当前位置：首页 > 实用文档 > 其他范文> Windows下DNS和活动目录关系浅析

Windows下DNS和活动目录关系浅析

时间：2022-10-25 07:51:44 其他范文收藏本文下载本文

Windows下DNS和活动目录关系浅析（精选7篇）由网友“xixihaha”投稿提供，下面小编给大家整理过的Windows下DNS和活动目录关系浅析，供大家阅读参考。

篇1：Windows下DNS和活动目录关系浅析

一．两者的区别

DNS和活动目录的结合是Windows2000服务器版的最主要特点。DNS域和活动目录域对不同的名字空间使用同一样的域名。因为两个名字空间使用同一个域结构，所以很容易混淆。因此，理解它们之间的区别是很重要的。它们各自存储不同的数据，因此管理不同的对象。DNS存储它的区域和资源记录；活动目录存储域和域中的对象。

对DNS来说，域名是以DNS的层命名结构为基础的，是一种倒树型结构：一个根域，下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名（FQDN）进行识别。例如，域enet.com.cn中的名为zzz的计算机的完整域名就是zzz.bjpeu.edu.cn。

每一个与因特网连接的Windows2000域都有一个DNS名字，并且每一个Windows2000域中的计算机也都有一个DNS名字。因此，域和计算机即代表活动目录对象，又代表域节点。

但是DNS和活动目录使用各自不同的数据库解析名字：

·DNS是一种名字解析服务：DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的。DNS客户发送DNS名字查询到它们设定的DNS服务器，DNS服务器接受请求后或通过本地DNS数据库解析名字，或查询因特网上别的DNS数据库。DNS不需要活动目录就可以起作用。

·活动目录是一种目录服务：活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户通过LDAP协议（一种进入目录服务的协议）向活动目录服务器发送请求，为了定位活动目录数据库，需要借助于DNS，也就是说，活动目录把DNS作为定位服务，把活动目录服务器解析为IP地址，

活动目录要发挥作用，离不开DNS。

DNS可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作，DNS服务器必须支持服务定位（SRV）资源记录，资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。

除了要求Win2000网络的DNS服务器支持SRV资源记录外，微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录。新的Win2000 DNS服务即支持SRV资源记录，又支持动态升级。如果你选择其它的非Win2000 为基础的DNS服务器，那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器，在你把Win2000服务器升级为域控制器时，必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成，该文件是由活动目录智能安装向导创建的，存在于文件夹％systemroot%\System32\config中。

二．两者的结合方法

既然DNS和活动目录有如此大的区别，那么它们是怎样结合在一起的呢？一般来说，它们是通过以下方法实现结合的：

·活动目录域和DNS域使用一样的层次结构：虽然功能和目的不一样，一个组织的DNS名字空间和活动目录空间有着一样的结构。

·DNS区可以存储在活动目录中：如果你使用Win2000 DNS服务，那么主域可以存储在活动目录中为其它活动目录域控制器提供复制服务，并且为DNS服务提供增强的安全措施。

·活动目录客户使用DNS定位域控制器：对于一个特定的域，为了定位域控制器，活动目录客户向它们设定的DNS服务器请求资源记录。

当一个公司使用Win2000服务器版作为它们的网络操作系统时，活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的Win2000域。

根据DNS的命名规则，DNS名字的被句点（.）分开的每一部分代表DNS树型层次结构的一个节点，并且代表Win2000域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示（“”），活动目录名字空间的根节点没有父域，它提供活动目录的LDAP进入点。

篇2：Windows下DNS和活动目录关系浅析DNS服务器

一．两者的区别

但是DNS和活动目录使用各自不同的数据库解析名字：

·活动目录是一种目录服务：活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户通过LDAP协议（一种进入目录服务的协议）向活动目录服务器发送请求，为了定位活动目录数据库，需要借助于DNS，也就是说，活动目录把DNS作为定位服务，把活动目录服务器解析为IP地址。活动目录要发挥作用，离不开DNS。

除了要求Win2000网络的DNS服务器支持SRV资源记录外，微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录，

