AD ---- 活动目录的平常管理操做(3)

大纲:管理SYSVOL文件夹管理时间服务管理长期离线的DC 维护SYSVOL:什么是SYSVOL 对SYSVOL的平常维护任务:位置规划日志监控-文件复制服务日志性能监视对SYSVOL的特殊维护操做 SYSVOL的很是规维护:移动SYSVOL 为Staging Area分配额外的空间还原/重建SYSVOL 移动SYSVOL:什么时候须要移动SYSVOL 如何移动SYSVOL

经过开始--运行--输入c:\WINNT按肯定后就能够看到一个SYSVOL文件夹--双击SYSVOL文件后就能够看到一个共享的sysvol文件夹--双击共享sysvol文件夹后就能够看到当前域的域名--双击这个域后就能够看到一个Policies文件夹一个共享的scripts(脚本)文件夹--双击Policies文件后就能够看到两条默认的策略一条是域安全策略一条是域控制器安全策略相对应的数字和字母是这条策略的GUID名若是在Nwtraders.Msft(域名)这个文件夹里面新建一个文本文件也会出如今domain这个文件夹里面

在命令提示符里面输入dcdiag /test:replication按回车键来测试检查复制的状态看它的复制是否能正常启动和运行在命令提示符里面输入dcdiag /test:netlogons按回车键来测试netlogon的一个权限看这台DC是否可以进行相关的复制当这两个测试都完成了之后证实这台DC是可以进行复制的

在命令提示符里面输入net stop ntfrs按回车键中止frs服务由于frs服务(文件复制服务)在运行的过程当中可能会致使这些信息因为被锁定而没法进行调整我在D盘里面新建一个叫作SYSVOL的文件夹而后把WINNT里面的SYSVOL文件夹里面全部的文件复制--粘贴到D盘里面的SYSVOL文件夹里面注意:SYSVOL文件夹不要备份到C盘把它放到其余盘里面经过开始--运行--输入regedit按肯定来打开注册表编辑器找到注册表编辑器下面那个路径--双击SysVol这个键值它记录了SYSVOL文件夹所定义的位置我把它从新定义到D盘里面的SYSVOL文件夹里面在数值数据里面改为D:\SYSVOL\sysvol 按肯定经过开始--运行--输入adsiedit.msc按肯定找到CN=NTFRS这一项对着CN=Domain System Volume右键--选择属性在Select which properties to view 那一项选择Mandatory 在Select a property to view那一项选择fRSStagingPath 在Edit Attribute 那一项输入D:\SYSVOL\staging\domain 按Set 按肯定就ok了

首先要安装windows server 2000Resource kit工具包才能使用linkd这个命令在命令提示符里面输入cd winnt按回车键输入cd sysvol按回车键输入cd staging areas按回车键输入dir按回车键能够看到一项<JUNCTION> Nwtraders.Msft 它表示是一个挂接点我如今把这个挂接点从新挂接到目标输入linkd Nwtraders.Msft d:\sysvol\staging\domain按回车键后这个挂接点就挂接到新的指向位置了经过开始--运行--输入adsiedit.msc按肯定打开它找到CN=Domain System Volume 右键--选择属性在Select which properties to view 那一项选择Mandatory 在Select a property to view那一项选择fRSRootPath 在Edit Attribute 那一项输入D:\sysvol\domain 按Set 按肯定那么这个值就会更新到数据库里面了

在命令提示符里面输入cd.. 按回车键输入cd sysvol按回车键输入dir按回车键输入linkd Nwtraders.Msft d:\sysvol\domain 按回车键这样sysvol就能够定义到新的位置了经过开始--运行--输入regedit按回车键来打开注册表编辑器找到注册表编辑器下面的那个路径双击BurFlags这个键值在数值数据里面改为d2按肯定把它改为d2的意义在于我设置当前这台DC的sysvol为一个不可信的sysvol也就是说它离线了一段时间在它连机的时候它必需立刻从其余DC上面得到相关的复制才能正常工做因为frs服务已经中止工做了一段时间在命令提示符里面输入net start ntfrs按回车键来从新启动ntfrs(文件复制)服务这个时候sysvol已经转移到新的位置了

在命令提示符里面输入net share按回车键后能够看到 SYSVOL D:\SYSVOL\sysvol Logon server share 已经挂接到D盘了输入dcdiag /test:netlogons按回车键去检查整个步骤是否正确完成了在命令提示符里面能够看到已经完成了全部的测试了

