IT博客-从上而下，从下而上@By LP-随笔分类-Active Directory

Active Directory 产品操作指南

JXTu — Tue, 06 Feb 2007 03:32:00 GMT

文档目的

本指南描述了用于改进信息技术 (IT) 基础结构中 Microsoft® Active Directory® 目录服务管理的过程和步骤。

面向对象

本材料将有助于规划部署该产品至现有的 IT 基础结构，尤其是基于 IT 基础结构库 (ITIL)（一整套 IT 服务管理的最佳做法）和微软操作框架 (MOF) 的部署。本材料主要针对于两个主要组：IT 经理和 IT 支持职员（包括分析和服务台专家）。

使用本指南

本指南分为五个章节。第一章提供了基本的背景信息。第二章提供了维护本产品所需要的高级过程表。第三章对维护章节中所描述的过程进行了详细研究，并使其与构成每个过程的步骤和任务相对应。第四章依据每个过程的角色对过程进行了组织。第五章包含了提供步骤详细信息的附录，其中包括需求和步骤。

本指南可作为单独的一卷进行阅读，包括详细的维护和疑难解答部分。这种阅读方式可提供必要的上下文，如此可更容易理解本文档之后的材料。不过，某些读者愿意将此文档作为参考材料，仅在需要时用于查找信息。

背景

本指南基于 Microsoft Solutions for Management (MSM)。MSM 提供了最佳做法、最佳实施服务以及最佳自动化操作，所有这些均有助于客户实现操作的卓越表现，高质量服务、行业可靠性、可用性、安全性以及较低的总拥有成本 (TCO) 可证明这一切。

这些 MSM 最佳做法均基于以 ITIL 为中心的结构化、而又灵活的 MOF 方法。MOF 包括如何规划、部署和维护 IT 操作过程的指导，以便支持关键的服务解决方案。

MOF 中心（为了理解本指南的结构）是 MOF 过程和小组模型。过程模型及其根本的服务管理功能 (SMF) 是基于过程的方法的基础，该方法是维护本产品的指南建议。组队模型及其角色群为确保将正确的人员分配至操作角色提供了指导。

图 1 显示了与构成过程模型每个象限的 SMF 相结合的 MOF 过程模型。

点击放大

图 2 显示了该 MOF 组队模型以及可能存在于服务管理组织中的很多功能角色或功能小组。这些角色和功能小组均显示为其所属的 MOF 角色群的映射。

点击放大

该 MOF 组队模型建立在六个质量目标上，表 1 对其进行了描述并与适用的小组角色群相匹配。

表 1 MOF 组队模型质量目标和角色群

质量目标	小组角色群
有效发布和更改管理。所有 IT 服务和系统的精确清单跟踪。	发布
物理环境和基础结构工具的管理。	基础结构
质量客户支持和服务文化。	支持
可预测的、可重复的以及可自动化的系统管理。	操作
与服务和供应伙伴之间的互益关系。	合作伙伴
受保护的公司资产、控制的授权和主动的安全规划。	安全

参与人员

程序经理
Jeff Yuhas，Microsoft Corporation

Chris Macaulay，Microsoft Corporation

主要参与人员
Nigel Cain，Microsoft Corporation

Arren Conner，Microsoft Corporation

Dmitry Dukat，Microsoft Corporation

Levon Esibov，Microsoft Corporation

Khushru Irani，Microsoft Corporation

Kamal Janardhan，Microsoft Corporation

Gregory Johnson，Microsoft Corporation

William Lees，Microsoft Corporation

Andreas Luther，Microsoft Corporation

Kevin Sims，Microsoft Corporation

Jeromy Statia，Microsoft Corporation

测试经理
Greg Gicewicz，Microsoft Corporation

QA 经理
Jim Ptaszynski，Microsoft Corporation

首席技术作者
Jerry Dyer，Microsoft Corporation

首席技术编辑
Laurie Dunham，Microsoft Corporation

技术编辑
Patricia Rytkonen，Volt Technical Services

产品编辑
Kevin Klein，Volt Technical Services

文档所包含的信息代表了在发布之日，Microsoft Corporation 对所讨论问题的当前看法。因为 Microsoft 必须顺应不断变化的市场条件，故不应将本文档理解为 Microsoft 一方的承诺，Microsoft 不保证所给出的信息在发布之日以后的准确性。

本文档仅用于提供信息。Microsoft 对本文档中的信息不做任何明示、默示或法定的担保。

遵守所有适用的版权法律是用户的责任。在不对版权法所规定的权利加以限制的情况下，未得到 Microsoft 公司明确的书面许可，不得为任何目的、以任何形式或手段（电子的、机械的、影印、录制等等）复制、传播本文的任何部分，也不得将其存储或引入到检索系统中。