新的Win2000 DNS服务即支持SRV资源记录，又支持动态升级。如果你选择其它的非Win2000 为基础的DNS服务器，那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器，在你把Win2000服务器升级为域控制器时，必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成，该文件是由活动目录智能安装向导创建的，存在于文件夹％systemroot%\System32\config中。

二．两者的结合方法

既然DNS和活动目录有如此大的区别，那么它们是怎样结合在一起的呢？一般来说，它们是通过以下方法实现结合的：

·活动目录域和DNS域使用一样的层次结构：虽然功能和目的不一样，一个组织的DNS名字空间和活动目录空间有着一样的结构。

·活动目录客户使用DNS定位域控制器：对于一个特定的域，为了定位域控制器，活动目录客户向它们设定的DNS服务器请求资源记录。

当一个公司使用Win2000服务器版作为它们的网络操作系统时，活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的Win2000域。

根据DNS的命名规则，DNS名字的被句点（.）分开的每一部分代表DNS树型层次结构的一个节点，并且代表Win2000域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示（“”），活动目录名字空间

关键字：DNS 服务器

篇3：Windows Server 活动目录解析

在Windows Server 2008中，活动目录域服务（Active Directory Domain Services缩写AD DS）相比前一代操作系统又有了重大的提升和改进，本文简要介绍一下其新特性，

一、审核策略

在Windows Server 2008中，你现在能够通过使用新的审核策略的子类（目录服务更改）来建立AD DS审核策略。当活动目录对象及它们的属性发生变化时，新的审核策略可以记录新旧属性值。

AD DS审核能干什么？

我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。”审核目录服务访问“在应用上同审核对象访问一致。但只适用与AD DS对象上而不是文件对象或注册表对象。

审核AD DS访问

在AD DS中新的审核策略子类（目录服务更改）增加了以下的功能：

当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果一个对像被移动到同一个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。当对象被移动到不同域时，一个创建事件将会在目标域的域控制器上生成。

如果一个对象被反删除，那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当“目录服务更改”审核子类别启用以后，AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。

事件号事件类型事件描述

5136 修改这个事件产生于成功的修改目录对象属性。

5137 创建这个事件产生于新的目录对象被创建。

5138 反删除这个事件产生于目录对象被反删除时。

5139 移动这个时间产生于对象在同一域内移动时。

二、密码策略

Windows Server 2008 为组织提供了一种方法，使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。

细致灵活的密码策略能干什么？

你能够使用细致灵活的密码策略在同一个域内指定多样化的密码策略。同时你也你能够使用细致灵活的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。

这项特性提供了什么新功能？

密码设置容器默认被创建在域的系统（System）容器下。你能够通过使用活动目录用户与计算机管理单元并启用高级特性来查看。它为域储存了密码设置对象（Password Settings objects 一下简称PSOs）。

你不能够重命名，移动，或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器，它们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。

