中财网一阳穿三线验证成功率:win2003活动目录相关问题及解决b
来源:百度文库 编辑:中财网 时间:2024/04/27 13:35:44
AD与Exchange2003邮件服务器详细设置技术信息
目 录
1. 修改对象的属性,必须在架构主机上
2. 限制用户不能发送邮件
3. 关于部分用户的使用不同的邮件域名问题
4. 如果某个域控制器无法启动,需手工删除该域控制器
5. 恢复AD
6. 如何远程安装附加的域控制器DC2
7. 出差人员登录
8. 在域之间移动对象
9. 组策略
10. 批量建立用户
11. 存储目录设置
12. 设定IIS的证书及设置OWA修改密码功能
13. 设置身份验证
14. 设定主页为默认的exchange.
15. 设定SCL的阈值,以阻止UCE
16. 设置邮件跟踪与管理
17. 备份与恢复Exchange邮箱
18. 建立服务器性能参数
19. 添加免责声明
20. S/MIME操作步骤
21. 设置samba服务器加入win2003活动目录
22. 多域控制器环境下Active Directory灾难恢复
23. Exchange 使用的端口
24. 疑难技巧
25. Exchange工具集
regsvr32 c:\windows\system32\schmmgmt.dll 然后MMC
1、Exchange服务器上,新建SMTP Connector,命名为ToAll
2、在ToAll的General页面
a、选择"Use DNS route to each address space on this connector"
b、点击Add,将本地的Exchange服务器添加为本地桥头服务器(bridgeheads)
3、切换到Address Space页面
a、点击Add,在弹出的对话框中选择SMTP
b、输入*,点击OK
4、切换到Delivery Restrictions。有两种设定方式:
a、如果需要禁止的用户较多,则选择All Messages are rejected,然后将允许的用户添加到
Accept messages from的列表中;
b、反之,选择All Messages are accepted,将需要限制的用户添加到Reject messages from列表中。
5、设置完成后,在Windows的服务管理器中重新启动SMTP服务和Microsoft Exchange Routing Engine服务。
注意:如果您设置完成,并且重新启动上述服务后,发现传递限制没有起作用,应该被限制的用户依然可
以向Internet发送邮件,请参考下面的步骤,修改注册表。
1、打开注册表编辑器(regedit)
2、找到下面的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RESvc\Parameters
3、在右边添加一个新值
类型:DWORD
名称:CheckConnectorRestrictions
值:1
4、关闭注册表编辑器
5、重新启动SMTP服务和Microsoft Exchange Routing Engine服务
选择“新增收件者原则” 举例ABCD用户使用TEST.COM,选择“修改”把ABCD账号加入 把原来SMTP的邮件域名改成@TEST.COM与ABCD账号建立邮箱然后,在系统管理员中,把下图“recipient update service”两项立即更新 查看用户账号邮件地址
步骤:重新启动主域控制器,进入活动目录恢复模式,输入ntdsutil,输入:metadata cleanup 输入:connection 输入:connect to server servername FQDN,输入:quit 输入:select operation target 输入:list sites 输入:select site sitenamber 输入:list domains in site 输入:select domain domainnumber 输入:quit 输入:remove selected domain 输入:quit即可
注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器
AD
1、原始恢复用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将……….所有副本的主要数据”。(如安装新硬盘时损坏数据库)
2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:进入目录恢复模式,然后执行恢复
3、授权恢复 把AD恢复到先前的一个状态 步骤:进入目录恢复模式,恢复活动目录到原始位置,然后在不重新启动的情况下运行ntdsutil.exe,然后输入:authoritative restore然后输入:restore subtree OU=testou,DC=cml,DC=com,DC=cn 然后输入:quit退出后重新启动服务器即可
DC2
首先备份域控制器DG1的系统状态为system.bkf,然后复制到远程计算机DC2上c:\system.bkf,然后以管理员登录到该计算机,选择还原,注:将文件还原到“备用位置”,备用位置输入:c:\backup。保持DC1开机状态,在DC2上运行dcpromo /adv,选择“附加的域控制器”,并指定还原的备份的位置 c:\backup完成即可
使用UPN即用户登录主名进行登录,域控制器会自动进行路由。操作:
1、 Active Directory域和信任关系----à右键“Active Directory域和信任关系”属性---à添加一个UPN后缀。这样在建立用户的时候,可以选择加入的哉名
2、 需要建立信任关系(Active Directory域和信任关系--à选择cml.com.cn属性---à选择“信任”,选择信任域的属性-----à选中“名称后缀路由”确认路由功能启用即可)。可以简化管理和用户登录过程
使用Active Directory 迁移工具(安装光盘i386\ADMT\下有安装文件),使用Ldp.exe查看对象的SID、GUID和SID历史
1、默认刷新时间为90分钟(windows2003成员服务器及没有配置成域控制器的计算机),允许30分钟时间偏移量,域控制器每5分种刷新一次。可以更改计算机和用户的管理模板来改变默认的刷新值。
2、手工强制更新: gpupdate /force
3、使用组策略管理控制台gpmc.msi
使用csvde建立用户 csvde –i –f d:\temp\user.csv
导出用户:csvde –f d:\temp\user.csv
邮箱及共用文件夹存储在单独的驱动器上,日志文件存储在单独的驱动器上,步骤:直接点击邮箱存储或公用文件夹存储上的右键,选择“属性”,然后选择“数据库”,直接浏览指定的目录即可,系统会自动进行迁移。一般每个数据库不要超过50GB。注:企业版可以建立四个存储组,每个存储组只能建立5个邮箱存储。
IIS的证书及设置OWA修改密码功能
注:可以使用 OWA管理工具进行设置https://192.168.2.14/owaadmin(需安装OWA管理工具包OWAAdmin.MSI)
一.配置SSL功能
1.安装证书服务
2.安装服务器证书(使用证书向导)
a.在IIS中,打开默认站点的属性页——目录安全性——安全通信(服务器证书)——新建证书,根据向导的提示完成证书的申请,记录下应答文件的路径!
b.在浏览器中:输入地址http://localhost/certsrv/进入证书申请界面。
c.申请证书——高级——使用Base64编码……——在“保存的申请”中填入应答文件的内容,证书模版选择“web服务器”,至此,证书将被颁发。
d.下载Base64编码的证书并安装。在证书导入向导中,将所有证书存储在“企业信任”下。
3.制作颁发证书的应答文件
a.进入证书颁发机构,在“颁发的证书”中,打开刚才被颁发的证书,在“详细信息”中,到处到一个cer文件,当然,编码要选择Base64编码的。
b.到处成功,记住路径。
4.让IIS自动处理挂起的证书请求
a.在IIS的“安全通信”中,打开“服务器证书向导”,处理挂起——选择应答文件。
b.完成咯。
5.配置使用SSL。
a.在“安全通信”的“编辑”中,选择“要求SSL”
6.至此你的服务器站点的所有网站都必须通过SSL认证才能访问,访问exchange时,需要输入URL(https://*****/exchange)
二.配置OWA的密码功能
1.进入AdminScripts目录(cd c\:inetpub\AdminScripts)
2.允许修改OWA密码adsutil.vbs set w3svc/passwordchangeflags 1
以上都是在命令行完成的
3.建一个虚拟目录IISADMPWD,物理路径在c:\winnt\system32\inetsrv\iisadmpwd
4.修改虚拟目录的“应用程序池”,在虚拟目录的属性中,修改应用程序池(ExchangeApplicationPool)
三.显示修改密码的button
1.进入注册表, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
2.Value name: DisablePassword
Value type: REG_DWORD
Data: 0
四.重起服务
Exchange Information Store Service
IIS Admin Service
四、设置用户验证方式
打开IIS,选择默认站点-->Exchange-->右键-->属性-->目录安全性-->匿名访问和验证控制-->编辑-->选择基本验证和集成windows验证,填写你的基本验证域,就是服务器AD域名称。
打开IIS,打开Exchange虚拟目录的属性,打开“目录安全性“,点击最下面的一个“编辑”按钮,在跳出的对话框中选中‘需要安全通道‘复选框。
通过这样的设置后,已经可以在用户前端界面的选项中看到‘修改密码‘按钮了,但是你试着更改密码,会提示你“密码太短,或不满足密码唯一性限制”的错误信息(这个错误信息有些误导,有时候并不是该原因出错,注意密码最短使用期限的设置),仍然无法正常修改密1 : 密码必须符合复杂性要求 已禁用
2 : 密码长度最小值 6 (可以根据你的要求调整 )
3 : 密码最短使用期限 可立即更改(注意这里,默认是24小时才可以修改)
4 : 密码最长使用期限 30 (根据你的需要调整)
5 : 强制密码历史 没有定义
6 : 用可还原的加密来储存密码 没有定义码。这是由于域安全策略的问题,打开域安全策略后,设置参考如下:
大功告成,接下来你就可以正常修改密码了。如果以上修改未能生效,请重新启动下IIS admin service 和 Microsoft Exchange Information Store Service
使用SELFSSL为OWA建立一个自签名证书 :
http://blog.donews.com/winmagyinjie/archive/2005/10/28/605953.aspx
在使用EXCHANGE自带的OWA(OUTLOOK WEB ACCESS)时,默认情况下是使用NTLM验证的,这时会弹出一个窗口要求用户输入用户、密码和域,这和我们的习惯有些不相似。在EX2003里,OWA带来了一种和我们平常上网使用的表单一样的登录方式,我们称为表单登录。然而表单登录因为使用的是明文传输,所以需要对密码进行加密,一般使用SSL来加密通信,这时我们就需要给OWA站点建立一个证书,通常情况下,我们是借助企业CA或独立CA来建立自己的证书,这样不仅要安装CA服务器,还需要完成很多的工作,尤其是当OWA运行在公网的时候,这些操作无疑是复杂的。现在好了,我们可以借助SELFSSL来给OWA站点签发自签名的证书而不需要CA服务器了。
过程
首先我们要完成这个工作,需要找到SELFSSL这个工具,别着急,且听我慢慢道来。在微软下载中心下载IIS6 资源工具包(http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en),在其中有SELFSSL这个工具。
下载完毕后,在安装有OWA站点的服务器上安装它,因为我们只需要SELFSSL这个工具,所以我们选择定制安装(当然你要想使用所有工具,也可以完全安装)
op_stop(); ;op_start();
接下来选择安装的路径,可修改。
op_stop(); ;op_start();
在安装的组件里选择SELFSSL。
op_stop(); ;op_start();
等待安装完成,你可以去喝点COFFEE,^_^ 安装完成后,系统会在开始菜单里建立对应的程序组,其中我们看到了SELFSSL的影子。
op_stop(); ;op_start();
注意:SELFSSL是个命令行工具!!
打开SELFSSL,可以看到SELFSSL的帮助页,如图:
op_stop(); ;op_start();
这里我们主要关心的参数是公用名称,这是要和你的OWA域名一样的。还有就是有效时间,一般为365天(1年),如果你有兴趣可以设置个100年,呵呵。。其他要注意的参数就是/K(密钥长度,不要超过1024位),还有/T(自动增加信任列表)
现在请你输入:SELFSSL /N:CN=owa.mydomain.com /T /V:365
以上命令表示我们将建立一个公用名称为owa.mydomain.com,时间为365天的证书。
SELFSSL将询问你是否将证书应用到指定的WEB站点(/S可指定站点ID)上,输入“Y”以确认。
op_stop(); ;op_start();
现在你可以打开IIS的管理工具的OWA虚拟目录exchange,应该可以看到在站点上已经有了SSL证书了。打开exchange虚拟目录的属性
op_stop(); ;op_start();
打开证书里的编辑。
op_stop(); ;op_start();
在需要SSL的复选框中选中,并按需要选择是否需要128高加密。
op_stop(); ;op_start();
现在关闭属性页,你的SSL已经可以使用了。你可以打开IE,输入https://owa.mydomain.com/exchange,注意此处要输入的是HTTPS,而不是HTTP。你将看到证书安全警告框。
op_stop(); ;op_start();
该警告提醒你你的证书不被信任。选择[查看证书],可以看到证书的详细信息,从该信息里可以看到该证书尚未安装。
op_stop(); ;op_start();
选择[安装证书],开始证书的安装。
op_stop(); ;op_start();
选择证书的存储容器
op_stop(); ;op_start();
选择自动选择存储容器,继续完成安装
op_stop(); ;op_start();
OK,完成该向导,你的证书已经被安装到信任列表了,你将不会再看到证书警告框了。你可以以安全的方式访问你的OWA了。
推荐阅读
The IIS 6.0 Resource Kit Tools:
http://support.microsoft.com/default.aspx?scid=kb;en-us;840671
在exchange管理控制台中点击smtp虚拟服务器的属性,把匿名验证去掉即可
exchange
在主目录中的默认网页中加入跳转代码:
如:在c:\Inetpub\wwwroot\iisstart.htm中加入:
即可
SCL的阈值,以阻止UCE。
操作:
1、exchange系统管理器-----全局设置-------邮件传递的属性设置“智能邮件筛选”。
2、管理组--------服务器-----协议------SMTP属性-------常规中的高级-------编辑------把“应用智能邮件筛选器”打勾。
1、exchange系统管理器---à服务器属性--------常规中“启用邮件跟踪”即可使用工具中的邮件跟踪中心进行查找邮件信息
2、可以查看队列,可以做如下操作:禁用出站邮件、查找队列中的邮件…..等等很多功能。
3、监视的资源和状态:服务器属性页中-----监视中添加监视对象,然后设置邮件提醒:工具---à通知------右键新建电子邮件通知。
4、设置诊断日志:服务器cmlmail1属性中---诊断日志记录中设置日志。此日志记录在windows事件查看器中
Exchange邮箱
备份:备份系统状态和exchange存储区。
exchange系统管理器---à管理组-------服务器-----cmlmail1右键新建“恢复存储组”。
邮件恢复中心:先删除test用户的邮箱,到邮件恢复中心进行刷新,然后新建立一个test02用户(不具有邮箱),在邮件恢复中心点击删除的test右键----解决冲突,然后选择查找选择test02,然后重新连接即可。
Exchange 还原过程图
数据库
Exchange 数据库恢复清单
c
卸除正在还原的每个邮箱或公用文件夹存储的数据库。
c
将数据库配置为可以使用还原进行覆盖(可选)。
c
确定正在还原文件的数据库和日志文件位置(可选)。
c
将当前数据库文件复制到另一个位置(可选)。
c
确保在 Exchange 系统管理器中的邮箱和公用文件夹存储名称与备份媒体匹配。
c
确保 Microsoft Exchange 信息存储服务 (MSExchangeIS) 正在运行。
c
选择要从备份媒体还原的备份文件。
c
还原所选文件。
c
确保还原过程已成功。
c
重播事务日志文件 (Eseutil /cc)(可选)。
c
装入数据库(存储)。
恢复案例:
http://blog.donews.com/winmagyinjie/archive/2005/10/28/605566.aspx
一、实验环境
* 安装有WIN2003的服务器一台
* 安装有活动目录和IIS
* 安装有EXCHANGE 2003企业版
* 建立了几个邮箱,以administrator为操作对象
二、实验步骤
1、首先配置好OUTLOOK2003,并正常收发邮件数次。
正常工作的MAILBOX STORE:
op_stop(); ;op_start();
注意看其中的管理员邮箱的邮件项目是31个!!
正常工作的OUTLOOK状态:
op_stop(); ;op_start();
注意看收件箱中有3封邮件!!