本文档可能涉及 Microsoft 的专利、专利申请、商标、版权和其它知识产权。除非 Microsoft 通过书面许可协议明确提供，此文档并没有授予您对这些专利，商标，版权或其他知识产权的任何许可。

除非特别说明，此处所述作为范例的公司、组织、产品、域名、e-mail 地址、徽标、人员、地点和事件均为虚构，不与任何真实的公司、单位、产品、域名、e-mail 地址、徽标、人员、地点和事件有联系，也不应从中做任何此类联系方面的推断。

Microsoft、Active Directory、Windows、Windows NT 和 Windows Server 是 Microsoft Corporation 在美国和/或其他国家（地区）的注册商标或商标。

此处所涉及的真实的公司和产品名称可能是其各自所有者的商标。

第 2 章 — 维护 Active Directory 的高级过程

第 3 章 — 详细的维护操作

第 4 章 — MOF 角色群的过程

第 5 章 — 附录

JXTu 2007-02-06 11:32 发表评论

域控制器DC上安装还原卡的问题

JXTu — Mon, 05 Feb 2007 11:49:00 GMT

问题描述：
NTDS 和SYSVOL两个目录都放在D盘，防止病毒，想在域控制器上装还原软件，将C盘保护起来。

问题反馈：
不建议安装。
－安全是一个整体性的架构，一是安装最新的补丁，二是安装合适的防病毒软件并更新最新的病毒库，三是严格定义管理员的操作。

安装最新的补丁还是需要提一下的，因为在我做方案的时候，遇到有些管理员认为某些重要补丁对于dc来说是不用安装的，安装了反而会带来漏洞，比如Internet Explorer service pack 1。但这么做恰恰是错误的，现在有相当多的服务器管理软件都会涉及到web service，如果不安装ie的补丁，一方面可能导致功能缺陷，另一方面就可能带来病毒或恶意软件的攻击。

安装合适的防病毒软件，针对不同的服务安装不同的防病毒软件，ad是基于文件服务的，所以所使用的软件，是要针对高频率文件操作而设计的。如果ad中的用户比较少，这个问题还不会有什么影响，如果比较多，比如上万的时候，并不是为高频率文件操作而设计的防病毒软件，就可能严重的影响ad的效能，设置导致死机。

最后一点是最关键的，很多的dc上出现病毒的问题，最常见的情况就是管理员将dc直接放置于internet，或者在dc上直接连接到internet，或者在dc上执行非授权的软件等等。这些都可能导致病毒的入侵，而dc作为ad架构的核心地带（在某些情况下就相当于fileserver），它一旦被攻击，就可能影响到所有的客户端，所以dc的安全是非常重要的。

关于您提到的“NTDS 和SYSVOL两个目录都放在D盘”，这样作其实并不能起到预防病毒的作用。微软曾经在如何调整dc性能的文章上，也提到这点。但这样做的目的是基于避免磁盘读写冲突的问题，也就是说，如果将ntds和sysvol放置在系统盘上，由于系统盘也需要较多的文件读写，这样就可能导致ad的运行效能。
但这样做，曾经在win2k and win2k3的ad上造成过兼容性的问题，当ntds 以及 sysvol位于非系统盘位置时，如果安装 service pack进行升级，ad服务及数据库可能会无法启动。
那么如果您需要将ntds转移到其他盘，那么最安全的做法就是，确保您将服务器提升为dc之前，已经安装了最新的service pack。

关于您提到的“在域控制器上装还原软件”，无论对于dc还是client都是不可取的。先不必说ad时刻都处于不断的变化过程中，dc之间需要不断同步，client与dc之间需要不断同步，一个硬件或者软件的强行还原，都有可能让被实施对象从ad中脱离，脱离后，可能需要的修复动作就是重新安装操作系统，这个结果对于client来说还不严重，但对于dc来说，就意味着，您需要手动清理ad中残留的dc数据，而这个过程是需要对ad的运作机制有一定了解的。

关于如何进行dc乃至整个ad架构的安全性防御的最佳实践，请参考
http://www.microsoft.com/china/TechNet/security/Safeguidebook/book01.asp
http://www.microsoft.com/downloads/thankyou.aspx?familyId=4e734065-3f18-488a-be1e-f03390ec5f91&displayLang=en

