域数据库复制原理
数据库文件位置:
站点:一组高速且可靠连接的计算机。
多主机复制;一台域控内的数据发生变化,会通知其他域控制器进行同步。 15s同步一次
紧急数据:紧急数据会立即同步到PDC主机。
当域中的域控制器数量发生变化,例如增加或减少了域控制器,域控制器上的进程KCC就会进行Active Directory复制拓扑的计算。KCC被翻译为知识一致性验证器,我们在任务管理器的进程列表中看不到KCC,因为它属于LSACC进程的一部分。KCC可以自动计算出域控制器进行复制时所使用的拓扑,当域控制器数量较少时,KCC倾向于在域中使用环形拓扑进行Active Directory复制,也就是说当一个域控制器的Active Directory内容发生变化时,这个更改不会同时传递给其他所有的域控制器,而是要沿着KCC设计的环形拓扑一一传递下去。而且为了实现冗余以及提高效率,KCC设计的拓扑还是双环拓扑,下图就是一个域控制器的复制拓扑示意图,从图中可以看到,每个域控制器都有两个复制伙伴,Active Directory的复制沿着顺时针和逆时针两个方向进行。
为了减少复制延迟:从源DC到目标DC不允许超过3台。
同一个站点内的DC之间的AD DS复制使用更改通知的方式,即一台DC数据变化,15s后,通知其他域控。收到通知 DC如果需要就会发出更新数据的请求给源DC。源收到后,开始复制 。
复制伙伴:
直接复制伙伴 间接复制伙伴
不同站点之间数据同步,借助 桥头服务器。
复制冲突: 多台域控制器同时修改某个对象、某台DC在创建用户的时候,另一台DC将OU给删除了。。。。。。
检查以下项;
1 对象属性 对象的修改的次数(版本号),属性值从1开始
2 修改时间 在不同DC上对该对象修改时间,靠后的优先
3 修改对象的DC的GUID 比较GUID号的大小 GUID指的是DC的硬件值
实例: Server01上创建用户 jinning ,进行AD备份,随后删除此用户,还原AD备份,请问此用户能还原成功吗?
步骤1: 在AD用户和计算机上创建用户:
步骤2:进行AD备份,利用Windows Server Backup.
步骤3:删除用户
步骤4:进入目录还原模式,进行还原
步骤5:还原后,重新启动计算机
步骤6:查看删除的用户,是否还原,还原不成功的:
必须进行授权还原:手动增大对象的属性值
步骤1:在AD用户和计算机上创建用户:
步骤2:进行AD备份,利用Windows Server Backup.
步骤3:删除用户
步骤4:进入目录还原模式,进行还原
操作主机: FSMO
操作主机角色:
RID主机 PDC 结构 域命名 架构
RID主机: 用来产生用户的SID. SID=域(本机)ID + RID
查看用户SID:
PDC主机:
1. 兼容旧版操作系统(NT)
2.加快复制紧急数据
3. 域内时间同步
域内的所有客户端都与本域的PDC主机进行时间同步
域命名主机: 维护创建或者是删除域时,域名的唯一性
架构主机: 存放的是整个架构内的对象的属性
结构主机: 维护跨域对象的更新,如:A域的用户加入到B域的组中
域级别: RID主机 PDC主机 结构主机 每个域中
林级别: 域命名主机 架构主机 一个林中
找出FSMO
图形界面:
命令行:
实例: 通过图形界面找出当前域中的FSMO
RID PDC 结构
域命名主机:
AD域和信任关系
架构主机:
运行命令: regsvr32 schmmgmt.dll 注册架构主机动态链接库文件
运行: MMC
实例: 通过命令行查看当前域中的FSMO
netdom query fsmo
实例: 转移操作主机
三种方法:
1. 图形界面
将操作主机从SERVER01转移到Server02上
2. NTDSUTIL
将操作主机从Server02转移到Server01上
3.将操作主机所在的DC 降域
通过降域的方式将操作主机转移到其他DC上
强制占有FSMO
适合于操作主机不可连接
实例:通过强制占有的方式,在Server01上抢占FSMO
准备:将现有的操作主机关机,其他DC(Server01)来抢占
通过ntdsutil
原操作主机不要再回到域中