是从零开始建立新域。
根域相当于域林的土壤,在土壤上建立域树,不同的域树相互独立。
5)FSMO角色功能 netdom query fsmo
5.1 架构主机 (Schema Master) 在整个林中,只能有一个
更新和控制整个林中所有对象和属性的定义。
当架构主机不可用时,不能对架构进行更改。主要会在安装exchange邮箱时会出现问题。
5.2 域命名主机 (Domain Naming Master) 在整个林中,只能有一个
向林中添加删除域,防止林中的域名重复。
当域命名主机不可用时,不能直接通过dcpromo添加域,也不能从删除域,同时会收到一"RPC 服务器不可用"的提示。
5.3 PDC模拟器(PDC Emulator) 树中的每个域都只能有一个
管理密码更改,同步整个域内所有域控制器上的时间,组策略下发。
当PDC主机不可用时,用户登录失败的可能性增大。编辑组策略对象时会出错。
5.4 RID主机 (RID Master) 树中的每个域都只能有一个
给每个域控制器创建的用户、用户组,生成一个唯一的安全ID
当RID主机不可用时,主要问题是客户端不能加域。同时会出现错误消息:"Windows 不能创建对象,因为:目录服务已经用完了相对标识号池"。
5.5 基础架构主机 (Infrastructure Master) 树中的每个域都只能有一个
负责用户从一个域(Domain)转移到另外一个域(Domain)的对象更新
当基础架构主机不可用时,用户并不能感觉到它的影响,只对管理员执行操作时产生影响。通常是添加用户和/或重新命名用户。
6)GC
GC是一台特殊的域控制器,存储域林中所有对象部分只读信息的特殊DC。
GC在AD中十分重要,如果GC出现了问题,会造成用户不能登录到域访问资源。
判断GC服务器是否正常工作
查看注册表(HKLM\System\CurrentControlSet\Services\NTDS\Parameters)
健值:Global Catalog Promotion Complete,值为1,表示GC工作正常
由于GC正常工作时要用3268、3269(SSL),所以netstat -an|find “3268”等命令判断是否正常运行
7)活动目录
活动目录数据库包含AD核心基础数据,应该妥善保护,及时备份。活动目录数据库的格式为dit,和Exchange使用的数据库格式相同。维护活动目录数据库时,只要停止AD DS域服务即可维护数据库。 与AD关联的文件包括:
Ntds.dit 活动目录数据库文件
Edbxxxxx.log 旧日志文件
Edb.chk 检查点文件
Res1.log、Res2.log 预留的日志文件
Temp.edb 临时数据库维护文件
Edbtmp.log 日志暂存文件
7.1 Ntds.dit 随着数据库的填充而不断增大,文件的大小固定为10MB。对数据进行的任何更改都会被首先写入AD数据库文件,再写到edb.log日志文件中
7.2 Edb.log 日志文件,对数据库进行更改后,会将该更改写入到Edb.log文件中。当Edb.log文件充满日志后,会被重新命名为Edbxxxxx.log。(从00001开始,并使用十六进制累加)。随着AD持续使用,日志文件不断更新,旧日志文件会被及时删除,任何时刻都可以查看edb.log文件。而且还可能有一个或多个Edbxxxxx.log文件。 ?
7.3 Res1.log和Res2.log是预留日志空间文件,确保在此驱动器上预留(在此情况下)最后的20MB磁盘空间。主要作用是,为了给日志文件提供足够的空间,以便在磁盘空间都已充满的情况下可以正常关机。 ?
7.4 Edb.chk 是数据库检查点文件,检查点是标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时验证数据库的一致性。出于性能考虑,日志文件应该位于数据库所在磁盘以外的其他磁盘上,以减少磁盘争用情况。进行备份时,会创建新的日志文件。 ?
7.5 Temp.edb 是数据库维护时使用的临时文件,用于存储当前进程中处理的信息。 ?
7.6 Edbtmp.log日志文件是当前日志文件(Edb.log)填满时的暂时日志填充文件。Edbtmp.log文件被创建后,已有的Edbtmp.log文件被重命名为下一个日志文件,然后AD文件被重名为Edb.log。因为该文件名的使用时间很短暂,通常都看不到。 ?
7.7 文件位置 默认状态下,活动目录数据库文件位于“C:\Windows\NTDS”目录中。
3、安装注意点
1)创建新域或新林时,就可以选择使用的功能级别,尽量设置为高级别的功能级别。域功能级别要高于林功能级别。
2)安装需要做域控的服务器系统时,不要使用Ghost系统备份。因为在域控上,有一个Tombstone lifetime,即存活时间,这个时间默认是60天,如果一台域控制器离线的时间超过60天,那么这台域控制器就算重新接到网络中来,其它的域控制器也不会把信息复制给它,可以说,这台域控制器已经脱域了。
3) 除了使用计算机属性来加域,还可以使用Profwiz迁域工具,来加域或迁域。
版权声明:
作者: freeclashnode
链接: https://www.freeclashnode.com/news/article-2500.htm
来源: FreeClashNode
文章版权归作者所有,未经允许请勿转载。
热门文章
- 【金玉满堂】2月7日|22.2M/S,V2ray/SSR/Clash(小猫咪)免费节点订阅链接每天更新
- 【心想事成】2月6日|20.1M/S,V2ray/SSR/Clash(小猫咪)免费节点订阅链接每天更新
- 【福纳八方】2月5日|22.7M/S,Clash(小猫咪)/V2ray/Shadowrocket(小火箭)免费节点订阅链接每天更新
- 【万象更新】2月11日|22.8M/S,Clash(小猫咪)/V2ray/SSR免费节点订阅链接每天更新
- 【大吉大利】2月1日|21.4M/S,Shadowrocket(小火箭)/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 【蒸蒸日上】2月8日|22.2M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 【欢聚一堂】2月10日|21.9M/S,Shadowrocket(小火箭)/V2ray/Clash(小猫咪)免费节点订阅链接每天更新
- 【六畜兴旺】2月9日|18.9M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 【大富大贵】2月12日|23M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 1月26日|22.8M/S,SSR/V2ray/Clash(小猫咪)免费节点订阅链接每天更新
最新文章
- 2月20日|20.9M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月19日|22.2M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月18日|18.5M/S,V2ray/Clash(小猫咪)/Shadowrocket(小火箭)免费节点订阅链接每天更新
- 2月17日|21.8M/S,SSR/Clash(小猫咪)/V2ray免费节点订阅链接每天更新
- 2月16日|22.5M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 2月15日|18.5M/S,Clash(小猫咪)/Shadowrocket(小火箭)/V2ray免费节点订阅链接每天更新
- 2月14日|20.9M/S,V2ray/Shadowrocket(小火箭)/Clash(小猫咪)免费节点订阅链接每天更新
- 2月13日|18.6M/S,V2ray/Clash(小猫咪)/SSR免费节点订阅链接每天更新
- 【大富大贵】2月12日|23M/S,Clash(小猫咪)/SSR/V2ray免费节点订阅链接每天更新
- 【万象更新】2月11日|22.8M/S,Clash(小猫咪)/V2ray/SSR免费节点订阅链接每天更新