FEEDBACK By gnaw0725

JXTu 2007-02-05 19:49 发表评论

活动目录(Active Directory)的域重命名

JXTu — Thu, 01 Feb 2007 05:17:00 GMT

　　关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象，往往是由于公司内部或外部的一些原因而导致公司的名称发生变化，那么公司的域名也要发生相应的变化，但是由于域构架的特殊性，所以对域进行重命名可不像对修改计算机的主机名这么简单，那么接下来我将为大家详细说一下域的重命名的操作流程。

　　先给大家罗列一下实验环境:

QUOTE:

原域域名:demo.com
　　
域控制器:server.demo.com　　IP:192.168.5.1
　　
子网掩码:255.255.255.0　　DNS:192.168.5.1
　　
其中还有一台域外额控制器，名为:test20031.demo.com，一个子域:test.demo.com

　　
　　实验目的:把demo.com重命名为try.com

一、前提条件:

　　1、所有的域控制器必须全部是Windows Server 2003，这是一个必备条件，因为Windows 2000域并不支持域重命名。如果你是Windows 2000域的话，那么你只能用ADMT进行活动目录迁移，具体操作请参见我的上一篇文章。

　　2、由于域的重命名操作并不是在域控制器上完成的，(这一点出乎很多人的意料之外吧)，所以除了域控制器外，还要有一台装着Windows Server 2003的成员服务器，而且必须已经加入到该域。本实验环境中这台计算机的配置如下:

　　计算机名:ren2003.demo.com

　　IP:192.168.5.6

　　子网掩码:255.255.255.0

　　DNS:192.168.5.1

二、准备工作:

　　1、在进行域的重命名操作以前，请一定要用Ntbackup工具备份现在所有域控制器的系统状态数据数据，以防万一。我在前面的文章——“活动目录之备份与恢复”上已经详细讲过了，这里就不重复了。

　　2、要进行域的重命名操作，所有的域控制器一定要是Windows Server 2003，并且提升域和森林的功能级别到Windows 2003纯模式，因为默认是Windows 2000混合模式;关于提升域功能级别我已要在“活动目录之迁移”是提到了，这里我只是提一下提升森林的功能级别:

　　点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

　　在“Active Directory域和信任关系”上击右键:

　　选择“提升林功能级别”:

　　点击“提升”就可以了，只是这个操作也是不可逆的。之前一定要保证域级别在Windows Server 2003，包括子域的域级别哟!
　　提升完成后，大家要注意复制的时间，最好等一会，至于具体要等多久就要取决于你的网络规模大小了。

　　3、新建一个新的DNS区域，域名要和新建域的域名一致;

　　点击“开始-设置-控制面板-管理工具-DNS”:

　　在“正向查找区域”上击右键:

　　选择“新建区域”:

　　点“下一步”:

　　选“主要区域”，其它保持默认，点“下一步”:

　　选“至Active Directory林demo.com中的所有域控制器”，然后点“下一步”:

　　这里要输入新域的域名，实验中是“try.com”，继续“下一步”:

　　点“下一步”:

　　确认没有问题后点“完成”:

　　建立完成。

三、重命名操作:

　　1、在成员服务器上获得重命名工具。

　　在默认情况下，重命名工具并不会被安装，所以我们要到安装光盘中去获得这个工具，在x:\valueadd\msft\mgmt\domren，(X表示安装盘所在的光驱盘符):

　　两个工具的名称分别是rendom.exe和gpfixup.exe，其中rendom是我们用以的主要工具，gpfixup是用来修复组策略的。还有一篇readme文档，英文不错的朋友可以看一下。把这两个工具拷到硬盘上，实验中，我拷到了C盘。

　　2、点击“开始-运行”，输入:cmd，回车，在出来的命令提示符下把当前目录切换到C盘根目录下:

　　输入:rendom /list，回车:

　　运行成功后在该工具的文件夹下会产生一个名为domainlist.xml文件，实验中就是C盘根目录下;

　　我们打开一下这个文件看一下，里面是些什么内容:

　　3、用记事本修改domainlist.xml文件，把里面的demo.com，全部换成try.com

　　修改完成后保存退出:

　　4、再点击“开始-运行”，输入“cmd”回车，并切换到C盘根目录下，然后再输入:rendom /upload，然后回车:

　　执行成功后，会产生一个dclist.xml文件，该文件相当于一个日志文件，会纪录重命名过程中的状态，这是这个文件的内容:

　　并且此时森林被冻结，也就是说这个时候，域已经不可用了;

　　5、继续在命名提示符下运行rendom /prepare，此步骤主要是校验DC是否全部准备完成;

　　以上图表示准备完成。

　　6、如果上述步骤中出现失误，比如发现新域名书写错误等，可以运行rendom /end，可以取消前面第2步开始的操作，并同时解除森林的冻结状态;