密码设置对像包含了能在默认域策略中定义的所有属性设置（除了Kerberos设置），

这些设置包含了以下密码设置属性：

强制密码历史

密码最长使用期限

密码最短使用期限

密码长度最小值

密码必须符合复杂性要求

用可还原的加密来储存密码

这些设定也包含了以下的账户锁定设置

账户锁定时间

账户锁定阈值

复位账户锁定计数器

另外，PSO也包含了以下两个新属性：

PSO链接（PSO Link）：这是链接到用户或者组对象的多值属性

优先（Precedence）：这是一个用来解决多个PSO被应用到单个用户或组对象产生冲突时的整数值

这九个属性值必须被定义，缺一不可。来自多个PSO的设置不能被合并。

使用图形界面（adsiedit.msc）建立PSO

1. 单击开始按钮，单击运行，输入 adsiedit.msc ，单击确定。

*如果你是在DC上第一次运行adsiedit.msc，请继续看第二步，不是的话跳到第四步。

2. 在ADSI EDIT界面中，右击ADSI Edit，再单击连接到。

3. 在Name属性框中输入你想要创建PSO的域的完全合格域名（FQDN），然后单击确定。

4. 双击域。

5. 双击DC=<域名>。

6. 双击CN=System 。

7. 右击 CN=Password Settings Container，单击新建，再单击对象。

8. 在创建对象对话框中，选择msDS-PasswordSettings，单击下一步。

9. 输入PSO的名称，单击下一步，根据向导，输入必备属性。

10. 在向导的最后一页，单击更多属性。

11. 在选择查看何种属性菜单中，单击可选或者两者。

12. 在选择一种属性进行查看的下拉菜单中，选择msDS-PSOAppliesTo。

13. 在编辑属性中，添加需要应用PSO的用户和全局安全组的相对可分辨名称。

14. 重复第13步，如果你需要将PSO应用到多个用户和全局安全组。

15. 单击完成。

三、RODC及身份验证

只读域控制器（RODC）是在Windows Server 2008操作系统中一种新的域控制器类型。有了只读域控制器，组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。

RODC可以做什么？

在考虑部署RODC时，物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。

然而你的组织也可以为了特殊的管理需要选择部署RODC。比如，业务线应用程序（line-of-business，LOB）只能被安装到域控制器上并才能得以成功运行。或者，域控制器是分支机构仅有的服务器，而不得不运行服务器应用。

在这些例子中，业务线应用程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。

RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给活动目录森林带来的安全风险。

你也可以在其它场景中部署RODC，比如在外延网（extranets）中本地储存的所有域密码被认为是主要威胁。

篇4：Windows 活动目录的复制

在Windows 2000 活动目录（AD）环境里，你可以使用站点（Site）把网络物理地划分开，从而优化AD复制，通过理解微软是如何在你的域里实现AD复制，你能够更有效地对把你的网络划分成AD站点，从而减少通过低速网络连接的网络流。这篇文章是关于活动目录站点的两篇系列文章的第一部分，在这篇文章里，我们要研究缺省的AD站点内（intra-site）复制的配置,以及信息如何被复制。

活动目录复制

在活动目录(AD) 域控制器(DC)安装到域里时，活动目录会建立缺省的复制模板，并且在活动目录之间自动建立起一个环形的复制拓扑，建立的依据是确保复制流量沿着最有效的路径进行。你可以沿着环的任意方向把变化复制到AD。

因为在AD里所有的DC的地位都相等，都包含可以写入的AD数据库备份，因此在实现多主机复制系统时，有一些潜在的挑战面对着微软。在你可能考虑到的问题里，有些是：

DC如何把复制流量控制在最小？

DC如何保持所有的数据库拷贝同步？

如果DC从两个复制伙伴得到相同的修改，会怎么样？

如果两个修改同时发生，会怎么样？

那么就让我们按顺序来看看这些问题。

DC如何把复制流量控制在最小？

为了把网络流保持在最小，AD的复制在每－属性（per-attribute ）的基础上进行。简单地说，这就是指如果一个属性发生了变化（比如，用户的电话号码），那么只有这个小小的变化被复制到你的域里的其它DC上。你可以想象，AD的每属性复制，和把整个数据库拷贝都通过网络传递比起来，更加有效率，需要网络带宽也更少。

DC如何保持所有的数据库拷贝同步？

AD DC 使用一套更新顺序数字（USN）系统对彼此间流动的AD数据库的不同版本进行校验和同步。每当一个DC对它的数据库做了修改，它就用一个USN来标识这个修改。在它通知其它DC它有一个修改需要复制时，它还把与被修改的属性相关联的USN通知给其它DC。

每个DC都维护了一个表格，里面保存着它从环里它的每个复制伙伴那里收到的最高的USN数字。如果一个DC收到了一个修改的通知，而与修改相关联的USN值要比在它的表里的记载的USN值高，那么它就向复制伙伴请求所有插入的修改。你可以在图 A 和图B 里看到这个过程。