2、使用NTBACKUP备份MAILBOX STORE,一切按向导进行
op_stop(); ;op_start();
备份进行中。。。
op_stop(); ;op_start();
备份已经成功完成,注意:此过程不能将存储组DISMOUNT也不能停止INFORMATION STORE服务。
op_stop(); ;op_start();
3、在OUTLOOK中永久删除收件箱中的邮件。
op_stop(); ;op_start();
可以看到已删除邮件是空的了:
op_stop(); ;op_start();
收件箱中也是空的了哦。
op_stop(); ;op_start();
4、打开ESM,看到MAILBOX STORE里少了3个项目(刚才删除的),确认删除是有效的哦(没有人怀疑吧。呵呵。。)
op_stop(); ;op_start();
5、在ESM里设置MAILBOX STORE的属性为可被还原覆盖,这是非常重要的,否则不能还原成功!
op_stop(); ;op_start();
并且把MAILBOX STORE手工DISMOUNT,这也是必需的。系统无法还原覆盖正在使用的数据库。
op_stop(); ;op_start();
6、进入NTBACKUP,找到刚才备份的文件,打开编录。你会看到其中写着“无数据项目”,别管它,能恢复就可以了。
op_stop(); ;op_start();
7、开始恢复数据库了,注意在日志临时文件中应写一个有效的路径,该路径用于存储在备份文件中的数据库日志,另外,需要注意的是,“上次还原集”请大家慎重选择。如果选择该项目,系统将在还原完成后按日志内容重放操作,这将使你刚才的操作仍然有效,换句话说,我刚才的删除项目操作仍然有效。我不希望这样,因为我希望恢复我刚才删除的文件哦,所以我不选这个选项,实际操作中该项应该是选中的,因为备份的数据比当前服务器的数据要旧,因此只有REPLAY日志才能重新应用备份后的操作。这样恢复后的数据才是服务器的最新状态。
NOTE:只有选中了“上次还原集”,才能在还原后让系统自动将数据库MOUNT。
op_stop(); ;op_start();
OK,还原进行中了。。一切顺利。。
op_stop(); ;op_start();
还原终于完成了,没有错误,说明一切正常。
op_stop(); ;op_start();
8、进入ESM,MOUNT数据库,失败了。WHY?
op_stop(); ;op_start();
看看日志。。
op_stop(); ;op_start();
哦,原来系统告诉我说,数据库不是从硬恢复中恢复的,通俗点说,就是还有日志没有完全记录到数据库中,我们看看数据库状态来验证一下。
9、让我们来看看数据库的状态。(eseutil /mh)
op_stop(); ;op_start();
哦,原来是DIRTY SHUTDOWN,这说明数据库当前是非正常关闭的,当然不能MOUNT啦。怎么办?当然你可以在还原时选择”上次还原集“这样系统会帮助你REPLAY日志,完成REPLAY后,数据库就正常关闭了。但我这里可不希望去REPLAY日志,相反的,我希望系统丢弃所有的日志,于是我只能手工处理了。
10、使用修复命令(eseutil /p)修复数据库,强制数据库关闭。
op_stop(); ;op_start();
注意:只能在确定需要修复数据库时,才能使用该命令。
修复顺利完成了。呵呵。。
op_stop(); ;op_start();
11、再来看看数据库状态。
op_stop(); ;op_start();
哦,现在的数据库状态是CLEAN SHUTDOWN了,就是正常关闭了。成功了。
12、再重新MOUNT数据库,成功了哦。
op_stop(); ;op_start();
13、赶快来检查一下看看是否正常,哈哈,,你看又是31个项目了。恢复了
op_stop(); ;op_start();
14、进入OUTLOOK看看,哦,我的邮件终于回来了,上帝保佑。。
op_stop(); ;op_start();
三、后记
呵呵,,不知道从什么时候开始,我也喜欢在文章的最后加个说明了,权当做后记吧。
从这个实验中你可以看到NTBACKUP确实可以备份和恢复EXCHANGE的存储组数据哦。(MS没有骗我们,呵呵……)但是需要注意的地方还真不少。
1、首先,我们要明白备份只备份当前有效数据,已经被删除的数据不会被备份哦。
2、备份时不能DISMOUNT数据库,也不能停止任何的EXCHANGE服务。
3、备份时最好能使用VSS(卷影副本)或不要使用邮箱
4、还原前,一定要将数据库设置为可覆盖模式。注意:每次正常还原后,系统会自动把这个状态撤消掉,也就是说,你每次还原时都需要重新设置,一定记得哦。
5、还原数据库时,要把数据库DISMOUNT哦。这和备份是不一样的。
6、备份的文件里有可能报说”找不到数据项目“别管它,只要你确认备份成功了就不会有问题的。
7、还原时的临时日志位置一定要写,且不能是原始日志目录,因为在备份时,有可能有的事务还没有完全写入数据库,因此系统也会把这部分未写入数据库的日志备份到介质中,当还原的时候,它先把这些日志释放到临时目录,恢复数据库后再按临时目录里的日志REPLAY操作哦,然后删除临时目录里的日志。
8、”上次还原集“按需要选择。如果选择,系统将REPLAY所有日志。但不选择,系统不会自动MOUNT数据库。而且有可能连手工MOUNT都不能。注意哦。
9、还原完成后,如果不能MOUNT,可以先看看日志和数据库的状态(ESEUTIL /MH)这是个有用的命令。
10、最后一点,只有正常关闭的数据库才能被MOUNT,呵呵。。原因,请看我的另一篇关于日志功能的文章。
最后说一下,如果你的服务器坏掉了,你一定要按顺序执行下列操作:
* 安装全新的操作系统和补丁
* 恢复系统状态数据(如果是DC)
* 以灾难恢复选项安装EXCHANGE,不要以正常方式安装,装不上的。不信你试试。
* 恢复数据库内容
* 修复或调整数据库
* MOUNT数据库
* 完成恢复过程。
LoadSim 模拟 Outlook MAPI 客户端高使用情况的效果,并帮助您自定义测试期间要使用的 Outlook 配置文件。ESP 模拟邮局协议 (POP)、Internet 邮件访问协议 (IMAP)、简单邮件传输协议 (SMTP) 以及 Outlook Web Access 2003 等非 MAPI 客户端高使用情况的效果(Adsizer规划AD硬件、JetStress进行压力测试)
首先:打开记事本,建立一个脚本。内容如下:
然后,把文件保存成EventSinkScript.vbs,或者任何任何你自己需要的文件名。保存到C盘根目录。
第二步:在你的Exchange服务器上面安装Exchange SDK。我用的是这个(http://download.microsoft.com/download/9/e/7/9e7fa92c-1226-4c30-ad7c-45c4875c7d38/exchangesdkdocs.exe),下载后,安装好SDK后,按照默认安装路径,在C:\Program Files\Exchange SDK\SDK\Support\CDO\Scripts,里面应该有2个脚本文件。
安装好SDK后,就可以注册事件接受器了。
到命令行下:
Cd C:\Program Files\Exchange SDK\SDK\Support\CDO\Scripts
Cscript smtpreg.vbs /add 1 onarrival SMTPScriptingHost
CDO.SS_SMTPOnArrivalSink "mail from=*@你们公司的邮件后缀"
cscript smtpreg.vbs /setprop 1 onarrival SMTPScriptingHost Sink ScriptName "C:\EventSinkScript.vbs"
好了。现在你可以给你的公司外部的邮箱发一个测试邮件了,在每封邮件的最下面,都会有一个你添加的免责声明的。
操作步骤
参见 Exchange Server 2003 Message Security Guide_CN_V2.doc
服务器加入win2003活动目录
1.samba服务器软件需求
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2
2.配置kerberos(关键)
下面配置参数让 Kerberos 进程知道处理活动目录服务器,对 /etc/krb5.conf 做适当的修改,修改时需要注意的是 Kerberos 是大小写敏感的。
这是我的krb5.conf配置文件:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
MYDOMAIN.COM = {
kdc = 192.168.2.248
# admin_server = kerberos.example.com:749
default_domain = MYDOMAIN.COM
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime =36000
renew_lifetime =36000
forwardable = true
krb4_convert = false
}
3.连接2003服务器
kinit filesrv@MYDOMAIN.COM
Kerberos 的 kinit 命令将测试服务器间的通信,后面的域名MYDOMAIN.COM 是你的活动目录的域名,必须大写,否则会收到错误信息:
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
如果通信正常,你会提示输入口令,口令正确的话,就返回 bash 提示符,如果错误则报告:
kinit(v5): Preauthentication failed while getting initial credentials.
4.配置samba
修改/etc/samba/smb.conf如下几行
workgroup = MYDOMAIN
netbios name = filesrv
server string = Filesrv
realm = MYDOMAIN.COM // 活动目录服务器域名
security = ADS // 采用活动目录认证方式
encrypt passwords = yes // 采用加密的口令
重新启动samba服务
service smb restart
配置完 Samba 和 Kerberos 后,需要在 Windows 2000 活动目录下建立一个计算机帐号,如果需要在 Linux 上来完成的话,运行:
/usr/kerberos/bin/kinit filesrv@MYDOMAIN.COM
输入口令后,建立帐号:
将服务器加入活动目录:
/usr/local/samba/bin/net ads join
去 Windows 2003 服务器检查上面的工作:打开活动目录用户和计算机,查看其中的条目,如果成功的话,就可以看到你的 Linux 服务器。
然后在 Linux 机器上,你就可以采用 smbclient 命令连接到 Windows 的共享文件夹,而不需要输入口令(因为采用了Kerberos )。
/usr/local/samba/bin/smbclient //w2k/c$ -k
这个命令可能会产生一些错误信息,但是不要紧它能工作的。
Active Directory灾难恢复
摘要
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
目录
Active Directory操作主机角色概述
环境分析
从AD中清除主域控制器DC-01.test.com 对象
在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器
附:用于检测AD中五种操作主机角色的脚本
参考信息
作者介绍
一、Active Directory操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机 schema master、
域命名主机 domain naming master
相对标识号 (RID) 主机 RID master
主域控制器模拟器 (PDCE)
基础结构主机 infrastructure master
而每种操作主机角色负担不同的工作,具有不同的功能:
架构主机
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个
Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这
些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机
PDCE
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的
全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担
当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。
二、环境分析
公司Test.com(虚拟)有一台主域控制器DC-01.test.com,还有一台额外域控制器DC-02.test.com。现主域控制器(DC-01.test.com)由于硬件故障突然损坏,事先又没有DC-01.test.com的系统状态备份,没办法通过备份修复主域控制器(DC-01.test.com),我们怎么让额外域控制器(DC-02.test.com)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
三、从AD中清除主域控制器DC-01.test.com对象
3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC-01.test.com)从AD中删除;
c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain test.comselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup:Remove selected server 出现对话框,按“确定“删除DC-01主控服务器。metadata cleanup:quitntdsutil: quit3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具,展开Domain NC[DC-02.test.com],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮,如图2:
四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain test.comselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 1 server(s)0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server 0select operation target: quitfsmo maintenance:Seize domain naming master出现对话框,按“确定“fsmo maintenance:Seize infrastructure master出现对话框,按“确定“fsmo maintenance:Seize PDC出现对话框,按“确定“fsmo maintenance:Seize RID master出现对话框,按“确定“fsmo maintenance:Seize schema master出现对话框,按“确定“fsmo maintenance:quitntdsutil: quit(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)
五、设置额外控制(DC-02.test.com)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开DC-02.test.com(额外控制器),右击NTDS Settings选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
六、重新安装并恢复损坏主域控制器
修理好DC-01.test.com损坏的硬件之后,在DC-01.test.com服务器重新安装Windows 2000 Server,安装好Windows 2000 Server之后,再运行Dcpromo升成额外的域控制器;如果你需要使DC-01.test.com担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer操作就行了(注意:不能用Seize)。并通过Active Directory Sites and Services设置DC-01.test.com为GC,取消DC-02.test.com的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。
附:用于检测AD中五种操作主机角色的脚本
给大家一个脚本,用于检测AD中五种FSMO角色,把下面的代码,保存为FSMO.VBS,然后执行它.
Set objRootDSE = GetObject("LDAP://rootDSE") Dim text ‘ Schema MasterSet objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))strSchemaMaster = objSchema.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strSchemaMaster)Set objComputer = GetObject(objNtds.Parent)text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ Domain Naming MasterSet objPartitions = GetObject("LDAP://CN=Partitions," & _objRootDSE.Get("configurationNamingContext"))strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ PDC EmulatorSet objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))strPdcEmulator = objDomain.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strPdcEmulator)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s PDC Emulator FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ RID MasterSet objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _objRootDSE.Get("defaultNamingContext"))strRidMaster = objRidManager.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strRidMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s RID Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ Infrastructure MasterSet objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _objRootDSE.Get("defaultNamingContext"))strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s Infrastructure Master FSMO: " & objComputer.Name & vbCrLf text=text & vbCrLf &" Design by coolnetboy(coolnetboy@hotmail.com)"WScript.Echo text
23. 使用的端口
协议
端口
描述
SMTP
TCP: 25
SMTP 服务使用 TCP 端口 25。
DNS
TCP/UDP: 53
DNS 侦听端口 53。域控制器使用此端口。
LSA
TCP: 691
Microsoft Exchange Routing Engine 服务 (RESvc) 在此端口上侦听路由链接状态信息。
LDAP
TCP/UPD: 389
Microsoft Active Directory® 目录服务使用的轻型目录访问协议 (LDAP)、Active Directory 连接器以及 Microsoft Exchange Server 5.5 目录使用此端口。
LDAP/SSL
TCP/UDP: 636
安全套接字层 (SSL) 上的 LDAP 使用此端口。
LDAP
TCP/UDP: 379
站点复制服务 (SRS) 使用此端口。
LDAP
TCP/UDP: 390
这是推荐的备用端口,当 Active Directory 域控制器上运行的是 Exchange Server 5.5 时,用于配置 Exchange Server 5.5 LDAP 协议。
LDAP
TCP: 3268
全局编录。Windows 2000 和 Windows Server 2003 Active Directory 全局编录(域控制器“角色”)侦听 TCP 端口 3268。
LDAP/SSLPort
TCP: 3269
SSL 上的全局编录。连接到全局编录服务器的 TCP 端口 3269 的应用程序可以传输并接收 SSL 加密数据。
IMAP4
TCP: 143
Internet 邮件访问协议 (IMAP) 使用此端口。
IMAP4/SSL
TCP: 993
SSL 上的 IMAP4 使用此端口。
POP3
TCP: 110
邮局协议版本 3 (POP3) 使用此端口。
POP3/SSL
TCP: 995
SSL 上的 POP3 使用此端口。
NNTP
TCP: 119
网络新闻传输协议 (NNTP) 使用此端口。
NNTP/SSL
TCP: 563
SSL 上的 NNTP 使用此端口。
HTTP
TCP: 80
HTTP 使用此端口。
HTTP/SSL
TCP: 443
SSL 上的 HTTP 使用此端口。
u 设定地址簿时,建立不同子公司名称命名的地址列表。注:筛选规则中不要使用常规进行查找(此处查找的将是所有对象),而要在高级字段中进行精确查找。
u 公用文件夹的邮箱功能,以发布信息。如公用文件夹MIS mis@xxx.com.cn
u Exchange2003企业版最大支持8TB和4个存储组,每个存储组限制作5个数据库
u 建立/3GB开关(内存大于1G)
修改boot.ini启动行:
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Advanced Server" /fastdetect /3GB
u 使用exmerge时在邮箱存储的属性---->安全----->赋予administrator receiver as权限。如果是删除某一封邮件,在options中选择“archive data to target store”,然后选择“主题”或“附件”。选择“Use last maibox login locale”
u 可以使用ExBPA进行实践分析
u 安装ExchangeIMF智能邮件筛选组件,对UCE进行过滤。(全局设置-----传递限制属生----智能邮件筛选)
u 可以安装ExDRA(Disaster Recovery Analyer Tool)帮助制定灾难恢复计划
u 可以安装ExPTA(Performance Troubleshooting Analyzer)分析性能
u 安装Exmon实时对用户进行监视
u 安装support tools后,输入命令:netdom query fsmo即可查看FSMO角色服务器
u 如果在DNS中没有自动产生_msdcs.domain.com,则可用support tools中运行:nltest.exe /dsregdns
u 最佳资料网站:
http://blog.donews.com/winmagyinjie/archive/2005/10/27/604510.aspx
http://www.5dmail.net/NewList-54-3.htm
AD替换过程
局域网结构:
主域 Windows 2000 SP4 (2000年的时候安装的,硬件有故障,经常死机)
额外域 Windows 2003 (集成Exchange2003)
方案:新建一个额外域, 替换主域
操作步骤:
1. 安装 Windows 2000 SP4
2. DCPROMO 升级为额外域
3.通过Ntdsutil将角色转移
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server backupad
绑定到 backupad ...
用本登录的用户的凭证连接 backupad。
server connections: quit
fsmo maintenance: transfer schema master 转移架构主机角色
fsmo maintenance: transfer domain naming master 转移域命名主机角色
fsmo maintenance: transfer RID master 转移 RID 主机角色
fsmo maintenance: transfer PDC 转移 PDC 模拟器角色
fsmo maintenance: transfer infrastructure master 转移结构主机角色
4.再设置为 全局编录
管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings属性, 全局编录的"勾"选中即可
5.重建DNS,且与主域同步,再正向搜索区域中的 根(.)将名称服务器改为"backupad"即可.
