Active Directoryの概念と障害回復

  

1. Active Directoryとは何ですか?
ADはトランザクションデータベース、ESE97テクノロジを使用する事前作成されたレコードモードです。ディスク上では、ADは複数のファイルとして表示されます。これらのファイルは、ntds.dit(ADデータベース)、一連のトランザクションレコード(つまり、ログ)、およびデータベース内の最後のバッファを記録するチェックポイントファイルです。一時データベースファイルもあります。ディレクトリサービスは、ディレクトリデータストアの意味と、ユーザーまたはプログラムが情報にアクセスできるようにする関連サービスを含む複合名詞です。コミュニティのために、あなたはカタログを持っていますか?カタログは、ユーザーアカウント、コンピューター、プリンター、アプリケーション、セキュリティ、システム原則などのリソースを含む、企業ネットワーク上のすべての重要なデータ用の集中記憶領域を提供します。重要なリソースの大部分を共有ネットワークリソースに配置すると、企業の効率が向上し、ネットワークの総所有コスト(TCO)が大幅に削減されます。 WIN 2Kディレクトリサービスはマルチコントローラモードを使用します。つまり、ディレクトリリソースは任意のコントローラ上で変更できます。したがって、上記から、ADは実際にはデータベースであり、各DCは重要なデータベースサーバーであることがわかります。そのため、重要なデータベースを保護するのと同じようにDCを保護する必要があります。
次に、Active Directoryのいくつかの概念
1、ドメイン:セキュリティの境界。
2、ツリー:複数のドメインの集まり。
3. Lin:複数の関連ツリー。
4、DNS:ADへのゲートウェイ。 DNS内のサービスレコードは、アプリケーションシステムクエリADのルートです。
5、GC:よく検索されるADオブジェクトのインデックス。ローカルモードでは、GCはネットワーククライアントのログイン要求処理に参加し、ユニバーサルグループメンバーシップを提供します。ドメイン管理者以外のグループのメンバーは、GCの支援なしでネットワークにログインできます。混在モードでは、GCはログインプロセスに参加しませんが、GCがネットワーク上でディレクトリクエリと検索を実行することは依然として重要です。
6、オペレーティングホスト:マルチコントローラモードはADの中心的な機能ですが、複数のサーバー間の競合の可能性もあるため、この問題を解決するためにADを選択しました。特別な機械の中には特別な役割を果たすものがあります。各役割は、特定のAD領域に対する変更を処理する責任があります。
第3に、ADのメンテナンスとバックアップ
1、ADのメンテナンス:ADの動作状態とコンポーネントの状態を監視するためのパフォーマンス監視ツールを通じて、効果的にADの障害を見つけて時間内に解決することができます。
2、ADのバックアップ:ADは、システムの状態をバックアップすることでバックアップすることができます、あなたはこの仕事を完了するためにシステムツールでバックアップツールを見つけることができ、また達成するためにサードパーティのソフトウェアを使用できます。ただし、ADのバックアップに関するいくつかの制約に注意してください。
* ADは現在有効なデータのみをバックアップし、削除対象としてマークされているオブジェクトはバックアップしません。 AD内のオブジェクトの削除は即時ではなく、マークアップ時間を削除するのに60日かかります。したがって、ADが不完全にならないようにするために、60日前にADバックアップを回復しないようにする必要があります。
* ADのバックアップタイプは選択できません。フルバックアップのみ使用できます。
*バックアップにシステムステータス、システムディスク上のファイル、およびSYSVOLディレクトリの内容の両方が含まれていることを確認してください。
*元のサーバーのバックアップを使用してのみサーバーを復元できます。他のサーバーのバックアップを使用してサーバーを復元することはできません。
3、AD終了:ADシステムはデフォルトで12時間ごとに自動オンライン終了を実行します。しかし、オンラインフィニッシュは、データベースのサイズを減らすために、あなたはオフラインフィニッシュを使用する必要がある、データベースのサイズを縮小することはできません。
DCが起動したら、ブートメニューに入るためにF8キーを押し、ディレクトリ回復モードを選択します。次のコマンドを行に入力します。
ntdsutil
files
info
このときに出力されるディレクトリファイルのパスをメモします!
c:\\ mydirにこのコマンドは指定されたディレクトリに入ります。圧縮されたデータベースファイルを作成します。