图 A: 活动目录变化通知里包括更新顺序数字USN。

图 B: AD 数据库使用USN在多主机环境里控制同步。

更多问题

如果DC从两个复制伙伴得到相同的修改，会怎么样？

就象我们前面讲过的，在一个域里的AD 的DC使用环形拓扑进行复制。您能会想，有没有可能，一个DC从不止一个复制伙伴那里接收到相同的目录修改呢？为了能区别开这些重复，防止修改在复制环里传播得没完没了，AD不但使用USN对不同数据库版本进行同步，而且还用它来确定“源头写”。“源头写”是在一台DC本地进行的修改，通过复制得到的个性不是源头写。源头写的USN被写入属性，和属性一起被复制。

为了说明这个机制是如何作用的，让我们来看一个简单的例子：假如名为 Astro的DC对某个属性做了修改。它就把新的USN给了这个修改。在这个例子里，我们假设USN为516。然后它把新值写到属性里，同时给属性值把USN代码写到叫做最新状态矢量的一个东西里。Astro这个DC把修改复制给它的两个复制伙伴：名为George 和 Elroy的DC。

为了简化，我们假设在我们的域里只有Astro、George、和 Elroy 这三个DC。因为它们使用环形的拓扑，Elroy并不知道 Astro 已经把相同的个性给了George，所以它还想把修改复制到George。但是，在复制发生之前，George 和 Elroy 要比较属性里的最新状态矢量，看到它们都被标记成来自Astro，所以就阻止George 从Elroy拉修改。虽然不拉修改， George 仍用Elroy当前的USN来修改自己当前的USN表，好让Elroy在下一个复制周期里，不再把变化传给George。

如果两个修改同时发生，会怎么样？

您可能已经想到，如果两个管理员，在不同的DC上，同时对同一个对象的同一个属性做了修改，这怎么办？微软也想到了这个问题。为了分开这些修改冲突，AD数据库使用了一套属性版本号系统。AD数据库里的每个属性都有一个版号，每次属性被修改时，版本号都更新。属性版本号在域里的所有DC上都应当相同。如果DC通过复制接收到属性的修改，它对打在修改上的属性版本号和它的数据库里的版本号进行比较，

然后进行下面的处理：

如果属性版本号比DC数据库里的版本号低，DC就忽略修改。

如果版本号相同（称为修改冲突），但是两个版本的属性值不同，DC就会用具有最后时间标签的属性值来打破这个约束。这样的修改冲突如图图 C 所示，而它的解决办法如图 D所示。但是不用担心，AD服务会给管理员用户发送一条通知，让他知道发生了冲突。

更极端的可能性是属性版本号和时间标签都相同。这种情况下，微软选择按DC的GUID级别高低选出获胜的修改。因为GUID是绝对唯一的，所以AD使用最高GUID，就打破了限制。

就象您会想到的，微软在AD时集成了时间同步服务，这样所有的DC在给它们的目录修改做标记时，就会使用相同的时间。

图 C: 在用户的电话号码属性上，发生了修改冲突。

图 D: 根据两个属性值的时间标签，冲突得到解决。

站点

下面，让我们就站点（Site）稍做讨论。如你所知，你利用活动目录域和组织单元（OU）来定义你公司的逻辑结构。站点被用来定义你的底层网络逻辑结构－而且，对于在公司里通过低速网络连接进行的域内DC之间的复制，站点可以让你对流量做一些控制。

活动目录站点被定义成一个或多个连接好的IP子网的集合。在站点里的全部子网都要有可靠的、高速的网络连接，而不能由远远分隔，通过低速、不可靠的WAN连接连接起来。你会发现，高速是个相对概念。如果你是一个小型网络的管理员，那么对于用128Kbps速率传输数据的两个子网，你可以认为它们之间的连接很好。另一方面，如果你是一个非常大的网络的管理员，那么你可能会把所有低于1.5Mbps的连当作是低速连接。

定义站点（Site）

你可能还不知道，在你的企业里，第一个站点是在你安装第一个AD DC时，自动建立的。这个站点被赋予缺省名称Default-First-Site-Name（缺省第一个站点名称）。对于你的网络，这可能不是一个非常有说明性的名称，所以只要你愿望，你可以随时可以给它改名。缺省情况下，你的全部IP子网都包含在这个站点里。站点的主要用途是对通过低速网络连接进行的复制流量进行优化，并且帮助客户查找离他们最近的DC来处理服务请求。