AD&Exchange2003服务器备份恢复方案
第一时间提供全球重大新闻
[头条] 小学徒“一夜暴富” 银联卡里凭空多了两千万
[奇趣] 牛津大学DNA检测 证实美一男子为成吉思汗后裔
[万象] 北京大兴法院遭30多人强行冲击 法官法警受伤
[网络] 女白领乘地铁遭偷拍 照片被传上网同事间传播
[百态] 变性男子报名世姐大赛 要做世界第一美女(图)
[男女] 女子与情人饭店偷情遭偷拍 丈夫收到光盘(图)
[时尚] 我爱上了老公的上司(图)
[健康] 15种食物为职场妈妈加油
[情感] 剩男单女在彼此挑剔中挣扎
[口述] 娶个有钱女并没使我幸福
新思潮 性健康 天气 图片 内衣秀 封面女郎
编写:姜道友
审稿:姜道友
版本:1.0
日期:2005-1-12
ROOT DC:1台192.168.0.10
CNDG01 DC:2台192.168.0.11 192.168.0.13
EXCHANGE2003:1台 192.168.0.12
目 录
1. 备份方案
2. 根DC恢复操作(192.168.0.10)
1) 当根DC系统服务无法正常运行时
2) 当根DC无法启动时
3. cndg01子域主DC恢复操作
1) 从AD中清除主域控制器DC0n对象
2) 当备用DC系统服务无法正常运行
3) 当备用DC无法启动时
4) 当主DC系统服务无法正常运行
5) 当主DC无法启动时
6) 当在其中的一个DC1上误删一个对象时
4. Exchange邮件服务器恢复操作
1) 恢复以前的邮件(整个信息存储)
2) 恢复以前备份中的单个用户的邮件
3) 当exchange服务无法正常运行时
4) 当操作系统服务无法正常运行时
5. Veritas Backup Exec.
1) 安装与设置
2) 备份操作步骤
DC:周日0:00进行全备份,周一到周六进行增量备份
EX02:周日3:00进行全备份,周一到周六进行增量备份
备份内容:
1) 根域备用DC:192.168.0.10
u 系统状态(System State)
u C:所有文件
u D:所有文件
2) cndg01子域主DC:192.168.0.13
u 系统状态(System State)
u C:所有文件
u D:所有文件
3) cndg01子域备用DC:192.168.0.11 同上
4) cndg01 Exchange邮件服务器:192.168.0.12
u 系统状态(System State)
u C:所有文件
u D:所有文件
u Microsoft Information Store四个存储组
u Mailbox备份(为恢复个人邮箱)
恢复操作(192.168.0.10)
1、原始恢复 用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将……….所有副本的主要数据”。(如安装新硬盘时损坏数据库)
2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:进入目录恢复模式,然后执行恢复
3、授权恢复 把AD恢复到先前的一个状态 步骤:进入目录恢复模式,恢复活动目录到原始位置,然后在不重新启动的情况下运行ntdsutil.exe,然后输入:authoritative restore然后输入:restore subtree OU=testou,DC=cml,DC=com,DC=cn 然后输入:quit退出后重新启动服务器即可
DC系统服务无法正常运行时
启动到目录恢复模式,通过备份工具执行正常恢复(非授权恢复),然后重新启动即可
DC无法启动时
重新安装后恢复即可
子域主DC恢复操作
AD中清除主域控制器DC0n对象
步骤:重新启动主域控制器,进入活动目录恢复模式,输入ntdsutil,输入:metadata cleanup 输入:connection 输入:connect to server servername FQDN,输入:quit 输入:select operation target 输入:list sites 输入:select site sitenamber 输入:list domains in site 输入:select domain domainnumber 输入:quit 输入:remove selected domain 输入:quit即可
注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器
DC系统服务无法正常运行
执行正常恢复
3) DC无法启动时
重新安装操作系统,然后执行正常恢复
DC系统服务无法正常运行
执行正常恢复
DC无法启动时
重新安装操作系统,执行正常恢复即可。之前需:
ntdsutil然后输入:roles 后:connections然后quit,然后: seize PDC及seize infrastructure master及seize RID master
下面是参考:
c:>ntdsutil ntdsutil: roles fsmo maintenance: Select operation target select operation target: connections server connections: connect to domain test.com select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 1 server(s) 0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com select operation target: select server 0 select operation target: quit fsmo maintenance:Seize domain naming master 出现对话框,按“确定“ fsmo maintenance:Seize infrastructure master 出现对话框,按“确定“ fsmo maintenance:Seize PDC 出现对话框,按“确定“ fsmo maintenance:Seize RID master 出现对话框,按“确定“ fsmo maintenance:Seize schema master 出现对话框,按“确定“ fsmo maintenance:quit ntdsutil: quit (注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)
DC1上误删一个对象时
将DC1进入目录服务恢复模式,还原系统状态备份,然后不关机,进入cmd,输入:ntdsutil 执行:authoritative restore 然后restore object “cn=username,ou=imc,dc=cndg01,dc=cosmel,dc=com”然后quit,重新启动即可
邮件服务器恢复操作
(整个信息存储)
注:备份时不能DISMOUNT数据库,也不能停止任何的EXCHANGE服务。
首先将数据库设置为可覆盖模式。注意:每次正常还原后,系统会自动把这个状态撤消掉,也就是说,你每次还原时都需要重新设置。把数据库DISMOUNT后开始还原。临时日志位置一定要写,且不能是原始日志目录,因为在备份时,有可能有的事务还没有完全写入数据库,因此系统也会把这部分未写入数据库的日志备份到介质中,当还原的时候,它先把这些日志释放到临时目录,恢复数据库后再按临时目录里的日志REPLAY操作哦,然后删除临时目录里的日志。上次还原集“按需要选择。如果选择,系统将REPLAY所有日志。但不选择,系统不会自动MOUNT数据库。而且有可能连手工MOUNT都不能。还原完成后,如果不能MOUNT,可以先看看日志和数据库的状态(ESEUTIL /MH),修复数据库eseutil /p “e:\store1\data\priv1.edb”然后就可以mount上了。
u 首先,新建一个恢复存储组,并添加要恢复的数据库,然后恢复以前备份testsotre,这时将恢复到新添加的恢复存储组,而不是正在使用的teststore,查看恢复存储组,会看到邮箱内都带有X标记,为不活动状态。然后运行ExMerge.exe(需放在exchange安装目录下的bin目录),选择“两步”:首先把某用户邮箱导出到一个临时目录中(注意在option中的import procedure中选择“Archive data to target store”),如test06.pst,然后在导入正在使用的存储组中的用户邮箱中(注意可选择“Merge data into the target store”)。
u 也可使用NBU进行恢复
exchange服务无法正常运行时
恢复exchange安装和配置信息,恢复数据库内容,修复或调整数据库,MOUNT数据库,完成恢复过程。
a) 首先安装全新的操作系统和补丁,安装IIS及其它程序,并启动asp.net及smtp服务
b) 恢复系统状态数据(如果是DC),恢复C盘所有内容
c) 以灾难恢复选项安装EXCHANGE: setup.exe /Disasterrecovery(不要以正常方式安装)
d) 恢复D盘所有内容(exchange安装在D盘),恢复数据库内容(在恢复之前设定“还原时可以覆盖此数据库”)
e) 修复或调整数据库:eseutil /p “e:\store1\data\priv1.edb” ,MOUNT数据库,完成恢复过程。
可参考我的相关文档
使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器
作者:网上整理 | 所属类别:服务器 | 类型:转载文章 | 页码: 第1页/共1页 参与评分: 不太好 一般般 还不错 比较好 非常好
小提示:若您觉得本文不错,不要忘记在上面投上您宝贵的一票哦,谢谢!(请放心,投票不会刷新页面)
得分高的文章,将有更多机会展现在网友面前。
当您运行 Dcpromo.exe 程序并安装 Active Directory 时,将向目录林中的第一个 Microsoft Windows 2000 Active Directory 域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。
这五个 FSMO 角色是:
架构主机 (Schema master) - 目录林范围的角色,每目录林一个。
域命名主机 (Domain naming master) - 目录林范围的角色,每个目录林一个。
RID 主机 (RID master) - 特定于域的角色,每个域一个。
PDC - PDC 仿真器是特定于域的,每个域一个。
结构主机 (Infrastructure master) - 特定于域的角色,每个域一个。
若要将 FSMO 角色从一台计算机移动到另一台计算机,您可以使用两种不同的方法。第一种方法是转移,这也是我们推荐的方法。如果两台计算机都处于运行状态,您可以使用第一种方法。如果 FSMO 角色所有者都处于脱机状态,请使用第二种方法。第二种方法需要使用 Ntdsutil.exe 工具获取这些角色。
备注如果您在从域或目录林中删除 FSMO 角色所有者,则只需获取 FSMO 角色并将其转移到余下的 Active Directory 域控制器即可。
若要使用 Ntdsutil 获取或转移 FSMO 角色,请按照下列步骤操作:
在任何一个域控制器上,单击开始,单击运行,在框中键入 ntdsutil,然后单击确定。
注意Microsoft 建议您使用担当 FSMO 角色的域控制器。
键入 roles,然后按 ENTER 键。
如想在 Ntdsutil 工具中的任何提示符下查看可用命令的列表,请键入 ?,然后按 ENTER 键。
键入 connections,然后按 ENTER 键。
键入 connect to server 服务器名,其中服务器名是您要使用的服务器的名称,然后按 ENTER 键。
在 server connections: 命令提示下,键入 q,然后再次按 ENTER 键。
键入 seize 角色,其中角色是您要获取的角色。如想查看您可以获取的角色的列表,请在 Fsmo maintenance: 提示下键入 ?,然后按 ENTER 键,或者参考本文开头的角色列表。例如,要获取 RID 主机角色,您需要键入 seize rid master。PDC 仿真器角色是一个例外,它的语法应是“seize pdc”而不是“seize pdc emulator”。
注意这五个角色都需要在目录林中。如果第一个域控制器在目录林之外,则需要获取所有角色。应适当地确定哪些角色将在哪些保留的域控制器上,避免让所有的五个角色仅在一台服务器上。
Microsoft 建议只有在其他的域控制器不返回到该域时才获取所有角色,否则应使用适当的角色修复损坏的域控制器。
如果持有 FSMO 角色的原域控制器仍处于联机状态,请转移这些角色。键入 transfer 角色。
当您获取或转移这些角色后,键入 q,然后按 ENTER 键,直到退出 Ntdsutil 工具。
注意不要将“结构主机”角色与全局编录放在同一个域控制器上。
如要检查域控制器是否同时还是全局编录服务器,请执行以下操作:
单击开始,指向程序,指向管理工具,然后单击 Active Directory 站点和服务。
双击左窗格中的站点,然后浏览到适当的站点,或者,在没有其他站点可用时单击默认的第一个站点的名称。
打开服务器文件夹,然后单击该域控制器。
在域控制器的文件夹中,双击 NTDS 设置。
在操作菜单上,单击属性。
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。
有关 FSMO 角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197132 Windows 2000 Active Directory FSMO Roles
223787 Flexible Single Master Operation Transfer and Seizure Process
备注:不要将“结构主机”(IM) 角色和全局编录服务器放在同一个域控制器上。如果“结构主机”运行在全局编录服务器上,它将停止更新对象信息,因为它不包含对它不拥有的对象的引用。这是因为,全局编录服务器持有的是目录林中每一对象的不完整副本。 ,
kb324801:如何查看和转移 Windows Server 2003 中的 FSMO 角色
概要
本文介绍了如何通过使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色(也称作操作主机 角色)。
回到顶端
FSMO 角色
在目录林中,有至少五个分配给一个或多个域控制器的 FSMO 角色。这五个 FSMO 角色是: • 架构主机:架构主机域控制器控制对架构的所有更新和修改。若要更新目录林的架构,您必须有权访问架构主机。在整个目录林中只能有一个架构主机。
• 域命名主机:域命名主机域控制器控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。
• 结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。
• 相对 ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。任何时刻,在域中只能有一个域控制器充当 RID 主机。
• PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机,或者如果包含 Microsoft Windows NT 备份域控制器,则 PDC 模拟器主机充当 Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
您可以通过使用 Ntdsutil.exe 命令行实用工具或使用 MMC 管理单元工具来转移 FSMO 角色。根据您要转移的 FSMO 角色,可以使用以下三个 MMC 管理单元工具之一:
“Active Directory 架构”管理单元
“Active Directory 域和信任关系”管理单元
“Active Directory 用户和计算机”管理单元
如果某一计算机已不存在,则必须取回其角色。若要取回角色,请使用 Ntdsutil.exe 实用工具。
回到顶端
转移架构主机角色
使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll 文件,然后才能使用此管理单元。
注册 Schmmgmt.dll
1. 单击开始,然后单击运行。
2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
3. 收到操作成功的消息时,单击确定。
转移架构主机角色
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击“添加/删除管理单元”。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
回到顶端
转移域命名主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 域和信任关系”。
2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
• 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
回到顶端
转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
• 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或 结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
笔记:深入了解活动目录操作主机角色_TechNet网络广播- -
讲师: 徐鸣/HP全球软件服务中心
l 背景及概述
单主(机)模式
只能对系统某一特定结点进行修改
其他结点以该结点为基准进行了复制
Win NT域: PDC/BDC
多主(机)模式
可以对系统任一结点进行修改
相互复制机制
冲突及冲突解决机制
Win 2000/2003活动目录域: DC FSMO/Operations Masters
l 五种操作主机角色详解
操作主机类型:
森林级别:
架构主机(Schema Master)
域命名主机(Domain Naming Master)
域级别:
RID主机(RID Master)
PDC模拟主机(PDC Emulator)
基础结构主机(Infrastructure Master)
架构主机
功能: 控制活动目录中所有对象/属性的定义
PS: Regsvr32 schmmgmt.dll
Schema Admins组
域命名主机
功能: 控制森林内域的添加和删除
添加和删除对外部目录的交叉引用对象
PS: 建议与GC配置在一起
Enterprise Admins组
RID主机
功能: 管理域中对象相对标识符(RID)池
PS: 对象安全标识符(SID) = 域安全标识符 + 相对标识符(RID)
PDC模拟主机
功能: 模拟WIN NT PDC
默认的域浏览器
默认的域内权威的时间服务源
统一管理域帐号密码更新,验证及锁定
PS: PDC模拟主机不仅仅模拟NT PDC
一般负荷较大
域帐号锁定功能: 防止用户服务密码猜测,当密码错误次数达到阀值时,帐号被锁定,
BadPasswordCount: DC各自记录用户服务错误尝试密码的次数
密码输入正确后, 该值被置0
PDC累积各DC上该值总和,一旦超过阀值:
PDC主机立即锁住该帐号
把锁定信号复制到其他DC
基础结构主机
功能: 负责对跨域对象引用进行更新
PS: 单域情况下基础结构主机不需要工作
不能同时和GC配置在一起(单域情况除外)
角色查询: Netdom query fsmo
l 操作主机放置优化
默认情况
架构主机在根域在第一台DC上
域命名主机在根域的第一台DC上
其他三个主机角色在各自域的第一台DC上
问题: 和GC的冲突,性能考虑
手工优化
基础结构主机与GC不放在一起
域命名主机与GC放在一起
架构主机与域命名主机可放在一起
PDC模拟主机建议单独放置
l 角色转移与抓取
自动隐式转移
其中一台DC退出域时
转移(Transfer)
把FSMO传递给另一台DC
操作可逆
抓取(Seize)
把FSMO强制赋予一台DC
操作不可逆
Seize命令会自动先尝试转移
通过命令工具: Ntdsutil.exe
l 操作主机故障处理
架构主机
影响: 更新Schema受影响
如: 无法安装Exchange
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
域命名主机
影响: 更改域结构受影响,添加信任关系受影响
如: 添加/删除域
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
RID主机
影响: 无法获得新的RID池分配
如: 无法新建(大量)用户帐号
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
PDC模拟主机
影响: 低端客户不能访问AD
不能更改域账号密码
浏览服务问题
时间同步问题
处理: 需要比较及时地恢复
可以临时Seize到其他DC
在原FSMO恢复后可以抓取回去
基础结构主机
影响: 外域帐号不能识别,标记为SID
处理: 需要比较及时地恢复
可以临时Seize到其他DC
在原FSMO恢复后可以抓取回去
域控制器活动目录之备份与恢复一(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2005-11-18
保存本文
推荐给好友
收藏本站
',1)">
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况:
1、 整个网络中有且仅有一台域控制器;
首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:
在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:
在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。
选择好备份文件的存放路径后,就可以点击“开始备份”了:
点击“开始备份”后,会出现如下画面:
在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:
在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:
点击上述画面中的“属性”:
在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:
这次点击“高级”:
在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
每日:以天为单位,每天发生变化的文件都会被备份;
这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:
整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。
域控制器活动目录之备份与恢复二(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2005-11-18
保存本文
推荐给好友
收藏本站
',2)">
有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:
在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。
在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
继续点击“开始-运行”,输入“Ntbackup”,并回车:
这回可别再选择备份向导了,要用“还原向导(高级)”:
点“下一步”,出来如下画面:
在“文件”上击右键:
点击“文件编录”:
输入备份文件所在的位置,然后确定:
然后点击“下一步”:
在上述画面中确认无误的话,就可以点击“完成”了:
在出来的警告窗口上点击“确定”:
这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。
2、 多域控制器环境下的活动目录恢复
可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。
先来说明一下实验环境:
域名:demo.com
第一台域控制器:
计算机名:server.demo.com
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
并且FSMO五种角色及GC全部在第一台域控上。
第二台域控制器:
计算机名:test20031.demo.com
IP:192.168.5.2
子网掩码:255.255.255.0
DNS:192.168.5.2
灾难情况:第一台域控制器由于硬件原因,导致无法启动。
这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
一、首先,要把第一台域控制器的所有信息从活动目录里面删除:
(1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:
在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:
然后我们要显示一下Site中的域:
结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
域控制器活动目录之备份与恢复三(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2005-11-18
保存本文
推荐给好友
收藏本站
',3)">
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:
选中后,按“q”退出到上一层菜单:
在上图中点击“是”:
然后再按2个“q”退出。
(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象,
ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:
击右键,然后选“删除”就可以了。
(3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:
把复制连接也删除了:
以上有几个删除几个。
二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:
我们先要连接到目标服务器上:
连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:
请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:
这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。
大家了为安全起见,可以运行一下我上次给转给大家的脚本:
由上图可见,所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来:
在“管理工具”里,打开“AD站点和服务”,找到如下位置:
在“属性”上单击:
在“全局编录”前打外勾,然后确定退出就可以了。
最后到客户端去修改一下DNS服务器的位置,就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:
1、 在单域控环境中,请尽量的多备份,以保证备份有效性,最好几种备份类型结合使用。
2、 在多域控环境中,如果用Seize,那么那台坏掉的服务器在重装系统以前请不要回到网络中来,哪怕是已经修好了,也一定要重新安装操作系统,为什么?因为FSMO角色具有唯一性,如果此时回到网络中,那就会出现FSMO角色重复的现象。
3、 在多域控环境中,那台坏域控修复后,重装系统,请尽量不要再使用原来的计算机名,以防止产生一些莫名其妙的问题,就让那台服务器在网络里永远消失吧!
