快捷搜索:   服务器  PHP  安全  IIS  linux 安全

Windows2008的可重启AD配置攻略

今天的文章中我们为大家介绍的是有关活动目录的一个全新功能:可重启活动目录(Restartable Active Directory),这一功能是指允许活动目录重启而不用服务器重启。在Windows Server 2008中活动目录是可以通过微软管理控制台(MMC)或者命令行的方式进行重启的。活动目录的暂停运行可以使域控制器升级变得可能,同时管理员也可以利用这个特性在活动目录停止期间执行一些任务,例如针对活动目录数据库的脱机磁盘碎片整理。而那些运行在服务器上的其他服务将不会依赖于活动目录的功能,例如DHCP服务就可以在活动目录服务停止后继续为客户提供服务。

当域控制器的活动目录服务服务运行的时候,Windows Server 2008 上运行的域控制器与Windows 2000 Server或者是Windows Server 2003上没有任何的差别,而当活动目录服务被停止的时候,其他的域控制器可以用来接管域登录的任务,这其中,例如Cached credentials, smart cards以及 biometric logon 等技术都会被支持,如果没有其他的可用域控制器,那么管理员还可以通过例如Windows 2000 Server或者是Windows Server 2003上的目录服务恢复模式(Directory Services Restore Mode)的帐户和密码继续登录到服务器。

可重启活动目录独特的优势

可重启活动目录可以有效的减少执行例如脱机磁盘碎片整理以及授权恢复等脱机操作任务的时间,同时,该特性也可以增强其他服务在活动目录服务停止的情况下的可用性。等这个特性和Windows Server 2008的Server Core功能结合使用时,还可以减少域控制器对完整服务的需求。

在Windows 2000 Server或者是Windows Server 2003的活动目录上,对于数据库的脱机的磁盘碎片整理是需要在目录服务恢复模式下重启域控制的,同样对于域控制器的安全升级也是需要重启的操作的。

相比较而言,管理员可以轻松的停止Windows Server 2008的活动目录服务,就像停止本机上运行的其他服务一样。这一特性使得对于活动目录的脱机操作变得更加的快捷,一个Windows Server 2008上运行的域控制器会显示在计算器管理工具服务组件Services (Local)的Domain Controller 上,这样管理员就可以轻松的停止和重启活动目录了。

域控制器的状态

虽然停止的活动目录很类似于目录服务恢复模式,但是Windows Server 2008域控制器的可重启的活动目录特性依然是提供了一种特有的状态,这种状态可以在活动目录停止的知道被感知。下面我们就来分别看看Windows Server 2008上运行的域控制器可能的三种状态:

· 第一种,活动目录开启状态,在这种状态下活动目录服务开启,客户端和其它服务都可以运行在服务器上,这种情况下Windows 2000 Server, Windows Server 2003以及Windows Server 2008是一样的。

· 第二种活动目录停止状态,在这种状态下,活动目录服务被停止,虽然这种状态是Windows Server 2008所特有的,但是在这个状态下服务器实际上是具有某些加入域的成员服务器以及目录服务恢复模式下的域控制器所具有的特性。例如在目录服务恢复模式下,活动目录数据库 (Ntds.dit) 处于脱机状态,如果其它域控制器都无法用于登录,那么目录服务恢复模式的密码可以用于登录到本地。而对于成员服务器,用户是可以进行交叉登录或者通过网络使用其它域控制器进行域登录。在停止状态下的Windows Server 2008域控制同样具有这些特性,不过总的来说,我们并不推荐域控制长期被维护在这个状态下。

· 目录服务恢复模式状态,这个模式(状态)与Windows Server 2003相比没有任何的变化。

下面的流程图为我们展现了Windows Server 2008上的域控制器在三种可能的状态间的转变。

如果希望成功的完成Windows Server 2008中可重启活动目录这一特性的试验,我们需要注意以下的问题:

· 首先用户是不能在活动目录停止的情况下开启Windows Server 2008上的域控制器的,用户只可以通过目录服务恢复模式重启它。

· 在活动目录停止后,服务将不再依靠活动目录服务的运行,因此一些依赖于活动目录的服务,例如文件复制服务(FRS),Kerberos 密钥分发中心(KDC)等服务都要在活动目录服务停止前被停止掉。否则这些依赖服务将会在活动目录重启的时候重启。

· 在管理控制台工具中,活动目录服务只能被启动或者是停止,而不能被暂停。

· 活动目录停止后的登录选项将取决于其它域控制器是否可以被连接,不同的登录选项上文已经加以介绍,不再赘述。

· 作为活动目录应用程序模式(ADAM),在活动目录停止后,Ntds.dit文件是无法完成交换的。

开启可重启活动目录特性

的步骤

在这部分中,我们将为大家介绍停止以及重启Windows Server 2008服务器活动目录的步骤,同时我们也会为大家提供一些更加深入的建议用来测试这个特性,如果用户对于Windows Server 2008 的只读域控制器有过了解,那么就可以很顺利完成这些测试。下面我们就开始操作:

首先,我们需要安装Windows Server 2008 并且为它设置静态的IP地址,然后按照下面的步骤安装活动目录。.

使用一个管理员组成员的帐号,为一棵新的树安装一台域控制器,至于如何安装域控制器相信大家都不会陌生,如果不是很熟悉的用户可以查阅该系列中前面的文章,在此不作赘述。我们的重点放在安装完成后的操作。

安装完成后我们,我们进行停止和重启服务的操作,要想完成这些操作,用户必须是内置管理员组的成员。点击Start,点击Administrative Tools,然后点击Computer Management 或者Component Services.点击Services (Local),如果洗完停止活动目录,在细节页面,右击Domain Controller选择Stop 。点击 Properties ,我们可以看到那些依赖于活动目录服务运行的服务列表,注意在停止活动目录前将这些服务都停止掉。再次右击 Domain Controller 点击 Start.便可以重新启动服务。

 

 

 

执行脱机操作

停止重启活动目录服务并不是目的,真正重要是停止服务后的操作,对于可重启活动目录特性来说最大的优势就是使得对于脱机数据库的操作更加的快捷。域控制器不再需要在目录服务恢复下重新启动。如果想完成这个试验,用户可以尝试一些原先需要重启的常用的任务,例如授权还原以及脱机的磁盘整理等操作。

验证其它服务的可用性

除了脱机操作,在活动目录停止后,测试其它服务的可用性也是一个很不错的试验,用户可以使用一些不依赖于活动目录的服务,例如DHCP服务,用户可以创建一个DHCP地址池,或者是尝试让一些用户加入域。当然还有一个最直关的方法就是使用Ipconfig工具验证IP地址的释放或重新申请。

测试使用其它域控制器登录

测试不同的登录体验,用户可以安装额外的域控制器,然后登录到Windows Server 2008域控制器停止活动目录服务。再从Windows Server 2008域控制器注销,然后尝试再次登录,测试在其它域控制器可用和不可用两种情况下的登录体验。

可重启的活动目录对于在远程站点部署多个服务器的企业应用场景尤其重要。 例如,如果用户在一台单一的服务器上部署了Exchange 服务器、全局目录(Global Catalog)、文件和打印服务和应用程序等,同时它也是一个域控制器(DC),那么在执行域控制器故障诊断、修复等这些需要活动目录离线状态的操作时,服务器上的其它应用程序就可以继续正常的运行,例如,防止Exchange受到活动目录瘫痪所带来的影响等等。

 

顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论