　　7、如果没有问题的话，那么此时在命令提示符下执行:rendom /execute。

　　执行成功后，会发现所有的域控制器全部自动重启。重启后，登陆界面会发生变化:

　　看到了吧?原来的“demo”不见了，换成了“try”。

　　8、重新命名域控制器的DNS后缀。
　　进入系统后，你会发现，虽然域名已经换了，但域控制器的DNS名却并没有发生改变，如下图:

　　所以我们要点击上面的“更改”按钮:

　　点“确定”:

　　点“其它”:

　　把上面的“demo.com”换成“try.com”，然后再点“确定”，系统会要求重启，重启后的域控制器的DNS名字就会换掉了:

　　相同的操作在所有的域控制器上做一次，包括子域上的域控制器。

　　9、客户端的操作。
　　客户端上不用做其它的额外操作，只要把客户端重启。重启会可以看到如下界面:

　　奇怪，怎么还是“demo”?为什么不是“try”?别急，再重启一下:

　　“try”出来了吧?

　　10、清除AD中的老域名。
　　转到成员服务器，点击“开始-运行”，输入cmd，回车，并切换到C盘根目录下，然后再输入:rendom /clean，回车:

　　出现上图表示清除成功!

　　11、组策略的修复。
　　截止到第10步，其实整个域的重命名操作算是完成了，但是我们还有一个后续工作要做，就是修复组策略，大家可以此时去运行一下组策略，我想大部份的网络管理员都会得到如下画面:

　　发现组策略根本不可用，OK，那我们来修复它，还记得文章刚刚开始的时候，我提到的两个工具吗?其中一个是用到现在的rendom，另一个就是用来修复组策略的gpfixup。现在转到成员服务器上，点击“开始-运行”，输入cmd，回车，并切换到C盘根目录下，然后再输入:gpfixup /olddns:demo.com /newdns:try.com /oldnb:demo /newnb:try /dc:try.com，回车:

　　运行成功后，再到域控上去执行一下组策略:

　　看到了吧，组策略已经可以成功执行了。

　　到此为止，整个操作全部完成了。

四、注意事项:

　　1、如果森林中有Exchange 2000或2003请不要进行域的重命名，因为一旦进行重命名操作，Exchang将会停止工作。这一点请大家一定要注意!

　　2、森林在短时间内停止工作，具体时间取决于域控制器的多少和你的网络规模。

　　3、域的重命名操作要么所有的域控制器完成重命名，要么就从森林里彻底的消失。

　　4、在域的重命名操作中，不能添加或删除域控制器，也不能进行新的域信任关系的建立。

JXTu 2007-02-01 13:17 发表评论

Active Directory on a Windows Server 2003 Network

JXTu — Thu, 01 Feb 2007 05:04:00 GMT

Active Directory is the information hub of the Windows Server 2003 operating system. The following figure shows Active Directory as the focal point of the Windows Server 2003 network used to manage identities and broker relationships between distributed resources so they can work together.

Active Directory on a Windows Server 2003 Network

Active Directory provides:

•	A central location for network administration and delegation of administrative authority. You have access to objects representing all network users, devices, and resources and the ability to group objects for ease of management and application of security and Group Policy.
•	Information security and single sign-on for user access to network resources. Tight integration with security eliminates costly tracking of accounts for authentication and authorization between systems. A single user name and password combination can identify each network user, and this identity follows the user throughout the network.
•	Scalability. Active Directory includes one or more domains, each with one or more domain controllers, enabling you to scale the directory to meet any network requirements.
•	Flexible and global searching. Users and administrators can use desktop tools to search Active Directory. By default, searches are directed to the global catalog, which provides forest-wide search capabilities.
•	Storage for application data. Active Directory provides a central location to store data that is shared between applications and with applications that need to distribute their data across entire Windows networks.
•	Systematic synchronization of directory updates. Updates are distributed throughout the network through secure and cost-efficient replication between domain controllers.
•	Remote administration. You can connect to any domain controller remotely from any Windows-based computer that has administrative tools installed.
•	Single, modifiable, and extensible schema. The schema is a set of objects and rules that provide the structure requirements for Active Directory objects. You can modify the schema to implement new types of objects or object properties.
•	Integration of object names with Domain Name System (DNS), the Internet-standard computer location system. Active Directory uses DNS to implement an IP-based naming system so that Active Directory services and domain controllers are locatable over standard IP both on intranets and the Internet.
•	Lightweight Directory Access Protocol (LDAP) support. LDAP is the industry standard directory access protocol, making Active Directory widely accessible to management and query applications. Active Directory supports LDAPv3 and LDAPv2.

JXTu 2007-02-01 13:04 发表评论