网管的好帮手—亲身感受Win 2003域更名工具
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2006-1-9
保存本文
推荐给好友
收藏本站
',4)">
域更名工具(Domain Rename Tools)是Windows Server 2003为顺应用户需求而新增的一个网络维护工具。该工具极大地减轻了网管在Windows NT和Windows 2000/XP时代进行域更名操作时的压力。
一、优势
我们可以通过在Windows NT、Windows 2000和Windows Server 2003三个系统中进行域更名操作来进行简单对比,找出Windows Server 2003域更名工具的优势所在。
Windows NT:需要建立不同名称的新域及域控制器,然后再重建旧域的账户数据库于新域中。
Windows 2000:需要建立不同名称的新域及域控制器,然后使用ADMT(AD数据库迁移工具)将旧域中的AD数据库迁移到新域中,相对Windows NT时代没有了重建数据库的繁琐操作。
Windows Server 2003:不必建立不同名称的新域,也不用重建或迁移AD数据库,只须使用域更名工具进行几个简单的操作即可完成。
二、实战域更名
假设现在需要将shyzhong.com更名为lovebook.cn,更名的具体操作如下:
在“管理您的服务器”界面中点击“管理此DNS服务器”,接着在弹出的窗口中依次点击“DNS→计算机名”,并右键点击“正向查找区域”。在弹出的快捷菜单中选择“新建区域”项(图1)。
图1
打开“新建区域”向导,进入“区域类型”设置框并选择默认状态。在进入“Active Directery区域复制作用域”设置框后选择“至Active Directery域shyzhong.com中的所有域控制器”项。在下一步的“区域名称”框中输入更改后的域名称,如“lovebook.cn”,接着点击“下一步”按钮。在“动态更新”设置框中选择默认状态完成设置。在完成上述操作后,就等于完成了目的域的建立。
在Windows Server 2003中,只有提升域、林的功能等级后,系统才会允许更改域名称,所以接下来应依次点击“开始→设置→控制面板→管理工具→Active Directory域和信任关系”,在打开的窗口中右键点击“shyzhong.com”,在弹出的菜单中选择“提升域功能级别”(图2)。
图2
进入“提升域功能级别”对话框,点击“选择一个可用的域功能级别”项下方右侧的箭头,在弹出的下拉列表中选择“Windows Server 2003”并点击下方的“提升”按钮,接着在弹出的提示框中点击“确定”按钮。在弹出级别提升成功的提示框后,点击“确定”按钮即可。
接着还要进行林的级别提升操作。选中“Active Directory域和信任关系”项并点击右键,在弹出的菜单中选择“提升林功能级别”项。在弹出的“提升林功能级别”对话框的下拉菜单中选中“Windows Server 2003”模式并点击“提升”按钮。
经过上述的准备后,现在就可以使用域更名工具“Rendom”来完成域的更名了。把Windows Server 2003的安装光盘放入光驱,将“\VALUEADD\MSFT\MGMT”下的DOMREN目录复制到系统的C盘根目录下。接着在命令提示符窗口中进入DOMREN目录,输入“Rendom /list”命令。该命令为当前林生成描述信息(将会使用XML编码结构把信息写入到一个输出文件中,默认文件名为domainlist.xml)。
接着使用“记事本”对domainlist.xml文件进行编辑。将其中的“shyzhong.com”全部替换为新域的名称“lovebook.cn”,再将NetBIOS的名称也进行相应的更换后,保存该文件。接着返回命令提示符窗口,在命令行中输入“Rendom /upload”命令。
提示:upload命令执行的操作和目录因此而发生的变化都是为将来的重命名操作做准备。
接着依次输入“Rendom /prepare”命令和“Rendom /execute”命令。
“Rendom /prepare”命令主要用于校验连到该域的所有域控制器是否准备就绪,如果出现“Successfully”信息,则表示连接各域控制器成功。此外,本测试还检查每台域控制器进行授权的情况,以确定运行“Rendom /prepare”命令的用户是否得到了授权执行重命名的指令。如果用户没有得到“写”授权,命令将会失败。
“Rendom /execute”命令用于发出正式更改域名的指令,如果出现“Successfully”的信息,那么表示域的重命名过程成功完成了。
在上述命令执行完毕后,系统将会自动关闭并重启。此外域中所有计算机必须执行两次关机操作,第一次关机用于使新域成员资格生效;第二次关机则用于将计算机的DNS后缀自动转换为新域名称。
提示:如果DNS后缀没有自动更改,可右键点击“我的电脑”图标,在弹出的菜单中选择“属性”,进入“计算机名”选项卡设置界面后,点击“更改”按钮并根据提示操作即可。
三、调整组策略与删除原域名
在完成域的重命名后,如果你还希望组策略中的相关设置能够继续得到应用,就需要在命令提示符窗口的命令行中输入如下命令:
gpfixup /olddnsshyzhong.com /newd nslovebook.cn /oldnbSHYZHONG /newnbLOVEBOOK /dclovebook.cn
在执行上述命令后(中间域名部分可根据实际情况进行修改),如果看到“Start fixing non-site group policy links”信息,则表示上述命令已经成功执行。
最后还需要使用“Rendom /clean”命令从Active Directory中删除原域名。在成功运行了“Rendom /clean”命令后,新森林便准备就绪,可以进行下一次的森林结构调整工作了。
Windows Server 2003活动目录之域重命名一
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2005-12-19
保存本文
推荐给好友
收藏本站
',5)">
关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象,往往是由于公司内部或外部的一些原因而导致公司的名称发生变化,那么公司的域名也要发生相应的变化,但是由于域构架的特殊性,所以对域进行重命名可不像对修改计算机的主机名这么简单,那么接下来我将为大家详细说一下域的重命名的操作流程。
先给大家罗列一下实验环境:
原域域名:demo.com
域控制器:server.demo.com
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
其中还有一台域外额控制器,名为:test20031.demo.com,一个子域:test.demo.com
实验目的:把demo.com重命名为try.com
一、前提条件:
1、 所有的域控制器必须全部是Windows Server 2003,这是一个必备条件,因为Windows 2000域并不支持域重命名。如果你是Windows 2000域的话,那么你只能用ADMT进行活动目录迁移,具体操作请参见我的上一篇文章。
2、 由于域的重命名操作并不是在域控制器上完成的,(这一点出乎很多人的意料之外吧),所以除了域控制器外,还要有一台装着Windows Server 2003的成员服务器,而且必须已经加入到该域。本实验环境中这台计算机的配置如下:
计算机名:ren2003.demo.com
IP:192.168.5.6
子网掩码:255.255.255.0
DNS:192.168.5.1
二、准备工作:
1、 在进行域的重命名操作以前,请一定要用Ntbackup工具备份现在所有域控制器的系统状态数据数据,以防万一。我在前面的文章——“活动目录之备份与恢复”上已经详细讲过了,这里就不重复了。
2、 要进行域的重命名操作,所有的域控制器一定要是Windows Server 2003,并且提升域和森林的功能级别到Windows 2003纯模式,因为默认是Windows 2000混合模式;关于提升域功能级别我已要在“活动目录之迁移”是提到了,这里我只是提一下提升森林的功能级别:
点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:
在“Active Directory域和信任关系”上击右键:
选择“提升林功能级别”:
点击“提升”就可以了,只是这个操作也是不可逆的。之前一定要保证域级别在Windows Server 2003,包括子域的域级别哟!
提升完成后,大家要注意复制的时间,最好等一会,至于具体要等多久就要取决于你的网络规模大小了。
3、新建一个新的DNS区域,域名要和新建域的域名一致;
点击“开始-设置-控制面板-管理工具-DNS”:
在“正向查找区域”上击右键:
选择“新建区域”:
点“下一步”:
选“主要区域”,其它保持默认,点“下一步”:
选“至Active Directory林demo.com中的所有域控制器”,然后点“下一步”:
这里要输入新域的域名,实验中是“try.com”,继续“下一步”:
点“下一步”:
确认没有问题后点“完成”:
建立完成。
Windows Server 2003活动目录之域重命名二
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理
2005-12-19
保存本文
推荐给好友
收藏本站
',6)">
三、重命名操作;
1、在成员服务器上获得重命名工具。
在默认情况下,重命名工具并不会被安装,所以我们要到安装光盘中去获得这个工具,在x:\valueadd\msft\mgmt\domren,(X表示安装盘所在的光驱盘符):
两个工具的名称分别是rendom.exe和gpfixup.exe,其中rendom是我们用以的主要工具,gpfixup是用来修复组策略的。还有一篇readme文档,英文不错的朋友可以看一下。把这两个工具拷到硬盘上,实验中,我拷到了C盘。
2、点击“开始-运行”,输入:cmd,回车,在出来的命令提示符下把当前目录切换到C盘根目录下:
输入:rendom /list,回车:
运行成功后在该工具的文件夹下会产生一个名为domainlist.xml文件,实验中就是C盘根目录下;
我们打开一下这个文件看一下,里面是些什么内容:
3、 用记事本修改domainlist.xml文件,把里面的demo.com,全部换成try.com
修改完成后保存退出:
4、 再点击“开始-运行”,输入“cmd”回车,并切换到C盘根目录下,然后再输入:rendom /upload,然后回车:
执行成功后,会产生一个dclist.xml文件,该文件相当于一个日志文件,会纪录重命名过程中的状态,这是这个文件的内容:
并且此时森林被冻结,也就是说这个时候,域已经不可用了;
5、继续在命名提示符下运行rendom /prepare,此步骤主要是校验DC是否全部准备完成;
以上图表示准备完成。
6、如果上述步骤中出现失误,比如发现新域名书写错误等,可以运行rendom /end,可以取消前面第2步开始的操作,并同时解除森林的冻结状态;
7、如果没有问题的话,那么此时在命令提示符下执行:rendom /execute。
执行成功后,会发现所有的域控制器全部自动重启。重启后,登陆界面会发生变化:
看到了吧?原来的“demo”不见了,换成了“try”。
8、重新命名域控制器的DNS后缀。
进入系统后,你会发现,虽然域名已经换了,但域控制器的DNS名却并没有发生改变,如下图:
所以我们要点击上面的“更改”按钮:
点“确定”:
点“其它”:
把上面的“demo.com”换成“try.com”,然后再点“确定”,系统会要求重启,重启后的域控制器的DNS名字就会换掉了:
相同的操作在所有的域控制器上做一次,包括子域上的域控制器。
9、客户端的操作。
客户端上不用做其它的额外操作,只要把客户端重启。重启会可以看到如下界面:
奇怪,怎么还是“demo”?为什么不是“try”?别急,再重启一下:
“try”出来了吧?
10、清除AD中的老域名。
转到成员服务器,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:rendom /clean,回车:
出现上图表示清除成功!
11、组策略的修复。
截止到第10步,其实整个域的重命名操作算是完成了,但是我们还有一个后续工作要做,就是修复组策略,大家可以此时去运行一下组策略,我想大部份的网络管理员都会得到如下画面:
发现组策略根本不可用,OK,那我们来修复它,还记得文章刚刚开始的时候,我提到的两个工具吗?其中一个是用到现在的rendom,另一个就是用来修复组策略的gpfixup。现在转到成员服务器上,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:gpfixup /olddns:demo.com /newdns:try.com /oldnb:demo /newnb:try /dc:try.com,回车:
运行成功后,再到域控上去执行一下组策略:
看到了吧,组策略已经可以成功执行了。
到此为止,整个操作全部完成了。
四、注意事项。
1、如果森林中有Exchange 2000或2003请不要进行域的重命名,因为一旦进行重命名操作,Exchang将会停止工作。这一点请大家一定要注意!
2、森林在短时间内停止工作,具体时间取决于域控制器的多少和你的网络规模。
3、域的重命名操作要么所有的域控制器完成重命名,要么就从森林里彻底的消失。
4、在域的重命名操作中,不能添加或删除域控制器,也不能进行新的域信任关系的建立。
请问一下关于还原Exchange数据库的问题
页: [1]
小斌斌http://www.51cto.com 2005-10-15 03:45
请问一下关于还原Exchange数据库的问题
Exchange2003做了系统状态备份及存储组备份(AD也做了备份),现因公共文件夹有部分文件被误删除了,想在另一台机上做还原。请问,我是否要还原域环境及Exchange环境,或只是简单重新建立一新的域环境,直接还原Exchange的数据库?
yinjiehttp://www.51cto.com 2005-10-17 04:44
理论上这样是不能的,最好是使用数据库文件做离线恢复或建立和原来一样的离开原网络的环境再恢复.
http://www.51cto.com 2005-10-17 05:56
数据库文件离线恢复指的是怎样的过程? 是重新mount以前unmount时备份的数据库文件吗?
yinjiehttp://www.51cto.com 2005-10-17 07:09
没错.是这样的.这样的操作会丢失数据,可以做为ONLINE BACKUP失败的补救措施
小斌斌http://www.51cto.com 2005-10-18 05:41
哦,明白,谢谢yinjie!
小斌斌http://www.51cto.com 2005-10-21 04:42
Exchange的数据已经还原了,在这里向大家分享一下我的经历。
前段时间使用中发现Exchange公共文件夹中有部分数据被误删除,由于不想影响生产环境,对“恢复存储组”的功能也不太了解,所以还是按老方法,找两台备用的机器,在隔离的环境中对数据进行恢复。
网络环境:
AD2003,Exchange2003,在森林中共有三台DC,DC1、DC2为根域DC,DC3为DC1的子域DC。DC1、DC3设定为GC.
DC1(GC、架构主机、域命名主机、PDC、RID主机及DNS服务器)
DC2 (基础结构主机)
DC3 (子域GC、PDC、RID及基础结构主机)
ExSrv (Exchange Server2003 SP1 企业版)
其中,DC1、DC2中均有系统状态备份,ExSrv有系统状态备及存储组备份。
下面是恢复的大致过程:
分别安装机器A及机器B,A准备还原为DC1,B准备还原为DC2,尽量安装与原来的环境相一致的补丁及软件。由于我这两台机器均为专机专用,所以也没有其它的软件,只是装上诺顿就OK了。
首先还原DC1,在添加删除中安装DNS,重启机器,按F8进入目录服务恢复的安全模式,启动ntbackup.exe,选择还原,编录备份文件,选择还原系统状态,还原。重新启动机器,由于我的这台机器的硬件设备与原来的有所不同,所以这时进入系统,它会不断查找新硬件,并提示重启。先不要重启电脑,确认网卡已经安装,且设置的ip地址与原来DC的IP地址相同。设置DNS的地址为自己。(我这里是192.168.1.8)。另外,由于我这里是恢复到独立的网络环境中去,该网络只有一台DC,并不再与其它的DC进行同步及复制,所以,在这时不要重启电脑,运行 ntdsutil,选择 Authoritative restore,并选择 database,授权还原整个AD数据库。还原完毕,重启电脑。这时域环境应该还原出来了,使用域管理员帐号登录,检查DC的状态正常与否,主要检查及使用的工具有:dcdiag,检查DC的各种状态;FSMO角色,可以使用support tools工具里的 netdom query fsmo来查询;GC,查看目录服务事件日志,检查3268/3269端口是否在监听,检查SYSVOL及NETLOGON共享等,确保DC、GC工作正常。
然后就可以还原Exchange的机器了。进入安全模式,运行ntbackup,还原exsrv的系统状态,还原成功后,以域的administrator身份登录exsrv,安装几个exchange要用到的组件,如IIS,SMTP,NNTP。然后,在Exchange的安装目录中,以 Setup /DisasterRecovery 参数重新安装Exchange。安装完成后,检查与Exchange相关的几个服务,特别是Information Store服务能不能正常起来。如一切正常,此时的状态应该是Exchange服务正常启动了,但相关的Store Group里的邮件存储及公共文件夹存储不能Mount起来(正常,因为这时只是重装了Exchange,数据还未恢复嘛)。
下一步,还原Exchange的数据。右键点击公共文件夹存储,属性,数据库,勾选“还原时可以覆盖此数据库”选项,应用确定。同样打开ntbackup.exe,找到编录的Exchange备份,勾选公用文件夹存储及Log Files(如要还原邮箱,亦要勾选邮箱存储),点击开始还原。在随后的还原选项信息里,“还原到”填上当前exchange服务器的名称exsrv,“日志及修补文件的临时位置”选择一个磁盘空间比较多的位置,这里我填上 D:\log,勾选”上次还原集”及“还原后装上数据库”选项。按确定,开始还原。这里的“上次还原集”这个选项的作用比较重要,如果勾上了,表明你这次还原的Exchange是最后的还原状态,并且在还原完毕后,系统会自动执行日志文件的replay动作。这时的Exchange是还原到你所做的完全备份时的状态。如果你的Exchange在这个完全备份之后,还做了差异备份或增量备份,则 不要勾这个勾勾,直到你还原最后一个备份时,才把这个勾勾上。这时,Exchange会根据你的事务日志,还原到最接近当机前一克的状态。由于我这里要还原的是以前公共文件夹中的数据,所以我把这个勾勾上了。还原执行完毕后,存储数据库会自己Mount上。这时,使用Outlook或OWA就可访问到Exchange还原后的数据库了。
用Outlook访问Exchange公共文件夹,将恢复的数据保存到PST文件中,再在生产环境中恢复,此时,整个的还原Exchange过程就结束了。
由于此文是我在事后根据当时的回忆来写的,所以没有截图,有些地方的细节也不够清楚,但在这里主要想表达的是整个的还原过程、步骤及思路。以前对Exchange的了解不深,曾经设想,像SQL的数据库一样,在新的环境中安装好Exchange环境后,再把备份的Exchange数据库还原出来,再Mount上去。但由于Exchange要维护存储组的DN的一致性,所以这种方法是行不通的。呵呵,当时为此曾花了不少时间,走了不少弯路,固此在这里把我这次的还原经验写出来,与各位分享一下。
目 录
1. 修改对象的属性,必须在架构主机上
2. 限制用户不能发送邮件
3. 关于部分用户的使用不同的邮件域名问题
4. 如果某个域控制器无法启动,需手工删除该域控制器
5. 恢复AD
6. 如何远程安装附加的域控制器DC2
7. 出差人员登录
8. 在域之间移动对象
9. 组策略
10. 批量建立用户
11. 存储目录设置
12. 设定IIS的证书及设置OWA修改密码功能
13. 设置身份验证
14. 设定主页为默认的exchange.