2回終了し、ツールを終了します。次に、元のファイルを圧縮されたファイルに置き換えます。そして、コンピュータを再起動します。
4、AD architecture < ADのアーキテクチャは、構造化された方法で定義されたデータで構成され、通常は属性名、型、長さ、関係などを含むメタデータを記述することによってこれらの構造を定義します。また、次のような拡張属性も含まれています。
1、名前付けコンテキスト:3つあり、それらはドメイン名前付けコンテキスト(現在のADドメインのデータを保存する)で、名前付けコンテキストを構成します(メインの基本オブジェクトと構成情報を保存し、スキーマの名前付けコンテキストを保存します(saveはすべてのADオブジェクトと属性を定義します)。
2、カテゴリ:ADオブジェクトとその関連プロパティおよび属性について説明します。
ADアーキテクチャ管理:アーキテクチャ管理はアーキテクチャホストの役割によって制御されますデフォルトでは、管理ユニットは表示されませんMMCで見つける前に.schmmgmt.dllを登録する必要があります登録方法は次のとおりです:regsvr32%systemroot%\\ system32 \\ schmmgmt。 dll.architectureコンテンツの削除は禁止されています。
5、ADの修復と回復
1、ADのメンテナンスと修復は、コマンドラインツールのNTDSUTILを介して実装されています。 > ntdsutil
repair
2、ADの回復
回復モード:ADには2つの回復モードがあります - 承認回復と無許可回復、違いは次のとおりです。
1)承認回復:他の場合ドメインコントローラに無効なレプリケーションとデータが含まれている場合は、承認回復方法を使用できますこの場合は、データベース全体またはブランチを復元することを手動で指定し、ローカル回復操作が信頼できることを指定できます。認証リカバリでは、シリアル番号が他のDCよりも大きくなるようにADのシリアル番号を変更し、ローカルのリカバリデータを他のDCにコピーできるようにする必要があります。 Br> 2)不正な復旧:ほとんどの復旧作業は不正で、片方のDCのデータに問題があり、もう一方のDCのデータが正常であると確信している場合は、不正復旧を使用できます。 DCはアップグレードシーケンス番号を再比較し、通常の複製に参加します。つまり、許可されていない承認によって回復されたデータがコピーに書き換えられる可能性があります。
注:
以下の要件を満たさない場合、回復操作は失敗する必要があります。
*サーバー名はバックアップ時間と同じになります。
*システムフォルダはバックアップ時間と同じになります。
*ディレクトリの保存先は、バックアップ時刻と同じにしてください。
3.復旧操作
1)不正復旧:DCを起動し、「ディレクトリ復旧モード」に入り、バックアップ復元操作を行います。
2)許可回復:許可されていない回復を実行した後、以下の操作を続けてください。
* ntdsutil
authoritative restore
restore database
このコマンドは、リストアしたい場合に限り、データベース全体のリストアを許可します。ブランチの場合は、次のコマンドを使用できます。
restore subtree ou = eng、dc = mycompany、dc = com
システムから正しくプロンプトが表示されたら、YESと答えます。
終了します。
注:復元が完了すると、システムはサーバーを再起動する必要があるかどうかを自動的に確認するプロンプトが表示されます。また、コンピュータのアカウントが無効になっていない場合、システムは7日ごとにコンピュータのパスワードを確認し、信頼のパスワードも復元します。信頼関係が失われていることにも注意が必要です。
4、ADの壊滅的な回復処理
1)ADを再インストールして復元する
ADを復元する最も簡単な方法は、オペレーティングシステムを再インストールしてDCを再アップグレードすることです。これにより新しいDCが作成されますが、元のDCデータが破損していると、DC上のADデータを削除するためにDCPROMOコマンドを使用できなくなり、ADデータの同期が失われる可能性があります。さらに悪いことには、ADユーザーとコンピュータ管理ユニットのDCオブジェクトを削除することはできません。これがDCを削除することができる前に「ADサイトとサービス」からサーバーを削除することができる唯一の方法です。残念ながら元のDCと同じ名前の新しいDCが必要な場合は、新しいDCを作成する前に、NTDSUTILコマンドを使用してAD内のオブジェクト情報を削除する必要があります。具体的な操作は次のとおりです。
ntdsutil
metadata cleanup
connections
サーバーに接続< good dc>
quit
操作対象を選択
サイトを選択
サイトを選択< ID>
ドメインのリスト