使用预定义的MMC控制台活动目录站点和服务管理器（Active Directory Sites and Services），你可以在你的企业里建立附加的站点。下个月，我们会具体研究建立站点和站点对象。站点在活动目录（AD）里进行维护，但并不是名称空间的部分。所以，用户不能按站点浏览活动目录（AD）。站点结构只能用于复制。

站点成员

在你把一个 Windows 2000 活动目录（AD）域控制器（DC）提升到域控制器状态时，AD DC就被分配了它的站点信息。缺省情况下，它成为你运行Dcpromo.exe时，AD DC连接的子网所对应的站点的成员。以后，你可以使用活动目录站点和服务管理器（Active Directory Sites And Services）控制台，修改AD DC的站点成员身份。AD DC的站点所在地决定了它在复制拓扑里的位置。

AD 客户计算机从DC取得站点信息。在计算机启动时，它查询DNS，获取它域里的DC的IP地址。然后它与某个DC联系。如果DC不在客户的本地站点里（根据子网地址），DC会把正确的站点信息传递给客户，这样客户就可以对它的站点里的DC做更有效的DNS查询。然后，客户能够完成与本地DC的认证过程，还可以向本地DC请求服务。因为客户把这个信息缓存在它的注册表的这个值下面：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\ Services\Netlogon\Parameter\ DynamicSiteName

所以，只有当客户的子网发生变化时，才必须重复站点发现过程。

你可以想象得到，这个过程极大地改善了客户和DC之间的通信，还能减少通过站点间低速的WAN连接进行的与AD有关的流量。你对AD站点的正确规划，能够给客户提供来自离它最近的DC的最新AD资源，而且可以保证站点间复制避开高峰时段，从而保证你的网络连接不会因为复制流量而饱和。

理解站点间复制

你可以把域的DC放在不同的站点里，以便对通过低速网络连接进行的AD复制进行控制。当你在一个新的站点里安装第一个DC时，它会自动建立复制连接。叫做站点间连接（intersite link），连接指向域里已有站点中的现存DC。在图 E里，你可以看到一个例子。你在第二个站点里安装的其它DC，会在第二个站点里构成环形拓扑。在一个站点里做的所有修改都会通过站点间连接复制到其它站点。

因为每个DC都有一份可以写入的AD数据库拷贝，所以如果站点间连接中断，它是无法防止你对你站点里的DC的AD做修改。只要计算机通信重新建立，在不同站点里的DC就会通过正常的复制过程进行同步。

图 E: 在新站里的第一个DC自动建立复制连接，连接指向域里其它站点的现存DC。

篇5：Windows Server 部署活动目录

1 安装环境

1、域：itchenyi.com，域功能级别和林功能级别为Windows server 模式，(关于win 2012 和活动目录，，，，想必不用介绍了。。。)

2 安装域

1、以本地管理员身份登录服务器

2、打开服务器管理器（仪表板）

3、添加角色和功能---选择AD域服务

4、下一步就好

5、依旧下一步

6、选择安装。。

7、点击关闭

3 安装后的任务

1. 选择通知（黄色叹号）---将此服务器提升为域控制器

2. 选择添加新林

3. 选择域和林功能级别，并输入还原模式密码

4. 保持默认，下一步

5. 下一步

6. 下一步

7. 下一步

8. 选择安装

9. 重启后完毕….

本文出自 “IT辰逸” 博客，请务必保留此出处itchenyi.blog.51cto.com/4745638/1144454

篇6：Windows 活动目录的修理和恢复

Windows2000的使用过程中，我们会遇到AD由于意外被损坏的情况，那么我们用什么方法来恢复呢？下面我们就来讨论Active Directory修理和恢复，

一、使用Ntdsutil来修理Active Directory

根据系统的报错信息、系统日志或者应用程序的报错，你怀疑出错原因是域控制器上的Active Directory,这时候可能最先想到的是使用Ntdsutil来修复。但是，我建议最好把他作为最后一个也是最为有用的一个方案。如果你有一个系统的备份，最好使用备份来恢复系统，应该始终把使用备份恢复作为你首选的方案。