15. 设定SCL的阈值,以阻止UCE
16. 设置邮件跟踪与管理
17. 备份与恢复Exchange邮箱
18. 建立服务器性能参数
19. 添加免责声明
20. S/MIME操作步骤
21. 设置samba服务器加入win2003活动目录
22. 多域控制器环境下Active Directory灾难恢复
23. Exchange 使用的端口
24. 疑难技巧
25. Exchange工具集
regsvr32 c:\windows\system32\schmmgmt.dll 然后MMC
1、Exchange服务器上,新建SMTP Connector,命名为ToAll
2、在ToAll的General页面
a、选择"Use DNS route to each address space on this connector"
b、点击Add,将本地的Exchange服务器添加为本地桥头服务器(bridgeheads)
3、切换到Address Space页面
a、点击Add,在弹出的对话框中选择SMTP
b、输入*,点击OK
4、切换到Delivery Restrictions。有两种设定方式:
a、如果需要禁止的用户较多,则选择All Messages are rejected,然后将允许的用户添加到
Accept messages from的列表中;
b、反之,选择All Messages are accepted,将需要限制的用户添加到Reject messages from列表中。
5、设置完成后,在Windows的服务管理器中重新启动SMTP服务和Microsoft Exchange Routing Engine服务。
注意:如果您设置完成,并且重新启动上述服务后,发现传递限制没有起作用,应该被限制的用户依然可
以向Internet发送邮件,请参考下面的步骤,修改注册表。
1、打开注册表编辑器(regedit)
2、找到下面的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RESvc\Parameters
3、在右边添加一个新值
类型:DWORD
名称:CheckConnectorRestrictions
值:1
4、关闭注册表编辑器
5、重新启动SMTP服务和Microsoft Exchange Routing Engine服务
选择“新增收件者原则” 举例ABCD用户使用TEST.COM,选择“修改”把ABCD账号加入 把原来SMTP的邮件域名改成@TEST.COM与ABCD账号建立邮箱然后,在系统管理员中,把下图“recipient update service”两项立即更新 查看用户账号邮件地址
步骤:重新启动主域控制器,进入活动目录恢复模式,输入ntdsutil,输入:metadata cleanup 输入:connection 输入:connect to server servername FQDN,输入:quit 输入:select operation target 输入:list sites 输入:select site sitenamber 输入:list domains in site 输入:select domain domainnumber 输入:quit 输入:remove selected domain 输入:quit即可
注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器
AD
1、原始恢复用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将……….所有副本的主要数据”。(如安装新硬盘时损坏数据库)
2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:进入目录恢复模式,然后执行恢复
3、授权恢复 把AD恢复到先前的一个状态 步骤:进入目录恢复模式,恢复活动目录到原始位置,然后在不重新启动的情况下运行ntdsutil.exe,然后输入:authoritative restore然后输入:restore subtree OU=testou,DC=cml,DC=com,DC=cn 然后输入:quit退出后重新启动服务器即可
DC2
首先备份域控制器DG1的系统状态为system.bkf,然后复制到远程计算机DC2上c:\system.bkf,然后以管理员登录到该计算机,选择还原,注:将文件还原到“备用位置”,备用位置输入:c:\backup。保持DC1开机状态,在DC2上运行dcpromo /adv,选择“附加的域控制器”,并指定还原的备份的位置 c:\backup完成即可
使用UPN即用户登录主名进行登录,域控制器会自动进行路由。操作:
1、 Active Directory域和信任关系----à右键“Active Directory域和信任关系”属性---à添加一个UPN后缀。这样在建立用户的时候,可以选择加入的哉名
2、 需要建立信任关系(Active Directory域和信任关系--à选择cml.com.cn属性---à选择“信任”,选择信任域的属性-----à选中“名称后缀路由”确认路由功能启用即可)。可以简化管理和用户登录过程
使用Active Directory 迁移工具(安装光盘i386\ADMT\下有安装文件),使用Ldp.exe查看对象的SID、GUID和SID历史
1、默认刷新时间为90分钟(windows2003成员服务器及没有配置成域控制器的计算机),允许30分钟时间偏移量,域控制器每5分种刷新一次。可以更改计算机和用户的管理模板来改变默认的刷新值。
2、手工强制更新: gpupdate /force
3、使用组策略管理控制台gpmc.msi
使用csvde建立用户 csvde –i –f d:\temp\user.csv
导出用户:csvde –f d:\temp\user.csv
邮箱及共用文件夹存储在单独的驱动器上,日志文件存储在单独的驱动器上,步骤:直接点击邮箱存储或公用文件夹存储上的右键,选择“属性”,然后选择“数据库”,直接浏览指定的目录即可,系统会自动进行迁移。一般每个数据库不要超过50GB。注:企业版可以建立四个存储组,每个存储组只能建立5个邮箱存储。
IIS的证书及设置OWA修改密码功能
注:可以使用 OWA管理工具进行设置https://192.168.2.14/owaadmin(需安装OWA管理工具包OWAAdmin.MSI)
一.配置SSL功能
1.安装证书服务
2.安装服务器证书(使用证书向导)
a.在IIS中,打开默认站点的属性页——目录安全性——安全通信(服务器证书)——新建证书,根据向导的提示完成证书的申请,记录下应答文件的路径!
b.在浏览器中:输入地址http://localhost/certsrv/进入证书申请界面。
c.申请证书——高级——使用Base64编码……——在“保存的申请”中填入应答文件的内容,证书模版选择“web服务器”,至此,证书将被颁发。
d.下载Base64编码的证书并安装。在证书导入向导中,将所有证书存储在“企业信任”下。
3.制作颁发证书的应答文件
a.进入证书颁发机构,在“颁发的证书”中,打开刚才被颁发的证书,在“详细信息”中,到处到一个cer文件,当然,编码要选择Base64编码的。
b.到处成功,记住路径。
4.让IIS自动处理挂起的证书请求
a.在IIS的“安全通信”中,打开“服务器证书向导”,处理挂起——选择应答文件。
b.完成咯。
5.配置使用SSL。
a.在“安全通信”的“编辑”中,选择“要求SSL”
6.至此你的服务器站点的所有网站都必须通过SSL认证才能访问,访问exchange时,需要输入URL(https://*****/exchange)
二.配置OWA的密码功能
1.进入AdminScripts目录(cd c\:inetpub\AdminScripts)
2.允许修改OWA密码adsutil.vbs set w3svc/passwordchangeflags 1
以上都是在命令行完成的
3.建一个虚拟目录IISADMPWD,物理路径在c:\winnt\system32\inetsrv\iisadmpwd
4.修改虚拟目录的“应用程序池”,在虚拟目录的属性中,修改应用程序池(ExchangeApplicationPool)
三.显示修改密码的button
1.进入注册表, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb\OWA
2.Value name: DisablePassword
Value type: REG_DWORD
Data: 0
四.重起服务
Exchange Information Store Service
IIS Admin Service
四、设置用户验证方式
打开IIS,选择默认站点-->Exchange-->右键-->属性-->目录安全性-->匿名访问和验证控制-->编辑-->选择基本验证和集成windows验证,填写你的基本验证域,就是服务器AD域名称。
打开IIS,打开Exchange虚拟目录的属性,打开“目录安全性“,点击最下面的一个“编辑”按钮,在跳出的对话框中选中‘需要安全通道‘复选框。
通过这样的设置后,已经可以在用户前端界面的选项中看到‘修改密码‘按钮了,但是你试着更改密码,会提示你“密码太短,或不满足密码唯一性限制”的错误信息(这个错误信息有些误导,有时候并不是该原因出错,注意密码最短使用期限的设置),仍然无法正常修改密1 : 密码必须符合复杂性要求 已禁用
2 : 密码长度最小值 6 (可以根据你的要求调整 )
3 : 密码最短使用期限 可立即更改(注意这里,默认是24小时才可以修改)
4 : 密码最长使用期限 30 (根据你的需要调整)
5 : 强制密码历史 没有定义
6 : 用可还原的加密来储存密码 没有定义码。这是由于域安全策略的问题,打开域安全策略后,设置参考如下:
大功告成,接下来你就可以正常修改密码了。如果以上修改未能生效,请重新启动下IIS admin service 和 Microsoft Exchange Information Store Service
使用SELFSSL为OWA建立一个自签名证书 :
http://blog.donews.com/winmagyinjie/archive/2005/10/28/605953.aspx
在使用EXCHANGE自带的OWA(OUTLOOK WEB ACCESS)时,默认情况下是使用NTLM验证的,这时会弹出一个窗口要求用户输入用户、密码和域,这和我们的习惯有些不相似。在EX2003里,OWA带来了一种和我们平常上网使用的表单一样的登录方式,我们称为表单登录。然而表单登录因为使用的是明文传输,所以需要对密码进行加密,一般使用SSL来加密通信,这时我们就需要给OWA站点建立一个证书,通常情况下,我们是借助企业CA或独立CA来建立自己的证书,这样不仅要安装CA服务器,还需要完成很多的工作,尤其是当OWA运行在公网的时候,这些操作无疑是复杂的。现在好了,我们可以借助SELFSSL来给OWA站点签发自签名的证书而不需要CA服务器了。
过程
首先我们要完成这个工作,需要找到SELFSSL这个工具,别着急,且听我慢慢道来。在微软下载中心下载IIS6 资源工具包(http://www.microsoft.com/downloads/details.aspx?familyid=56FC92EE-A71A-4C73-B628-ADE629C89499&displaylang=en),在其中有SELFSSL这个工具。
下载完毕后,在安装有OWA站点的服务器上安装它,因为我们只需要SELFSSL这个工具,所以我们选择定制安装(当然你要想使用所有工具,也可以完全安装)
op_stop(); ;op_start();
接下来选择安装的路径,可修改。
op_stop(); ;op_start();
在安装的组件里选择SELFSSL。
op_stop(); ;op_start();
等待安装完成,你可以去喝点COFFEE,^_^ 安装完成后,系统会在开始菜单里建立对应的程序组,其中我们看到了SELFSSL的影子。
op_stop(); ;op_start();
注意:SELFSSL是个命令行工具!!
打开SELFSSL,可以看到SELFSSL的帮助页,如图:
op_stop(); ;op_start();
这里我们主要关心的参数是公用名称,这是要和你的OWA域名一样的。还有就是有效时间,一般为365天(1年),如果你有兴趣可以设置个100年,呵呵。。其他要注意的参数就是/K(密钥长度,不要超过1024位),还有/T(自动增加信任列表)
现在请你输入:SELFSSL /N:CN=owa.mydomain.com /T /V:365
以上命令表示我们将建立一个公用名称为owa.mydomain.com,时间为365天的证书。
SELFSSL将询问你是否将证书应用到指定的WEB站点(/S可指定站点ID)上,输入“Y”以确认。
op_stop(); ;op_start();
现在你可以打开IIS的管理工具的OWA虚拟目录exchange,应该可以看到在站点上已经有了SSL证书了。打开exchange虚拟目录的属性
op_stop(); ;op_start();
打开证书里的编辑。
op_stop(); ;op_start();
在需要SSL的复选框中选中,并按需要选择是否需要128高加密。
op_stop(); ;op_start();
现在关闭属性页,你的SSL已经可以使用了。你可以打开IE,输入https://owa.mydomain.com/exchange,注意此处要输入的是HTTPS,而不是HTTP。你将看到证书安全警告框。
op_stop(); ;op_start();
该警告提醒你你的证书不被信任。选择[查看证书],可以看到证书的详细信息,从该信息里可以看到该证书尚未安装。
op_stop(); ;op_start();
选择[安装证书],开始证书的安装。
op_stop(); ;op_start();
选择证书的存储容器
op_stop(); ;op_start();
选择自动选择存储容器,继续完成安装
op_stop(); ;op_start();
OK,完成该向导,你的证书已经被安装到信任列表了,你将不会再看到证书警告框了。你可以以安全的方式访问你的OWA了。
推荐阅读
The IIS 6.0 Resource Kit Tools:
http://support.microsoft.com/default.aspx?scid=kb;en-us;840671
在exchange管理控制台中点击smtp虚拟服务器的属性,把匿名验证去掉即可
exchange
在主目录中的默认网页中加入跳转代码:
如:在c:\Inetpub\wwwroot\iisstart.htm中加入:
即可
SCL的阈值,以阻止UCE。
操作:
1、exchange系统管理器-----全局设置-------邮件传递的属性设置“智能邮件筛选”。
2、管理组--------服务器-----协议------SMTP属性-------常规中的高级-------编辑------把“应用智能邮件筛选器”打勾。
1、exchange系统管理器---à服务器属性--------常规中“启用邮件跟踪”即可使用工具中的邮件跟踪中心进行查找邮件信息
2、可以查看队列,可以做如下操作:禁用出站邮件、查找队列中的邮件…..等等很多功能。
3、监视的资源和状态:服务器属性页中-----监视中添加监视对象,然后设置邮件提醒:工具---à通知------右键新建电子邮件通知。
4、设置诊断日志:服务器cmlmail1属性中---诊断日志记录中设置日志。此日志记录在windows事件查看器中
Exchange邮箱
备份:备份系统状态和exchange存储区。
exchange系统管理器---à管理组-------服务器-----cmlmail1右键新建“恢复存储组”。
邮件恢复中心:先删除test用户的邮箱,到邮件恢复中心进行刷新,然后新建立一个test02用户(不具有邮箱),在邮件恢复中心点击删除的test右键----解决冲突,然后选择查找选择test02,然后重新连接即可。
Exchange 还原过程图
数据库
Exchange 数据库恢复清单
c
卸除正在还原的每个邮箱或公用文件夹存储的数据库。
c
将数据库配置为可以使用还原进行覆盖(可选)。
c
确定正在还原文件的数据库和日志文件位置(可选)。
c
将当前数据库文件复制到另一个位置(可选)。
c
确保在 Exchange 系统管理器中的邮箱和公用文件夹存储名称与备份媒体匹配。
c
确保 Microsoft Exchange 信息存储服务 (MSExchangeIS) 正在运行。
c
选择要从备份媒体还原的备份文件。
c
还原所选文件。
c
确保还原过程已成功。
c
重播事务日志文件 (Eseutil /cc)(可选)。
c
装入数据库(存储)。
恢复案例:
http://blog.donews.com/winmagyinjie/archive/2005/10/28/605566.aspx
一、实验环境
* 安装有WIN2003的服务器一台
* 安装有活动目录和IIS
* 安装有EXCHANGE 2003企业版
* 建立了几个邮箱,以administrator为操作对象
二、实验步骤
1、首先配置好OUTLOOK2003,并正常收发邮件数次。
正常工作的MAILBOX STORE:
op_stop(); ;op_start();
注意看其中的管理员邮箱的邮件项目是31个!!
正常工作的OUTLOOK状态:
op_stop(); ;op_start();
注意看收件箱中有3封邮件!!
2、使用NTBACKUP备份MAILBOX STORE,一切按向导进行
op_stop(); ;op_start();
备份进行中。。。
op_stop(); ;op_start();
备份已经成功完成,注意:此过程不能将存储组DISMOUNT也不能停止INFORMATION STORE服务。
op_stop(); ;op_start();
3、在OUTLOOK中永久删除收件箱中的邮件。
op_stop(); ;op_start();
可以看到已删除邮件是空的了:
op_stop(); ;op_start();
收件箱中也是空的了哦。
op_stop(); ;op_start();
4、打开ESM,看到MAILBOX STORE里少了3个项目(刚才删除的),确认删除是有效的哦(没有人怀疑吧。呵呵。。)
op_stop(); ;op_start();
5、在ESM里设置MAILBOX STORE的属性为可被还原覆盖,这是非常重要的,否则不能还原成功!
op_stop(); ;op_start();
并且把MAILBOX STORE手工DISMOUNT,这也是必需的。系统无法还原覆盖正在使用的数据库。
op_stop(); ;op_start();
6、进入NTBACKUP,找到刚才备份的文件,打开编录。你会看到其中写着“无数据项目”,别管它,能恢复就可以了。
op_stop(); ;op_start();
7、开始恢复数据库了,注意在日志临时文件中应写一个有效的路径,该路径用于存储在备份文件中的数据库日志,另外,需要注意的是,“上次还原集”请大家慎重选择。如果选择该项目,系统将在还原完成后按日志内容重放操作,这将使你刚才的操作仍然有效,换句话说,我刚才的删除项目操作仍然有效。我不希望这样,因为我希望恢复我刚才删除的文件哦,所以我不选这个选项,实际操作中该项应该是选中的,因为备份的数据比当前服务器的数据要旧,因此只有REPLAY日志才能重新应用备份后的操作。这样恢复后的数据才是服务器的最新状态。
NOTE:只有选中了“上次还原集”,才能在还原后让系统自动将数据库MOUNT。
op_stop(); ;op_start();
OK,还原进行中了。。一切顺利。。
op_stop(); ;op_start();
还原终于完成了,没有错误,说明一切正常。
op_stop(); ;op_start();
8、进入ESM,MOUNT数据库,失败了。WHY?