ドメインの選択< ID>
サイトのサーバーのリスト

サーバーの選択< bad dc>
選択したサーバーの削除
DC情報詳細については、NTDSUTILを実行するためのNTDSUTILのヘルプを参照してください。ヘルプ情報を読むことができます。
注:元のDCを削除する前に、元のDCにロールが含まれていないことを確認する必要があります。その場合は、次のようにNTDSUTILコマンドを使用してロールを取得してください。接続されたサーバーのドメインロールを上書きする

インフラストラクチャマスターを接続する - 接続されたサーバーの構造ロールを上書きする
PDCを接続 - 接続されたサーバーのPDCロールを上書きする
RIDマスターを接続 - 接続サーバーでのRIDロールの書き換え
スキーママスターの接続 - 接続されているサーバーでのスキーマロールの書き換え
キャプチャされるDCは、オペレーティングシステムを再インストールしないとネットワークに再接続できません。 !
2)バックアップからADを復元する
バックアップファイルからADを復元することは非常に適しています。ただし、誤った操作から情報を回復する場合は、必ず許可回復モードを使用してください。
注:
*期限切れバックアップ:前述のように、ADバックアップは60日前にデータを復元することはできません60日間のバックアップを復元する必要がある場合は、復元するためにKB216993に従ってグローバルマーク時間を変更する必要があります。 。
CN =ディレクトリサービス、CN = Windows NT、CN =サービス、CN =設定、DC = COMPANY、DC = COM、その名前は次のとおりです。tombstoneLifetime、操作は直接ADデータを編集する必要があります、 ADSI、LDPなどのツールを使用してください。
注:注意してください。
*異なるハードウェアで復元する:通常、新しいマシンと元のマシンのハードウェアが基本的に同じであることを確認し、同じハードウェア抽象化レイヤファイル(HAL)を使用しない限り、ADのバックアップを別のハードウェアに復元することはお勧めできません。 。
*リモートバックアップと復元:BOOT.INIファイルの後、/safeboot:dsrepairコマンドオプションを使用して、リモートコンピュータを回復モードで起動できます。
5.まとめ
この記事では、Active Directoryの全体的な概念と基本的な理論について簡単に説明し、ADのバックアップと回復の手法および運用、さらには致命的な回復方法について説明します。

付録:NTDSUTILのヘルプ
ntdsutil:?

- このヘルプ情報を印刷する - 権限のある復元 - 権限のある復元D99vデータベース
ドメイン管理 - 新しいドメインの作成を準備する
ファイル - NTDSデータベースファイルを管理する
ヘルプ - このヘルプ情報を印刷する
IPDeny List - LDAP IP拒否リストの管理 - LDAPポリシー - LDAPプロトコルポリシーの管理 - メタデータのクリーンアップ - 未使用のサーバーのオブジェクトのクリーンアップ
Popups%s - ポップアップの "on"または "off"による有効化または無効化>終了 - ユーティリティ
役割を終了するには - 管理NTDS役割の所有者トークンは、セキュリティアカウント管理を
- セキュリティ・アカウント・データベースを管理する - セマンティックデータベース分析
SIDのクリーンアップをコピーする - 文法チェッカー

< Br>
Copyright © Windowsの知識 All Rights Reserved