对目录服务数据库使用修复功能并不总能够达到预期的结果。比如，如果真的数据库文件损坏了，即使使用Ntdsutil也是没有办法恢复所有的对象及其属性。实际上，在某些情况下使用修复工具反而会造成更多的数据丢失，所以在尝试使用这种修复工具之前，注意把这个服务从网络中隔离开来，以避免影响到其他的域控制器的Active Directory复制。在你确认修复后的服务器一切正常以后再连接到网络中来。

使用ntdsutil修复AD数据库。

（1）打开命令行提示符窗口，输入下面命令：Ntdsutil

（2）出现Ntdsutil以后，输入以下命令：repair

二、恢复Active Directory

当其他一切努力都失败时，你可能会发现从AD的备份中恢复一个Win2000 DC(域控制器)是最有效的。虽然要把Active Directory从一个备份恢复到一个域控制器上不是一件难事，但是在你进行任何恢复之前，你需要对你的网络体系和逻辑关系仔细考虑。你应该考虑以下几个问题：

是否本地的Active Directory 数据库损坏了，其他复制的域控制器是否也损坏了。

一个域控制器从你的备份中恢复，是否要覆盖其他的域控制器的Active Directory数据库信息。如果要覆盖，那么以前修改过的信息就会全部丢失（如：修改的帐户与属性等）。

或者你将要修复的Active Directory要从其他的域控制器上复制原有的信息（如：帐户和属性等）。

因为上面的问题在于选择使用那一种恢复模式。在 Active Directory恢复模式中有两种：非授权（No authoritative）和授权（authoritative）.

非授权（No authoritative）模式：大多数的恢复操作都是此种模式。要恢复Active Directory的这一台域控制器从其他的域控制器上复制信息，这是依靠一个叫“版本号（USN）”的参数。Active Directory在同一个域中，是通过这个参数去更新复制的，谁的版本号高，就找谁复制。

授权（authoritative）模式：当其他的域控制器包含无效的信息时，或我们有特定的要求以某一台域控制器为准做复制，此时可采用授权的恢复复制模式。在这种情况下，你可以手工指定你要恢复的整个Active Directory的数据库。指定本地恢复的数据库是授权的（也就是在与其他域控制器复制时，以本地恢复的版本号为准）。此时就要修改Active Directory的版本号，这样一来他的版本号就高于其他域控制器的Active Directory数据库的版本号，从而以本地数据库的内容为主进行复制。

如果你使用Windows 2000自带的备份工具（Ntbackup.exe），要想成功恢复系统状态（包括Active Directory），就必需有以下特点：

服务器的名称必须相同，

“%systemroot%”文件夹所在的驱动器的字符必须和备份服务器的驱动器字符相同。

“%systemroot%”文件夹所在的目录必须和备份服务器所在目录相同。（例如都在“c:winnt”目录下）。

三、使用非授权模式恢复Active Directory

要使用非授权模式，必须先停掉目录服务，我们应该按照以下步骤进行：

在Windows 2000启动时按下F8，选择“目录服务恢复模式”，然后选择启动，然后Windows 2000进入安全模式。

以系统管理员或者备份操作员的身份登陆。

运行备份工具，从“欢迎菜单”中选择“还原向导”，选择“还原项目”，然后选中“系统状态”。在系统状态就包括了注册表、Active Directory和其他系统的关键组件。

在完成恢复操作以后，就可以重启这台域控制器了。

重启之后，这台域控制器将会参与Active Directory的复制会直接从其他的域控制器上接受最新的更新。

四、使用授权模式恢复Active Directory

通过授权恢复模式，你可以把所有的域控制器恢复到以前的某一时刻的状态。比如，当系统管理员误删除了一个组织单元（OU），而且此组织单元中包含了非常重要的用户帐户信息。，那我们怎么办呢，此时我们可以通过使用授权的模式恢复丢失的信息，这样一来我们可以达到两个目的：一是恢复本地Active Directory的信息；二是恢复由于复制导致其他域控制器丢失信息的Active Directory。

授权模式就是要修改Active Directory对象的版本号，一般情况下，授权模式会在原来版本号的基础上加一万，以达到比所有其他的Active Directory数据库的版本号都高，那么低版本的数据库就会以高版本的数据库为标准而复制，以达到授权恢复的目的，当然，增加的数值可以自定义。

要使用授权模式，必须要使用Ntdsutil工具：

在命令提示符输入“cmd”，然后输入：Ntdsutil

在Ntdsutil提示符下，输入：authoritative restore.