op_stop(); ;op_start();
看看日志。。
op_stop(); ;op_start();
哦,原来系统告诉我说,数据库不是从硬恢复中恢复的,通俗点说,就是还有日志没有完全记录到数据库中,我们看看数据库状态来验证一下。
9、让我们来看看数据库的状态。(eseutil /mh)
op_stop(); ;op_start();
哦,原来是DIRTY SHUTDOWN,这说明数据库当前是非正常关闭的,当然不能MOUNT啦。怎么办?当然你可以在还原时选择”上次还原集“这样系统会帮助你REPLAY日志,完成REPLAY后,数据库就正常关闭了。但我这里可不希望去REPLAY日志,相反的,我希望系统丢弃所有的日志,于是我只能手工处理了。
10、使用修复命令(eseutil /p)修复数据库,强制数据库关闭。
op_stop(); ;op_start();
注意:只能在确定需要修复数据库时,才能使用该命令。
修复顺利完成了。呵呵。。
op_stop(); ;op_start();
11、再来看看数据库状态。
op_stop(); ;op_start();
哦,现在的数据库状态是CLEAN SHUTDOWN了,就是正常关闭了。成功了。
12、再重新MOUNT数据库,成功了哦。
op_stop(); ;op_start();
13、赶快来检查一下看看是否正常,哈哈,,你看又是31个项目了。恢复了
op_stop(); ;op_start();
14、进入OUTLOOK看看,哦,我的邮件终于回来了,上帝保佑。。
op_stop(); ;op_start();
三、后记
呵呵,,不知道从什么时候开始,我也喜欢在文章的最后加个说明了,权当做后记吧。
从这个实验中你可以看到NTBACKUP确实可以备份和恢复EXCHANGE的存储组数据哦。(MS没有骗我们,呵呵……)但是需要注意的地方还真不少。
1、首先,我们要明白备份只备份当前有效数据,已经被删除的数据不会被备份哦。
2、备份时不能DISMOUNT数据库,也不能停止任何的EXCHANGE服务。
3、备份时最好能使用VSS(卷影副本)或不要使用邮箱
4、还原前,一定要将数据库设置为可覆盖模式。注意:每次正常还原后,系统会自动把这个状态撤消掉,也就是说,你每次还原时都需要重新设置,一定记得哦。
5、还原数据库时,要把数据库DISMOUNT哦。这和备份是不一样的。
6、备份的文件里有可能报说”找不到数据项目“别管它,只要你确认备份成功了就不会有问题的。
7、还原时的临时日志位置一定要写,且不能是原始日志目录,因为在备份时,有可能有的事务还没有完全写入数据库,因此系统也会把这部分未写入数据库的日志备份到介质中,当还原的时候,它先把这些日志释放到临时目录,恢复数据库后再按临时目录里的日志REPLAY操作哦,然后删除临时目录里的日志。
8、”上次还原集“按需要选择。如果选择,系统将REPLAY所有日志。但不选择,系统不会自动MOUNT数据库。而且有可能连手工MOUNT都不能。注意哦。
9、还原完成后,如果不能MOUNT,可以先看看日志和数据库的状态(ESEUTIL /MH)这是个有用的命令。
10、最后一点,只有正常关闭的数据库才能被MOUNT,呵呵。。原因,请看我的另一篇关于日志功能的文章。
最后说一下,如果你的服务器坏掉了,你一定要按顺序执行下列操作:
* 安装全新的操作系统和补丁
* 恢复系统状态数据(如果是DC)
* 以灾难恢复选项安装EXCHANGE,不要以正常方式安装,装不上的。不信你试试。
* 恢复数据库内容
* 修复或调整数据库
* MOUNT数据库
* 完成恢复过程。
LoadSim 模拟 Outlook MAPI 客户端高使用情况的效果,并帮助您自定义测试期间要使用的 Outlook 配置文件。ESP 模拟邮局协议 (POP)、Internet 邮件访问协议 (IMAP)、简单邮件传输协议 (SMTP) 以及 Outlook Web Access 2003 等非 MAPI 客户端高使用情况的效果(Adsizer规划AD硬件、JetStress进行压力测试)
首先:打开记事本,建立一个脚本。内容如下:
然后,把文件保存成EventSinkScript.vbs,或者任何任何你自己需要的文件名。保存到C盘根目录。
第二步:在你的Exchange服务器上面安装Exchange SDK。我用的是这个(http://download.microsoft.com/download/9/e/7/9e7fa92c-1226-4c30-ad7c-45c4875c7d38/exchangesdkdocs.exe),下载后,安装好SDK后,按照默认安装路径,在C:\Program Files\Exchange SDK\SDK\Support\CDO\Scripts,里面应该有2个脚本文件。
安装好SDK后,就可以注册事件接受器了。
到命令行下:
Cd C:\Program Files\Exchange SDK\SDK\Support\CDO\Scripts
Cscript smtpreg.vbs /add 1 onarrival SMTPScriptingHost
CDO.SS_SMTPOnArrivalSink "mail from=*@你们公司的邮件后缀"
cscript smtpreg.vbs /setprop 1 onarrival SMTPScriptingHost Sink ScriptName "C:\EventSinkScript.vbs"
好了。现在你可以给你的公司外部的邮箱发一个测试邮件了,在每封邮件的最下面,都会有一个你添加的免责声明的。
操作步骤
参见 Exchange Server 2003 Message Security Guide_CN_V2.doc
服务器加入win2003活动目录
1.samba服务器软件需求
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2
2.配置kerberos(关键)
下面配置参数让 Kerberos 进程知道处理活动目录服务器,对 /etc/krb5.conf 做适当的修改,修改时需要注意的是 Kerberos 是大小写敏感的。
这是我的krb5.conf配置文件:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
MYDOMAIN.COM = {
kdc = 192.168.2.248
# admin_server = kerberos.example.com:749
default_domain = MYDOMAIN.COM
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime =36000
renew_lifetime =36000
forwardable = true
krb4_convert = false
}
3.连接2003服务器
kinit filesrv@MYDOMAIN.COM
Kerberos 的 kinit 命令将测试服务器间的通信,后面的域名MYDOMAIN.COM 是你的活动目录的域名,必须大写,否则会收到错误信息:
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
如果通信正常,你会提示输入口令,口令正确的话,就返回 bash 提示符,如果错误则报告:
kinit(v5): Preauthentication failed while getting initial credentials.
4.配置samba
修改/etc/samba/smb.conf如下几行
workgroup = MYDOMAIN
netbios name = filesrv
server string = Filesrv
realm = MYDOMAIN.COM // 活动目录服务器域名
security = ADS // 采用活动目录认证方式
encrypt passwords = yes // 采用加密的口令
重新启动samba服务
service smb restart
配置完 Samba 和 Kerberos 后,需要在 Windows 2000 活动目录下建立一个计算机帐号,如果需要在 Linux 上来完成的话,运行:
/usr/kerberos/bin/kinit filesrv@MYDOMAIN.COM
输入口令后,建立帐号:
将服务器加入活动目录:
/usr/local/samba/bin/net ads join
去 Windows 2003 服务器检查上面的工作:打开活动目录用户和计算机,查看其中的条目,如果成功的话,就可以看到你的 Linux 服务器。
然后在 Linux 机器上,你就可以采用 smbclient 命令连接到 Windows 的共享文件夹,而不需要输入口令(因为采用了Kerberos )。
/usr/local/samba/bin/smbclient //w2k/c$ -k
这个命令可能会产生一些错误信息,但是不要紧它能工作的。
Active Directory灾难恢复
摘要
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
目录
Active Directory操作主机角色概述
环境分析
从AD中清除主域控制器DC-01.test.com 对象
在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器
附:用于检测AD中五种操作主机角色的脚本
参考信息
作者介绍
一、Active Directory操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机 schema master、
域命名主机 domain naming master
相对标识号 (RID) 主机 RID master
主域控制器模拟器 (PDCE)
基础结构主机 infrastructure master
而每种操作主机角色负担不同的工作,具有不同的功能:
架构主机
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个
Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这
些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机
PDCE
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的
全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担
当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。
二、环境分析
公司Test.com(虚拟)有一台主域控制器DC-01.test.com,还有一台额外域控制器DC-02.test.com。现主域控制器(DC-01.test.com)由于硬件故障突然损坏,事先又没有DC-01.test.com的系统状态备份,没办法通过备份修复主域控制器(DC-01.test.com),我们怎么让额外域控制器(DC-02.test.com)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
三、从AD中清除主域控制器DC-01.test.com对象
3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC-01.test.com)从AD中删除;
c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain test.comselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup:Remove selected server 出现对话框,按“确定“删除DC-01主控服务器。metadata cleanup:quitntdsutil: quit3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具,展开Domain NC[DC-02.test.com],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮,如图2:
四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain test.comselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 1 server(s)0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server 0select operation target: quitfsmo maintenance:Seize domain naming master出现对话框,按“确定“fsmo maintenance:Seize infrastructure master出现对话框,按“确定“fsmo maintenance:Seize PDC出现对话框,按“确定“fsmo maintenance:Seize RID master出现对话框,按“确定“fsmo maintenance:Seize schema master出现对话框,按“确定“fsmo maintenance:quitntdsutil: quit(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)
五、设置额外控制(DC-02.test.com)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开DC-02.test.com(额外控制器),右击NTDS Settings选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
六、重新安装并恢复损坏主域控制器
修理好DC-01.test.com损坏的硬件之后,在DC-01.test.com服务器重新安装Windows 2000 Server,安装好Windows 2000 Server之后,再运行Dcpromo升成额外的域控制器;如果你需要使DC-01.test.com担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer操作就行了(注意:不能用Seize)。并通过Active Directory Sites and Services设置DC-01.test.com为GC,取消DC-02.test.com的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。
附:用于检测AD中五种操作主机角色的脚本
给大家一个脚本,用于检测AD中五种FSMO角色,把下面的代码,保存为FSMO.VBS,然后执行它.
Set objRootDSE = GetObject("LDAP://rootDSE") Dim text ‘ Schema MasterSet objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))strSchemaMaster = objSchema.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strSchemaMaster)Set objComputer = GetObject(objNtds.Parent)text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ Domain Naming MasterSet objPartitions = GetObject("LDAP://CN=Partitions," & _objRootDSE.Get("configurationNamingContext"))strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ PDC EmulatorSet objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))strPdcEmulator = objDomain.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strPdcEmulator)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s PDC Emulator FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ RID MasterSet objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _objRootDSE.Get("defaultNamingContext"))strRidMaster = objRidManager.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strRidMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s RID Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = NothingSet objComputer = Nothing ‘ Infrastructure MasterSet objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _objRootDSE.Get("defaultNamingContext"))strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain‘s Infrastructure Master FSMO: " & objComputer.Name & vbCrLf text=text & vbCrLf &" Design by coolnetboy(coolnetboy@hotmail.com)"WScript.Echo text
23. 使用的端口
协议
端口
描述
SMTP
TCP: 25
SMTP 服务使用 TCP 端口 25。
DNS
TCP/UDP: 53
DNS 侦听端口 53。域控制器使用此端口。
LSA
TCP: 691
Microsoft Exchange Routing Engine 服务 (RESvc) 在此端口上侦听路由链接状态信息。
LDAP
TCP/UPD: 389
Microsoft Active Directory® 目录服务使用的轻型目录访问协议 (LDAP)、Active Directory 连接器以及 Microsoft Exchange Server 5.5 目录使用此端口。
LDAP/SSL
TCP/UDP: 636
安全套接字层 (SSL) 上的 LDAP 使用此端口。
LDAP
TCP/UDP: 379
站点复制服务 (SRS) 使用此端口。
LDAP
TCP/UDP: 390
这是推荐的备用端口,当 Active Directory 域控制器上运行的是 Exchange Server 5.5 时,用于配置 Exchange Server 5.5 LDAP 协议。
LDAP
TCP: 3268
全局编录。Windows 2000 和 Windows Server 2003 Active Directory 全局编录(域控制器“角色”)侦听 TCP 端口 3268。
LDAP/SSLPort
TCP: 3269
SSL 上的全局编录。连接到全局编录服务器的 TCP 端口 3269 的应用程序可以传输并接收 SSL 加密数据。
IMAP4
TCP: 143
Internet 邮件访问协议 (IMAP) 使用此端口。
IMAP4/SSL
TCP: 993
SSL 上的 IMAP4 使用此端口。
POP3
TCP: 110
邮局协议版本 3 (POP3) 使用此端口。
POP3/SSL
TCP: 995
SSL 上的 POP3 使用此端口。
NNTP
TCP: 119
网络新闻传输协议 (NNTP) 使用此端口。
NNTP/SSL
TCP: 563
SSL 上的 NNTP 使用此端口。
HTTP
TCP: 80
HTTP 使用此端口。
HTTP/SSL
TCP: 443
SSL 上的 HTTP 使用此端口。
u 设定地址簿时,建立不同子公司名称命名的地址列表。注:筛选规则中不要使用常规进行查找(此处查找的将是所有对象),而要在高级字段中进行精确查找。
u 公用文件夹的邮箱功能,以发布信息。如公用文件夹MIS mis@xxx.com.cn
u Exchange2003企业版最大支持8TB和4个存储组,每个存储组限制作5个数据库
u 建立/3GB开关(内存大于1G)
修改boot.ini启动行:
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Advanced Server" /fastdetect /3GB
u 使用exmerge时在邮箱存储的属性---->安全----->赋予administrator receiver as权限。如果是删除某一封邮件,在options中选择“archive data to target store”,然后选择“主题”或“附件”。选择“Use last maibox login locale”
u 可以使用ExBPA进行实践分析
u 安装ExchangeIMF智能邮件筛选组件,对UCE进行过滤。(全局设置-----传递限制属生----智能邮件筛选)
u 可以安装ExDRA(Disaster Recovery Analyer Tool)帮助制定灾难恢复计划
u 可以安装ExPTA(Performance Troubleshooting Analyzer)分析性能
u 安装Exmon实时对用户进行监视
u 安装support tools后,输入命令:netdom query fsmo即可查看FSMO角色服务器
u 如果在DNS中没有自动产生_msdcs.domain.com,则可用support tools中运行:nltest.exe /dsregdns
u 最佳资料网站:
http://blog.donews.com/winmagyinjie/archive/2005/10/27/604510.aspx
http://www.5dmail.net/NewList-54-3.htm
AD替换过程
局域网结构:
主域 Windows 2000 SP4 (2000年的时候安装的,硬件有故障,经常死机)
额外域 Windows 2003 (集成Exchange2003)
方案:新建一个额外域, 替换主域
操作步骤:
1. 安装 Windows 2000 SP4
2. DCPROMO 升级为额外域
3.通过Ntdsutil将角色转移
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server backupad
绑定到 backupad ...
用本登录的用户的凭证连接 backupad。
server connections: quit
fsmo maintenance: transfer schema master 转移架构主机角色
fsmo maintenance: transfer domain naming master 转移域命名主机角色
fsmo maintenance: transfer RID master 转移 RID 主机角色
fsmo maintenance: transfer PDC 转移 PDC 模拟器角色
fsmo maintenance: transfer infrastructure master 转移结构主机角色
4.再设置为 全局编录
管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings属性, 全局编录的"勾"选中即可
5.重建DNS,且与主域同步,再正向搜索区域中的 根(.)将名称服务器改为"backupad"即可.
AD&Exchange2003服务器备份恢复方案
第一时间提供全球重大新闻[头条] 小学徒“一夜暴富” 银联卡里凭空多了两千万
[奇趣] 牛津大学DNA检测 证实美一男子为成吉思汗后裔
[万象] 北京大兴法院遭30多人强行冲击 法官法警受伤
[网络] 女白领乘地铁遭偷拍 照片被传上网同事间传播
[百态] 变性男子报名世姐大赛 要做世界第一美女(图)
[男女] 女子与情人饭店偷情遭偷拍 丈夫收到光盘(图)
[时尚] 我爱上了老公的上司(图)
[健康] 15种食物为职场妈妈加油
[情感] 剩男单女在彼此挑剔中挣扎
[口述] 娶个有钱女并没使我幸福
新思潮 性健康 天气 图片 内衣秀 封面女郎
编写:姜道友
审稿:姜道友
版本:1.0
日期:2005-1-12
ROOT DC:1台192.168.0.10
CNDG01 DC:2台192.168.0.11 192.168.0.13
EXCHANGE2003:1台 192.168.0.12
目 录
1. 备份方案
2. 根DC恢复操作(192.168.0.10)
1) 当根DC系统服务无法正常运行时
2) 当根DC无法启动时
3. cndg01子域主DC恢复操作
1) 从AD中清除主域控制器DC0n对象
2) 当备用DC系统服务无法正常运行
3) 当备用DC无法启动时
4) 当主DC系统服务无法正常运行
5) 当主DC无法启动时
6) 当在其中的一个DC1上误删一个对象时
4. Exchange邮件服务器恢复操作
1) 恢复以前的邮件(整个信息存储)