经过开始--运行--输入regedit按肯定来打开注册表编辑器找到注册表编辑器里面的左下角那个路径双击Staging Space Limit in KB 选择十进制因为它的值是以KB计算的也就是它的最小单位以KB来计算的咱们须要额外地把它算成平常习惯以1M为结尾的数据了在数值数据里面改为975840 大概有900多M 这时候sysvol中的Staging Space它就能得到更多的额外空间了在交换的时候它就更有利而不会再出现frs13522 ID的错误了

一样在命令提示符里面输入dcdiag /test:replication按回车键来测试检查复制的状态看它的复制是否能正常启动和运行输入net stop ntfrs按回车来中止文件复制服务确保能对里面的文件进行足够地操做经过开始--运行--输入regedit按肯定来打开注册表编辑器找到注册表编辑器左下角那个路径双击BurFlags--一样在数值数据里面改为D2 接下来咱们就能够从另外一台DC得到一个新的sysvol

经过开始--运行--输入\\加另外一台DC的计算机名称好比 \\Shenzhen\admin$ 按肯定去进入管理模式下的共享而且从这个共享里面把对方的SYSVOL文件夹复制过来复制成功之后就在命令提示符里面输入net start ntfrs按回车键来启动文件复制服务当文件复制服务启动的时候Beijing这台DC就会把Shenzhen那台DC的SYSVOL文件夹信息复制到Beijing这台计算机里面

管理时间服务:什么是时间服务:同步客户端时间客户端和成员服务器以验证DC为时间源 DC以本域PDC模拟器为时间源 PDC模拟器以上级域PDC模拟器为时间源森林根域PDC模拟器为森林权威时间源管理时间服务时间服务平常管理:配置时间源配置外部时间源 Internet上的时间服务器 KB262680

经过开始--运行--输入regedit按肯定来打开注册表编辑器找到注册表编辑器左下角那个路径在右边空白处右键--新建一个双字节值命名为Reliable TimeSource 双击打开它把它的数值数据设置为1 按肯定双击LocalNTP 把它的数值数据修改为1 按肯定这两个值修改为功之后就从新启动时间服务在命令提示符里面输入net start win32time按回车键来启动时间服务双击type 把它的数值数据修改成NTP 按肯定接下来新建一个字串值命名为NtpServer 双击打开它在数值数据里面输入peers 按肯定再新建一个双字节值命名为TimeInSeconds 双击打开Period 在它的数值数据里面能够设置成几种方式第一种能够设置成24 它表明每一天的时间内当前的这台时间服务器以逻辑上面的可靠时间服务器同步24次也就是平均每小时一次 65531它设置为每45分钟同步一次当有一次成功之后它就天天再进行同步一次 65532它设置为每45分钟同步一次若是连续三次同步成功那么每8个小时设置一次这是一个默认的设置值 65533它设置为每7天才进行一次同步 65534它设置为每3天进行同步一次 65535它设置为每2天进行同步一次还有一个数值0 它并不表明不复制或者是立刻同步以及长时间不进行同步它对应的还必须要看type值若是type值是默认的NT5ds 也就是本地时间源那么它将每45分钟同步一次直到三次同步成功而后每8个小时同步一次若是设置的是NTP 那么它每8个小时同步一次在修改注册表键值完成之后须要从新启动时间服务在命令提示符里面输入net stop win32time按回车键先中止时间服务再输入net start win32time按回车键启动时间服务接下来若是要同步当前客户端的时间就输入w32tm -s按回车键来强制计算机同步这是一个本地时间源的设置

管理长期离线的DC:长期离线的DC带来的危害:幽录帐号无效的SYSVOL Operation Master 无效 DC长期离线前的准备工做长期离线DC上线前的准备工做:检查FSMO角色强制AD复制系统备份/系统状态备份 Tombstone Lifetime

经过开始--运行--输入adsiedit.msc按肯定在Configuration里面找到CN=Directory Service这一项右键--选择属性在Select a property to view那一项选择tombstoneLifttime 能够看到默认值是<not set>没设置也就是60天在Edit Attribute那一项能够设置新的值好比设置成90 表明90天那么之后你所删除的对象它不会在90天以内被清除AD数据库它会在AD数据库里面存储90天按Set 按肯定

长期离线DC上线:查看Tombstone Lifetime 禁用离线DC的OUTbound复制连接 repadmin /options ServerName+disable_outbound_repl 删除Lingering Object 恢复SYSVOL