此命令意味着将进入授权恢复模式。在授权恢复模式提示符下，输入：restore database

当系统提示需要确认进行授权恢复操作时，回答：yes,然后输入：Quit。回车两次，就可以关闭此窗口了。

在Active Directory 恢复完成以后，系统会自动弹出消息框是否要重启服务器，一定要选择“NO”，这点一定要注意。

最后，我们要知道每次的授权模式恢复以后，Sysvol文件夹也一同被恢复了，这样一来，保证了Sysvol和Active Directory的一致。

以下是授权模式的一些命令：

authoritative restore: 列出授权模式命令列表。

Restore database: 授权模式恢复整个数据库

Restore database verinc %: 增加版本号

等等，详细命令可以查看Win2000帮助文件。

篇7：Windows 活动目录详解服务器教程

window|详解

我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS进行解析，使得与在Internet上通过WINS解析取得一致的效果，活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。活动目录的身影似乎在整个WIN2K系统中无处不在。

一、活动目录的由来

谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享，减少了系统开发资源的浪费，提高了系统资源的利用效率。

活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为多台机上有相同的信息，所以在信息容氏方面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

二、相关名词术语

虽然活动目录中用到的许多技术在其他软件产品中也已经出现过，但作为全面的整体网络方案还是首次亮相，其中有许多名词或术语或许是闻所未闻的，所以有必要详细了解一下活动目录的有关名词或术语。

1、名字空间：从本质上讲，活动目录就是一个名字空间，我们可以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和，如一个用户，如果我们在服务器已给这个用户定义了讲如：用户名、用户密码、工作单位、联系电话、家庭住址等，那上面所说的总和广义上理解就是“用户”这个名字的名字空间，因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说，在一个电话目录形成一个名字空间中，我们可以从每一个电话户头的名字可以被解析到相应的电话号码，而不是象现在一样名字是名字，号码归号码，根本不能横向联系。Windows 操作系统的文件系统也形成了一个名字空间，每一个文件名都可以被解析到文件本身（包含它应有的所有信息）。

2、对象：对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、文件名等。对象通过属性描述它的基本特征，比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。

3、容器：容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，但与目录对象不同的是，它不代表有形的实体，而是代表存放对象的空间，因为它仅代表存放一个对象的空间，所以它比名字空间小。比如一个用户，它是一个对象，但这个对象的容器就仅限于从这个对象本身所能提供的信息空间，如它仅能提供用户名、用户密码。其它的如：工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。

4、目录树：在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构，从每一个容器作为起点，层层深入，都可以构成一棵子树。一个简单的目录可以构成一棵树，一个计算机网络或者一个域也可以构成一棵树。这也很容易理解，我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗，其实这“目录树”也就是一种“路径关系”，如果你理解了DOS下的“路径”相信理解这“目录树”是没什么问题的！

5、域：域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”，这一点不是WIN2K所独有的，但活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域域共享

6、组织单元：包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中，组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元，您可在组织单元中代表逻辑层次结构的域中创建容器，这样您就可以根据您的组织模型管理帐户、资源的配置和使用，可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限，组织单元的管理员不需要具有域中任何其他组织单元的管理权，组织单元有点象我们在NT时代的工作组，我们从管理权限上来讲可以这么理解。

7、域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.Microsoft.com 就比 Microsoft.com这个域级别低，因为它有两个层次关系，而Microsoft.com只有一个层次。而域Grandchild.Child.Microsoft.com双比 Child.Microsoft.com级别低，道理一样。

域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程，在域树或树林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。