2) 恢复以前备份中的单个用户的邮件
3) 当exchange服务无法正常运行时
4) 当操作系统服务无法正常运行时
5. Veritas Backup Exec.
1) 安装与设置
2) 备份操作步骤
DC:周日0:00进行全备份,周一到周六进行增量备份
EX02:周日3:00进行全备份,周一到周六进行增量备份
备份内容:
1) 根域备用DC:192.168.0.10
u 系统状态(System State)
u C:所有文件
u D:所有文件
2) cndg01子域主DC:192.168.0.13
u 系统状态(System State)
u C:所有文件
u D:所有文件
3) cndg01子域备用DC:192.168.0.11 同上
4) cndg01 Exchange邮件服务器:192.168.0.12
u 系统状态(System State)
u C:所有文件
u D:所有文件
u Microsoft Information Store四个存储组
u Mailbox备份(为恢复个人邮箱)
恢复操作(192.168.0.10)
1、原始恢复 用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将……….所有副本的主要数据”。(如安装新硬盘时损坏数据库)
2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:进入目录恢复模式,然后执行恢复
3、授权恢复 把AD恢复到先前的一个状态 步骤:进入目录恢复模式,恢复活动目录到原始位置,然后在不重新启动的情况下运行ntdsutil.exe,然后输入:authoritative restore然后输入:restore subtree OU=testou,DC=cml,DC=com,DC=cn 然后输入:quit退出后重新启动服务器即可
DC系统服务无法正常运行时
启动到目录恢复模式,通过备份工具执行正常恢复(非授权恢复),然后重新启动即可
DC无法启动时
重新安装后恢复即可
子域主DC恢复操作
AD中清除主域控制器DC0n对象
步骤:重新启动主域控制器,进入活动目录恢复模式,输入ntdsutil,输入:metadata cleanup 输入:connection 输入:connect to server servername FQDN,输入:quit 输入:select operation target 输入:list sites 输入:select site sitenamber 输入:list domains in site 输入:select domain domainnumber 输入:quit 输入:remove selected domain 输入:quit即可
注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器
DC系统服务无法正常运行
执行正常恢复
3) DC无法启动时
重新安装操作系统,然后执行正常恢复
DC系统服务无法正常运行
执行正常恢复
DC无法启动时
重新安装操作系统,执行正常恢复即可。之前需:
ntdsutil然后输入:roles 后:connections然后quit,然后: seize PDC及seize infrastructure master及seize RID master
下面是参考:
c:>ntdsutil ntdsutil: roles fsmo maintenance: Select operation target select operation target: connections server connections: connect to domain test.com select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 1 server(s) 0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com select operation target: select server 0 select operation target: quit fsmo maintenance:Seize domain naming master 出现对话框,按“确定“ fsmo maintenance:Seize infrastructure master 出现对话框,按“确定“ fsmo maintenance:Seize PDC 出现对话框,按“确定“ fsmo maintenance:Seize RID master 出现对话框,按“确定“ fsmo maintenance:Seize schema master 出现对话框,按“确定“ fsmo maintenance:quit ntdsutil: quit (注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)
DC1上误删一个对象时
将DC1进入目录服务恢复模式,还原系统状态备份,然后不关机,进入cmd,输入:ntdsutil 执行:authoritative restore 然后restore object “cn=username,ou=imc,dc=cndg01,dc=cosmel,dc=com”然后quit,重新启动即可
邮件服务器恢复操作
(整个信息存储)
注:备份时不能DISMOUNT数据库,也不能停止任何的EXCHANGE服务。
首先将数据库设置为可覆盖模式。注意:每次正常还原后,系统会自动把这个状态撤消掉,也就是说,你每次还原时都需要重新设置。把数据库DISMOUNT后开始还原。临时日志位置一定要写,且不能是原始日志目录,因为在备份时,有可能有的事务还没有完全写入数据库,因此系统也会把这部分未写入数据库的日志备份到介质中,当还原的时候,它先把这些日志释放到临时目录,恢复数据库后再按临时目录里的日志REPLAY操作哦,然后删除临时目录里的日志。上次还原集“按需要选择。如果选择,系统将REPLAY所有日志。但不选择,系统不会自动MOUNT数据库。而且有可能连手工MOUNT都不能。还原完成后,如果不能MOUNT,可以先看看日志和数据库的状态(ESEUTIL /MH),修复数据库eseutil /p “e:\store1\data\priv1.edb”然后就可以mount上了。
u 首先,新建一个恢复存储组,并添加要恢复的数据库,然后恢复以前备份testsotre,这时将恢复到新添加的恢复存储组,而不是正在使用的teststore,查看恢复存储组,会看到邮箱内都带有X标记,为不活动状态。然后运行ExMerge.exe(需放在exchange安装目录下的bin目录),选择“两步”:首先把某用户邮箱导出到一个临时目录中(注意在option中的import procedure中选择“Archive data to target store”),如test06.pst,然后在导入正在使用的存储组中的用户邮箱中(注意可选择“Merge data into the target store”)。
u 也可使用NBU进行恢复
exchange服务无法正常运行时
恢复exchange安装和配置信息,恢复数据库内容,修复或调整数据库,MOUNT数据库,完成恢复过程。
a) 首先安装全新的操作系统和补丁,安装IIS及其它程序,并启动asp.net及smtp服务
b) 恢复系统状态数据(如果是DC),恢复C盘所有内容
c) 以灾难恢复选项安装EXCHANGE: setup.exe /Disasterrecovery(不要以正常方式安装)
d) 恢复D盘所有内容(exchange安装在D盘),恢复数据库内容(在恢复之前设定“还原时可以覆盖此数据库”)
e) 修复或调整数据库:eseutil /p “e:\store1\data\priv1.edb” ,MOUNT数据库,完成恢复过程。
可参考我的相关文档
使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器
作者:网上整理 | 所属类别:服务器 | 类型:转载文章 | 页码: 第1页/共1页 参与评分: 不太好 一般般 还不错 比较好 非常好
小提示:若您觉得本文不错,不要忘记在上面投上您宝贵的一票哦,谢谢!(请放心,投票不会刷新页面)
得分高的文章,将有更多机会展现在网友面前。
当您运行 Dcpromo.exe 程序并安装 Active Directory 时,将向目录林中的第一个 Microsoft Windows 2000 Active Directory 域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。
这五个 FSMO 角色是:
架构主机 (Schema master) - 目录林范围的角色,每目录林一个。
域命名主机 (Domain naming master) - 目录林范围的角色,每个目录林一个。
RID 主机 (RID master) - 特定于域的角色,每个域一个。
PDC - PDC 仿真器是特定于域的,每个域一个。
结构主机 (Infrastructure master) - 特定于域的角色,每个域一个。
若要将 FSMO 角色从一台计算机移动到另一台计算机,您可以使用两种不同的方法。第一种方法是转移,这也是我们推荐的方法。如果两台计算机都处于运行状态,您可以使用第一种方法。如果 FSMO 角色所有者都处于脱机状态,请使用第二种方法。第二种方法需要使用 Ntdsutil.exe 工具获取这些角色。
备注如果您在从域或目录林中删除 FSMO 角色所有者,则只需获取 FSMO 角色并将其转移到余下的 Active Directory 域控制器即可。
若要使用 Ntdsutil 获取或转移 FSMO 角色,请按照下列步骤操作:
在任何一个域控制器上,单击开始,单击运行,在框中键入 ntdsutil,然后单击确定。
注意Microsoft 建议您使用担当 FSMO 角色的域控制器。
键入 roles,然后按 ENTER 键。
如想在 Ntdsutil 工具中的任何提示符下查看可用命令的列表,请键入 ?,然后按 ENTER 键。
键入 connections,然后按 ENTER 键。
键入 connect to server 服务器名,其中服务器名是您要使用的服务器的名称,然后按 ENTER 键。
在 server connections: 命令提示下,键入 q,然后再次按 ENTER 键。
键入 seize 角色,其中角色是您要获取的角色。如想查看您可以获取的角色的列表,请在 Fsmo maintenance: 提示下键入 ?,然后按 ENTER 键,或者参考本文开头的角色列表。例如,要获取 RID 主机角色,您需要键入 seize rid master。PDC 仿真器角色是一个例外,它的语法应是“seize pdc”而不是“seize pdc emulator”。
注意这五个角色都需要在目录林中。如果第一个域控制器在目录林之外,则需要获取所有角色。应适当地确定哪些角色将在哪些保留的域控制器上,避免让所有的五个角色仅在一台服务器上。
Microsoft 建议只有在其他的域控制器不返回到该域时才获取所有角色,否则应使用适当的角色修复损坏的域控制器。
如果持有 FSMO 角色的原域控制器仍处于联机状态,请转移这些角色。键入 transfer 角色。
当您获取或转移这些角色后,键入 q,然后按 ENTER 键,直到退出 Ntdsutil 工具。
注意不要将“结构主机”角色与全局编录放在同一个域控制器上。
如要检查域控制器是否同时还是全局编录服务器,请执行以下操作:
单击开始,指向程序,指向管理工具,然后单击 Active Directory 站点和服务。
双击左窗格中的站点,然后浏览到适当的站点,或者,在没有其他站点可用时单击默认的第一个站点的名称。
打开服务器文件夹,然后单击该域控制器。
在域控制器的文件夹中,双击 NTDS 设置。
在操作菜单上,单击属性。
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。
有关 FSMO 角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197132 Windows 2000 Active Directory FSMO Roles
223787 Flexible Single Master Operation Transfer and Seizure Process
备注:不要将“结构主机”(IM) 角色和全局编录服务器放在同一个域控制器上。如果“结构主机”运行在全局编录服务器上,它将停止更新对象信息,因为它不包含对它不拥有的对象的引用。这是因为,全局编录服务器持有的是目录林中每一对象的不完整副本。 ,
kb324801:如何查看和转移 Windows Server 2003 中的 FSMO 角色
概要
本文介绍了如何通过使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色(也称作操作主机 角色)。
回到顶端
FSMO 角色
在目录林中,有至少五个分配给一个或多个域控制器的 FSMO 角色。这五个 FSMO 角色是: • 架构主机:架构主机域控制器控制对架构的所有更新和修改。若要更新目录林的架构,您必须有权访问架构主机。在整个目录林中只能有一个架构主机。
• 域命名主机:域命名主机域控制器控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。
• 结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。
• 相对 ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。任何时刻,在域中只能有一个域控制器充当 RID 主机。
• PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机,或者如果包含 Microsoft Windows NT 备份域控制器,则 PDC 模拟器主机充当 Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
您可以通过使用 Ntdsutil.exe 命令行实用工具或使用 MMC 管理单元工具来转移 FSMO 角色。根据您要转移的 FSMO 角色,可以使用以下三个 MMC 管理单元工具之一:
“Active Directory 架构”管理单元
“Active Directory 域和信任关系”管理单元
“Active Directory 用户和计算机”管理单元
如果某一计算机已不存在,则必须取回其角色。若要取回角色,请使用 Ntdsutil.exe 实用工具。
回到顶端
转移架构主机角色
使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll 文件,然后才能使用此管理单元。
注册 Schmmgmt.dll
1. 单击开始,然后单击运行。
2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
3. 收到操作成功的消息时,单击确定。
转移架构主机角色
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击“添加/删除管理单元”。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
回到顶端
转移域命名主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 域和信任关系”。
2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
• 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
回到顶端
转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
• 在“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或 结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
笔记:深入了解活动目录操作主机角色_TechNet网络广播- -
讲师: 徐鸣/HP全球软件服务中心
l 背景及概述
单主(机)模式
只能对系统某一特定结点进行修改
其他结点以该结点为基准进行了复制
Win NT域: PDC/BDC
多主(机)模式
可以对系统任一结点进行修改
相互复制机制
冲突及冲突解决机制
Win 2000/2003活动目录域: DC FSMO/Operations Masters
l 五种操作主机角色详解
操作主机类型:
森林级别:
架构主机(Schema Master)
域命名主机(Domain Naming Master)
域级别:
RID主机(RID Master)
PDC模拟主机(PDC Emulator)
基础结构主机(Infrastructure Master)
架构主机
功能: 控制活动目录中所有对象/属性的定义
PS: Regsvr32 schmmgmt.dll
Schema Admins组
域命名主机
功能: 控制森林内域的添加和删除
添加和删除对外部目录的交叉引用对象
PS: 建议与GC配置在一起
Enterprise Admins组
RID主机
功能: 管理域中对象相对标识符(RID)池
PS: 对象安全标识符(SID) = 域安全标识符 + 相对标识符(RID)
PDC模拟主机
功能: 模拟WIN NT PDC
默认的域浏览器
默认的域内权威的时间服务源
统一管理域帐号密码更新,验证及锁定
PS: PDC模拟主机不仅仅模拟NT PDC
一般负荷较大
域帐号锁定功能: 防止用户服务密码猜测,当密码错误次数达到阀值时,帐号被锁定,
BadPasswordCount: DC各自记录用户服务错误尝试密码的次数
密码输入正确后, 该值被置0
PDC累积各DC上该值总和,一旦超过阀值:
PDC主机立即锁住该帐号
把锁定信号复制到其他DC
基础结构主机
功能: 负责对跨域对象引用进行更新
PS: 单域情况下基础结构主机不需要工作
不能同时和GC配置在一起(单域情况除外)
角色查询: Netdom query fsmo
l 操作主机放置优化
默认情况
架构主机在根域在第一台DC上
域命名主机在根域的第一台DC上
其他三个主机角色在各自域的第一台DC上
问题: 和GC的冲突,性能考虑
手工优化
基础结构主机与GC不放在一起
域命名主机与GC放在一起
架构主机与域命名主机可放在一起
PDC模拟主机建议单独放置
l 角色转移与抓取
自动隐式转移
其中一台DC退出域时
转移(Transfer)
把FSMO传递给另一台DC
操作可逆
抓取(Seize)
把FSMO强制赋予一台DC
操作不可逆
Seize命令会自动先尝试转移
通过命令工具: Ntdsutil.exe
l 操作主机故障处理
架构主机
影响: 更新Schema受影响
如: 无法安装Exchange
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
域命名主机
影响: 更改域结构受影响,添加信任关系受影响
如: 添加/删除域
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
RID主机
影响: 无法获得新的RID池分配
如: 无法新建(大量)用户帐号
处理: 确定FSMO永久性脱机才可Seize
确保目标DC为具有最新更新的DC
PDC模拟主机
影响: 低端客户不能访问AD
不能更改域账号密码
浏览服务问题
时间同步问题
处理: 需要比较及时地恢复
可以临时Seize到其他DC
在原FSMO恢复后可以抓取回去
基础结构主机
影响: 外域帐号不能识别,标记为SID
处理: 需要比较及时地恢复
可以临时Seize到其他DC
在原FSMO恢复后可以抓取回去
域控制器活动目录之备份与恢复一(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2005-11-18保存本文推荐给好友收藏本站',1)">
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况:
1、 整个网络中有且仅有一台域控制器;
首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:
在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:
在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。
选择好备份文件的存放路径后,就可以点击“开始备份”了:
点击“开始备份”后,会出现如下画面:
在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:
在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:
点击上述画面中的“属性”:
在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:
这次点击“高级”:
在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
每日:以天为单位,每天发生变化的文件都会被备份;
这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:
整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。
域控制器活动目录之备份与恢复二(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2005-11-18保存本文推荐给好友收藏本站',2)">
有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:
在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。
在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
继续点击“开始-运行”,输入“Ntbackup”,并回车:
这回可别再选择备份向导了,要用“还原向导(高级)”:
点“下一步”,出来如下画面:
在“文件”上击右键:
点击“文件编录”:
输入备份文件所在的位置,然后确定:
然后点击“下一步”:
在上述画面中确认无误的话,就可以点击“完成”了:
在出来的警告窗口上点击“确定”:
这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。
2、 多域控制器环境下的活动目录恢复
可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。
先来说明一下实验环境:
域名:demo.com
第一台域控制器:
计算机名:server.demo.com
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
并且FSMO五种角色及GC全部在第一台域控上。
第二台域控制器:
计算机名:test20031.demo.com
IP:192.168.5.2
子网掩码:255.255.255.0
DNS:192.168.5.2
灾难情况:第一台域控制器由于硬件原因,导致无法启动。
这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
一、首先,要把第一台域控制器的所有信息从活动目录里面删除:
(1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:
在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:
然后我们要显示一下Site中的域:
结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
域控制器活动目录之备份与恢复三(组图)
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2005-11-18保存本文推荐给好友收藏本站',3)">
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:
选中后,按“q”退出到上一层菜单:
在上图中点击“是”:
然后再按2个“q”退出。
(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象,
ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:
击右键,然后选“删除”就可以了。
(3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:
把复制连接也删除了:
以上有几个删除几个。
二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:
我们先要连接到目标服务器上:
连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:
请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:
这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。
大家了为安全起见,可以运行一下我上次给转给大家的脚本:
由上图可见,所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来:
在“管理工具”里,打开“AD站点和服务”,找到如下位置:
在“属性”上单击:
在“全局编录”前打外勾,然后确定退出就可以了。
最后到客户端去修改一下DNS服务器的位置,就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:
1、 在单域控环境中,请尽量的多备份,以保证备份有效性,最好几种备份类型结合使用。
2、 在多域控环境中,如果用Seize,那么那台坏掉的服务器在重装系统以前请不要回到网络中来,哪怕是已经修好了,也一定要重新安装操作系统,为什么?因为FSMO角色具有唯一性,如果此时回到网络中,那就会出现FSMO角色重复的现象。
3、 在多域控环境中,那台坏域控修复后,重装系统,请尽量不要再使用原来的计算机名,以防止产生一些莫名其妙的问题,就让那台服务器在网络里永远消失吧!