8、域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。

9、站点：站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构，更好地利用物理网络特性，使网络通信处于最优状态，

当用户登录到网络时，活动目录客户机在同一个站点内找到活动目录域服务器，由于同一个站点内的网络通信是可靠、快速和高效的，所以对于用户来说，他可以在最快的时间内登录到网络系统中。因为站点是以子网为边界的，所以活动目录在登录时很容易找到用户所在的站点，进而找到活动目录域服务器完成登录工作。

10、域控制器：域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索，一个域可有一个或多个域控制器。为了获得高可用性和容错能力，使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。

WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性，WIN2K Server 多宿主复制使每个域控制器上的目录数据同步，以确保随着时间的推移这些信息仍能保持一致，也就是说是动态的，这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展，在 WINNT Server 4.0 中只有一个服务器，即主域控制器，拥有该目录的可读写副本。

三、安装活动目录的意义

我们说WIN2K的成功和创造性之一就是成功的全面引入了活动目录服务，那么到底安装活动目录有什么意义呢？这是我们所有初学WIN2K的人首要要问的一个问题。因为活动目录并不是WIN2K系统必需安装的一种服务，要全面理解它又是非常的不容易，那么安装活动目录的意义在哪里呢？它主要体现在以下几个方面：

1、信息的安全性大大增强

安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限等），而它们都是WIN2K操作系统的关键安全措施。活动目录集中控制用户授权，目录进入控制不只能在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括WINNT 4.0。除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性，由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。

2、引入基于策略的管理，使系统的管理更加明朗

活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构），作为目录，它存储着分配给特定环境的策略，称为组策略对象。作为逻辑结构，它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录，域，或组织单元的组策略对象（GPOs）中。GPOs设置决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等。例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至 Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录，您可将组策略设置应用于适当的环境中，不管它是您的整个单位还是您单位中的特定部门。

3、具有很强的可扩展性

WIN2K的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上你可以给每一个用户对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户帐号的一部分。

4、具有很强的可伸缩性

活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。

5、智能的信息复制能力

信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。由于进行了多主机复制，它们将更新目录的单个副本，在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候，以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息，而不至于大量增加域控制器的负荷。

6、与 DNS 集成紧密

活动目录使用域名系统 (DNS)来为服务器目录命名，DNS 是将更容易理解的主机名（如 Mike.Mycompany.com）转换为数字 IP 地址的 Internet 标准服务，利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构，这是一种倒置的树状结构，单个根域，在它下面可以是父域和子域（分支和叶子）。关于这一点我会在后面以专门的篇章加以详细讲述，在此就仅作简单介绍。

7、与其他目录服务具有互操性

由于活动目录是基于标准的目录访问协议，许多应用程序界面（API）都允许开发者进入这些协议，例如活动目录服务界面（ADSI）、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI)，因此它可与使用这些协议的其他目录服务相互操作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用 LDAP 开发程序，与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议，以提供与 Exchange 目录的兼容性。

8、具有灵活的查询

任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户，反之亦然。在上一篇对活动目录有个基本了解之后下面我就来接触一下活动目录实质上的一面――活动目录的结构。上篇我们讲到活动目录是包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，与我们平常所说的目录没什么区别，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理，它才是WIN2K活动目录的关键和精髓所在。目录服务是WIN2K网络操作系统的核心支柱，也是中心管理机构，所以目录服务的引入对整个操作系统带来了革命性的变化，不仅系统平台上的各基础模块，比如网络安全机制、用户管理模块等发生了变化，而且上层应用的运作方式以及开发模式也有了相应的变化。这样来理解“活动目录”是不是觉得更加容易？

同时活动目录是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图，使用户觉得更加容易理解和掌握WIN2K系统的使用。活动目录集成了WIN2K服务器的关键服务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等。

★ nohup命令浅析

★ WIN技巧：如何用ADSI实现自动化的活动目录操作

★ 网络论文

★ 创建Win域和Win域之间的信任关系，Active Directory系列之十八

★ Web-based DNS Randomness Test：DNS安全检测

★ 谈谈现代美学的新思路--在东南大学百年校庆活动中的讲演