网管的好帮手—亲身感受Win 2003域更名工具
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2006-1-9保存本文推荐给好友收藏本站',4)">
域更名工具(Domain Rename Tools)是Windows Server 2003为顺应用户需求而新增的一个网络维护工具。该工具极大地减轻了网管在Windows NT和Windows 2000/XP时代进行域更名操作时的压力。
一、优势
我们可以通过在Windows NT、Windows 2000和Windows Server 2003三个系统中进行域更名操作来进行简单对比,找出Windows Server 2003域更名工具的优势所在。
Windows NT:需要建立不同名称的新域及域控制器,然后再重建旧域的账户数据库于新域中。
Windows 2000:需要建立不同名称的新域及域控制器,然后使用ADMT(AD数据库迁移工具)将旧域中的AD数据库迁移到新域中,相对Windows NT时代没有了重建数据库的繁琐操作。
Windows Server 2003:不必建立不同名称的新域,也不用重建或迁移AD数据库,只须使用域更名工具进行几个简单的操作即可完成。
二、实战域更名
假设现在需要将shyzhong.com更名为lovebook.cn,更名的具体操作如下:
在“管理您的服务器”界面中点击“管理此DNS服务器”,接着在弹出的窗口中依次点击“DNS→计算机名”,并右键点击“正向查找区域”。在弹出的快捷菜单中选择“新建区域”项(图1)。
图1
打开“新建区域”向导,进入“区域类型”设置框并选择默认状态。在进入“Active Directery区域复制作用域”设置框后选择“至Active Directery域shyzhong.com中的所有域控制器”项。在下一步的“区域名称”框中输入更改后的域名称,如“lovebook.cn”,接着点击“下一步”按钮。在“动态更新”设置框中选择默认状态完成设置。在完成上述操作后,就等于完成了目的域的建立。
在Windows Server 2003中,只有提升域、林的功能等级后,系统才会允许更改域名称,所以接下来应依次点击“开始→设置→控制面板→管理工具→Active Directory域和信任关系”,在打开的窗口中右键点击“shyzhong.com”,在弹出的菜单中选择“提升域功能级别”(图2)。
图2
进入“提升域功能级别”对话框,点击“选择一个可用的域功能级别”项下方右侧的箭头,在弹出的下拉列表中选择“Windows Server 2003”并点击下方的“提升”按钮,接着在弹出的提示框中点击“确定”按钮。在弹出级别提升成功的提示框后,点击“确定”按钮即可。
接着还要进行林的级别提升操作。选中“Active Directory域和信任关系”项并点击右键,在弹出的菜单中选择“提升林功能级别”项。在弹出的“提升林功能级别”对话框的下拉菜单中选中“Windows Server 2003”模式并点击“提升”按钮。
经过上述的准备后,现在就可以使用域更名工具“Rendom”来完成域的更名了。把Windows Server 2003的安装光盘放入光驱,将“\VALUEADD\MSFT\MGMT”下的DOMREN目录复制到系统的C盘根目录下。接着在命令提示符窗口中进入DOMREN目录,输入“Rendom /list”命令。该命令为当前林生成描述信息(将会使用XML编码结构把信息写入到一个输出文件中,默认文件名为domainlist.xml)。
接着使用“记事本”对domainlist.xml文件进行编辑。将其中的“shyzhong.com”全部替换为新域的名称“lovebook.cn”,再将NetBIOS的名称也进行相应的更换后,保存该文件。接着返回命令提示符窗口,在命令行中输入“Rendom /upload”命令。
提示:upload命令执行的操作和目录因此而发生的变化都是为将来的重命名操作做准备。
接着依次输入“Rendom /prepare”命令和“Rendom /execute”命令。
“Rendom /prepare”命令主要用于校验连到该域的所有域控制器是否准备就绪,如果出现“Successfully”信息,则表示连接各域控制器成功。此外,本测试还检查每台域控制器进行授权的情况,以确定运行“Rendom /prepare”命令的用户是否得到了授权执行重命名的指令。如果用户没有得到“写”授权,命令将会失败。
“Rendom /execute”命令用于发出正式更改域名的指令,如果出现“Successfully”的信息,那么表示域的重命名过程成功完成了。
在上述命令执行完毕后,系统将会自动关闭并重启。此外域中所有计算机必须执行两次关机操作,第一次关机用于使新域成员资格生效;第二次关机则用于将计算机的DNS后缀自动转换为新域名称。
提示:如果DNS后缀没有自动更改,可右键点击“我的电脑”图标,在弹出的菜单中选择“属性”,进入“计算机名”选项卡设置界面后,点击“更改”按钮并根据提示操作即可。
三、调整组策略与删除原域名
在完成域的重命名后,如果你还希望组策略中的相关设置能够继续得到应用,就需要在命令提示符窗口的命令行中输入如下命令:
gpfixup /olddnsshyzhong.com /newd nslovebook.cn /oldnbSHYZHONG /newnbLOVEBOOK /dclovebook.cn
在执行上述命令后(中间域名部分可根据实际情况进行修改),如果看到“Start fixing non-site group policy links”信息,则表示上述命令已经成功执行。
最后还需要使用“Rendom /clean”命令从Active Directory中删除原域名。在成功运行了“Rendom /clean”命令后,新森林便准备就绪,可以进行下一次的森林结构调整工作了。
Windows Server 2003活动目录之域重命名一
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2005-12-19保存本文推荐给好友收藏本站',5)">
关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象,往往是由于公司内部或外部的一些原因而导致公司的名称发生变化,那么公司的域名也要发生相应的变化,但是由于域构架的特殊性,所以对域进行重命名可不像对修改计算机的主机名这么简单,那么接下来我将为大家详细说一下域的重命名的操作流程。
先给大家罗列一下实验环境:
原域域名:demo.com
域控制器:server.demo.com
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
其中还有一台域外额控制器,名为:test20031.demo.com,一个子域:test.demo.com
实验目的:把demo.com重命名为try.com
一、前提条件:
1、 所有的域控制器必须全部是Windows Server 2003,这是一个必备条件,因为Windows 2000域并不支持域重命名。如果你是Windows 2000域的话,那么你只能用ADMT进行活动目录迁移,具体操作请参见我的上一篇文章。
2、 由于域的重命名操作并不是在域控制器上完成的,(这一点出乎很多人的意料之外吧),所以除了域控制器外,还要有一台装着Windows Server 2003的成员服务器,而且必须已经加入到该域。本实验环境中这台计算机的配置如下:
计算机名:ren2003.demo.com
IP:192.168.5.6
子网掩码:255.255.255.0
DNS:192.168.5.1
二、准备工作:
1、 在进行域的重命名操作以前,请一定要用Ntbackup工具备份现在所有域控制器的系统状态数据数据,以防万一。我在前面的文章——“活动目录之备份与恢复”上已经详细讲过了,这里就不重复了。
2、 要进行域的重命名操作,所有的域控制器一定要是Windows Server 2003,并且提升域和森林的功能级别到Windows 2003纯模式,因为默认是Windows 2000混合模式;关于提升域功能级别我已要在“活动目录之迁移”是提到了,这里我只是提一下提升森林的功能级别:
点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:
在“Active Directory域和信任关系”上击右键:
选择“提升林功能级别”:
点击“提升”就可以了,只是这个操作也是不可逆的。之前一定要保证域级别在Windows Server 2003,包括子域的域级别哟!
提升完成后,大家要注意复制的时间,最好等一会,至于具体要等多久就要取决于你的网络规模大小了。
3、新建一个新的DNS区域,域名要和新建域的域名一致;
点击“开始-设置-控制面板-管理工具-DNS”:
在“正向查找区域”上击右键:
选择“新建区域”:
点“下一步”:
选“主要区域”,其它保持默认,点“下一步”:
选“至Active Directory林demo.com中的所有域控制器”,然后点“下一步”:
这里要输入新域的域名,实验中是“try.com”,继续“下一步”:
点“下一步”:
确认没有问题后点“完成”:
建立完成。
Windows Server 2003活动目录之域重命名二
清华同方TF-SSL VPN50设备评测
一季度运营商VoIP/IMS环比降7%同比增48
阿尔卡特为多厂商网络提供先进入侵围堵
16MB三级缓存 英特尔欲推怪兽级Tulsa
挟双核 宝德挑起“百城千战”
英特尔终于在2006年展开了战略反攻
ChinaITLab收集整理2005-12-19保存本文推荐给好友收藏本站',6)">
三、重命名操作;
1、在成员服务器上获得重命名工具。
在默认情况下,重命名工具并不会被安装,所以我们要到安装光盘中去获得这个工具,在x:\valueadd\msft\mgmt\domren,(X表示安装盘所在的光驱盘符):
两个工具的名称分别是rendom.exe和gpfixup.exe,其中rendom是我们用以的主要工具,gpfixup是用来修复组策略的。还有一篇readme文档,英文不错的朋友可以看一下。把这两个工具拷到硬盘上,实验中,我拷到了C盘。
2、点击“开始-运行”,输入:cmd,回车,在出来的命令提示符下把当前目录切换到C盘根目录下:
输入:rendom /list,回车:
运行成功后在该工具的文件夹下会产生一个名为domainlist.xml文件,实验中就是C盘根目录下;
我们打开一下这个文件看一下,里面是些什么内容:
3、 用记事本修改domainlist.xml文件,把里面的demo.com,全部换成try.com
修改完成后保存退出:
4、 再点击“开始-运行”,输入“cmd”回车,并切换到C盘根目录下,然后再输入:rendom /upload,然后回车:
执行成功后,会产生一个dclist.xml文件,该文件相当于一个日志文件,会纪录重命名过程中的状态,这是这个文件的内容:
并且此时森林被冻结,也就是说这个时候,域已经不可用了;
5、继续在命名提示符下运行rendom /prepare,此步骤主要是校验DC是否全部准备完成;
以上图表示准备完成。
6、如果上述步骤中出现失误,比如发现新域名书写错误等,可以运行rendom /end,可以取消前面第2步开始的操作,并同时解除森林的冻结状态;
7、如果没有问题的话,那么此时在命令提示符下执行:rendom /execute。
执行成功后,会发现所有的域控制器全部自动重启。重启后,登陆界面会发生变化:
看到了吧?原来的“demo”不见了,换成了“try”。
8、重新命名域控制器的DNS后缀。
进入系统后,你会发现,虽然域名已经换了,但域控制器的DNS名却并没有发生改变,如下图:
所以我们要点击上面的“更改”按钮:
点“确定”:
点“其它”:
把上面的“demo.com”换成“try.com”,然后再点“确定”,系统会要求重启,重启后的域控制器的DNS名字就会换掉了:
相同的操作在所有的域控制器上做一次,包括子域上的域控制器。
9、客户端的操作。
客户端上不用做其它的额外操作,只要把客户端重启。重启会可以看到如下界面:
奇怪,怎么还是“demo”?为什么不是“try”?别急,再重启一下:
“try”出来了吧?
10、清除AD中的老域名。
转到成员服务器,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:rendom /clean,回车:
出现上图表示清除成功!
11、组策略的修复。
截止到第10步,其实整个域的重命名操作算是完成了,但是我们还有一个后续工作要做,就是修复组策略,大家可以此时去运行一下组策略,我想大部份的网络管理员都会得到如下画面:
发现组策略根本不可用,OK,那我们来修复它,还记得文章刚刚开始的时候,我提到的两个工具吗?其中一个是用到现在的rendom,另一个就是用来修复组策略的gpfixup。现在转到成员服务器上,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:gpfixup /olddns:demo.com /newdns:try.com /oldnb:demo /newnb:try /dc:try.com,回车:
运行成功后,再到域控上去执行一下组策略:
看到了吧,组策略已经可以成功执行了。
到此为止,整个操作全部完成了。
四、注意事项。
1、如果森林中有Exchange 2000或2003请不要进行域的重命名,因为一旦进行重命名操作,Exchang将会停止工作。这一点请大家一定要注意!
2、森林在短时间内停止工作,具体时间取决于域控制器的多少和你的网络规模。
3、域的重命名操作要么所有的域控制器完成重命名,要么就从森林里彻底的消失。
4、在域的重命名操作中,不能添加或删除域控制器,也不能进行新的域信任关系的建立。
请问一下关于还原Exchange数据库的问题
页: [1]
小斌斌http://www.51cto.com 2005-10-15 03:45
请问一下关于还原Exchange数据库的问题
Exchange2003做了系统状态备份及存储组备份(AD也做了备份),现因公共文件夹有部分文件被误删除了,想在另一台机上做还原。请问,我是否要还原域环境及Exchange环境,或只是简单重新建立一新的域环境,直接还原Exchange的数据库?
yinjiehttp://www.51cto.com 2005-10-17 04:44
理论上这样是不能的,最好是使用数据库文件做离线恢复或建立和原来一样的离开原网络的环境再恢复.
http://www.51cto.com 2005-10-17 05:56
数据库文件离线恢复指的是怎样的过程? 是重新mount以前unmount时备份的数据库文件吗?
yinjiehttp://www.51cto.com 2005-10-17 07:09
没错.是这样的.这样的操作会丢失数据,可以做为ONLINE BACKUP失败的补救措施
小斌斌http://www.51cto.com 2005-10-18 05:41
哦,明白,谢谢yinjie!
小斌斌http://www.51cto.com 2005-10-21 04:42
Exchange的数据已经还原了,在这里向大家分享一下我的经历。
前段时间使用中发现Exchange公共文件夹中有部分数据被误删除,由于不想影响生产环境,对“恢复存储组”的功能也不太了解,所以还是按老方法,找两台备用的机器,在隔离的环境中对数据进行恢复。
网络环境:
AD2003,Exchange2003,在森林中共有三台DC,DC1、DC2为根域DC,DC3为DC1的子域DC。DC1、DC3设定为GC.
DC1(GC、架构主机、域命名主机、PDC、RID主机及DNS服务器)
DC2 (基础结构主机)
DC3 (子域GC、PDC、RID及基础结构主机)
ExSrv (Exchange Server2003 SP1 企业版)
其中,DC1、DC2中均有系统状态备份,ExSrv有系统状态备及存储组备份。
下面是恢复的大致过程:
分别安装机器A及机器B,A准备还原为DC1,B准备还原为DC2,尽量安装与原来的环境相一致的补丁及软件。由于我这两台机器均为专机专用,所以也没有其它的软件,只是装上诺顿就OK了。
首先还原DC1,在添加删除中安装DNS,重启机器,按F8进入目录服务恢复的安全模式,启动ntbackup.exe,选择还原,编录备份文件,选择还原系统状态,还原。重新启动机器,由于我的这台机器的硬件设备与原来的有所不同,所以这时进入系统,它会不断查找新硬件,并提示重启。先不要重启电脑,确认网卡已经安装,且设置的ip地址与原来DC的IP地址相同。设置DNS的地址为自己。(我这里是192.168.1.8)。另外,由于我这里是恢复到独立的网络环境中去,该网络只有一台DC,并不再与其它的DC进行同步及复制,所以,在这时不要重启电脑,运行 ntdsutil,选择 Authoritative restore,并选择 database,授权还原整个AD数据库。还原完毕,重启电脑。这时域环境应该还原出来了,使用域管理员帐号登录,检查DC的状态正常与否,主要检查及使用的工具有:dcdiag,检查DC的各种状态;FSMO角色,可以使用support tools工具里的 netdom query fsmo来查询;GC,查看目录服务事件日志,检查3268/3269端口是否在监听,检查SYSVOL及NETLOGON共享等,确保DC、GC工作正常。
然后就可以还原Exchange的机器了。进入安全模式,运行ntbackup,还原exsrv的系统状态,还原成功后,以域的administrator身份登录exsrv,安装几个exchange要用到的组件,如IIS,SMTP,NNTP。然后,在Exchange的安装目录中,以 Setup /DisasterRecovery 参数重新安装Exchange。安装完成后,检查与Exchange相关的几个服务,特别是Information Store服务能不能正常起来。如一切正常,此时的状态应该是Exchange服务正常启动了,但相关的Store Group里的邮件存储及公共文件夹存储不能Mount起来(正常,因为这时只是重装了Exchange,数据还未恢复嘛)。
下一步,还原Exchange的数据。右键点击公共文件夹存储,属性,数据库,勾选“还原时可以覆盖此数据库”选项,应用确定。同样打开ntbackup.exe,找到编录的Exchange备份,勾选公用文件夹存储及Log Files(如要还原邮箱,亦要勾选邮箱存储),点击开始还原。在随后的还原选项信息里,“还原到”填上当前exchange服务器的名称exsrv,“日志及修补文件的临时位置”选择一个磁盘空间比较多的位置,这里我填上 D:\log,勾选”上次还原集”及“还原后装上数据库”选项。按确定,开始还原。这里的“上次还原集”这个选项的作用比较重要,如果勾上了,表明你这次还原的Exchange是最后的还原状态,并且在还原完毕后,系统会自动执行日志文件的replay动作。这时的Exchange是还原到你所做的完全备份时的状态。如果你的Exchange在这个完全备份之后,还做了差异备份或增量备份,则 不要勾这个勾勾,直到你还原最后一个备份时,才把这个勾勾上。这时,Exchange会根据你的事务日志,还原到最接近当机前一克的状态。由于我这里要还原的是以前公共文件夹中的数据,所以我把这个勾勾上了。还原执行完毕后,存储数据库会自己Mount上。这时,使用Outlook或OWA就可访问到Exchange还原后的数据库了。
用Outlook访问Exchange公共文件夹,将恢复的数据保存到PST文件中,再在生产环境中恢复,此时,整个的还原Exchange过程就结束了。
由于此文是我在事后根据当时的回忆来写的,所以没有截图,有些地方的细节也不够清楚,但在这里主要想表达的是整个的还原过程、步骤及思路。以前对Exchange的了解不深,曾经设想,像SQL的数据库一样,在新的环境中安装好Exchange环境后,再把备份的Exchange数据库还原出来,再Mount上去。但由于Exchange要维护存储组的DN的一致性,所以这种方法是行不通的。呵呵,当时为此曾花了不少时间,走了不少弯路,固此在这里把我这次的还原经验写出来,与各位分享一下。
AD(活动目录的安装及设置及问题点?
win2000活动目录问题
活动目录的问题,请进
WIN2003的IIS的相关问题
关于2003活动目录的问题
win2000 活动目录共享问题 急等!
活动目录
活动目录
WIN2003目录分区备份
WIN2003操作系统如何解决标题栏乱码问题
构图问题??及相关问题!
相关现金流量的问题,及相关习题
求助:幼儿园圣诞及新年主题活动的相关策划
CS卡卡卡!!!!!及相关问题!!
win2003中的DNS 安装及设置/问题?
在活动目录中我的文档无法重定向的问题
删除server2003的活动目录后碰见的问题.
关于AD活动目录域管理的问题
怎么解决win2003下无法运行大航海时代的问题
如何解决win2003不能装sqlserver2000的问题
怎么解决win2003下的网络密码问题??
请教关于重装WIN2003解决终端服务过期的问题
win2003问题
win2003问题