管控Windows Server 2012活動目錄數據庫

AD數據庫的構成

打開“%systemroot% tds”目錄，可顯示和AD數據庫相關的文件，包括“ntds.dit”、“ebdxxx.log”、“ebd.chk”、“res1.log”、“reslog2.log”、“temp.ebd”等，其中的“ntds.dit”是活動目錄數據庫文件，“ebd.log”是當前的日志文件，當該文件被寫滿后，會按照數字編號被命令為“ebdxxx.log”。

注意，活動目錄會循環刪除日志文件?！皉es1.log”和“reslog2.log”是預留的日志空間文件，“ebd.chk”是數據庫檢查點文件，檢查點一般用于在恢復和初始化時驗證數據庫的一致性?！皌emp.ebd”是維護AD數據庫時使用的臨時文件，“ebdtmp.log”是暫時日志填充文件。

重定向AD數據庫位置

維護AD數據庫時，管理員必須在CMD窗口中執 行“net stop ntds”命令，停止活動目錄域服務。執行“net start ntds”命令，可啟動活動目錄域服務。

圖1 執行ntdsutil命令

為保護AD數據庫安全，建議將AD數據庫重定向到其他磁盤。先停止AD DS服務，依次執行“ntdsutil:active instance NTDS1”，“ntdsutils NTDS1”命令（如圖1），激活名為“NTDS1”的實例，并切換到文件維護模式。在“file maintenance:”提示符下執行“move db to f: tdsdb”命令，將AD數據庫移動到指定目錄中，繼續執行“info”命令來查看更改后的AD數據庫路徑信息。

當然，也可將上述命令集成到一條指令中，例如執行“ntdsutil"active instance NTDS1" "files""info" quit quit”等，來連貫的執行不同的操作。

整理AD數據庫碎片

為了提高AD數據庫的性能，需要定期對其進行整理操作，來清除其中的碎片信息，其方式分為在線整理和離線整理，一般來說，最常用的是離線整理方式。

先停止AD DS域服務，按照上述方法激活名為“NTDS1”的實例，并切換到文件維護模式。在“file maintenance:”提示符下執行“compact to f:zlsp”命令，對AD數據庫進行壓縮整理操作。完成后連續執行“quit”命令，返回正常的命令窗口。執行“copy" f:zlsp tds.dit""f: tdsdbdit"”命令，替換原有的AD數據庫文件。之后刪除“c:windows tds”目錄中的所有以“.log”為后綴的日志文件，并重啟AD DS域服務。

快速修復AD數據庫

當AD數據庫出現故障，最好的解決方法是使用備份的文件進行恢復，如未備份，可使用“ntdsutil”工具進行修復，不過其修復能力有限，往往無法徹底修復。在修復前，建議將出現問題的域控斷開網絡，防止其對其他的域控造成不利影響。停止AD DS域服務，按照上述方法激切換到文件維護模式。在“file maintenance:”提示符下執行“recover”命令，對AD數據庫進行故障修復操作，當提示成功恢復數據庫后，執行“checksum”命令，檢查數據庫的完整性。最后重啟AD DS服務器，完整修復操作。

清除重復的SID信息

如果忘記了重置目錄服務還原模式管理員密碼，可以執行“ntdsutil”命令，執行“set DSRM password”命令，按照密碼復雜性原則來設置新的密碼。在實際工作中，經常采用Ghost工具來克隆系統，這樣就避免了漫長的常規安裝系統操作。克隆安裝雖然簡單好用，但是其存在SID信息重復的問題。為此可以執行“ntdsutil”命令，在“ntdsutils:”提示符下執行“security account management”命令，進入安全策略賬戶維護模式，繼續執行“connect to server xxx.com”、“check duplicate sid”、“clean duplicate sid”命令，連接到目標目標域控上，在當前活動目錄數據庫中檢查是否存在重復的SID信息，并這些重復的SID信息清除掉。

清理AD數據庫中的垃圾信息

在AD數據庫運行過程中，可能會因為各種異常操作造成垃圾信息的產生。為了避免不必要的問題，最好將垃圾數據從AD數據庫中及時清除。在CMD窗口中執行“ntdsutil”程序，在提示符下依次執行“metadatacleanup”、“select operation target”、“connections”、“connect to server xxx.com”、“quit”命令。連接到名為“xxx.com”的目標站點。在“select operation target:”提 示符下執行“list site”命令，顯示域中所有的可用站點。 在“select opeartion target:”欄中輸入目標站點，例 如“select site 2”等。 在“select opeartion target:”欄中繼續輸入“list domains”，回車后顯示該站點中的域信息。

根據顯示的結果來進一步選擇目標域，例如輸入“select domain 1”等。選擇目標站點后，在“select operation target:”欄 中輸 入“list servers for domain in site”，回車后列出其中所有可用的域控。例如輸入“select server x”命令，選擇目標域控，這里的“x”為具體的序號。執行“quit”命令后，在“meta cleanup:”欄中執行“remove select server”命令，在彈出的警告窗口中點擊“是”按鈕，即可對目標AD數據庫中垃圾數據進行清理。完成以上操作后，可在Active Directory站點和服務窗口對應站點中刪除目標Server對象，在Active Directory用戶和計算機窗口中刪除目標域控對象。對于域對象，在執行了以上清理操作后，還需在Active Directory域和信任關系窗口中清除已失效的域信任關系。

靈活的AD數據庫備份方式

同之前的版本相比，Windows Server 2012可以更見簡單高效的還原AD數據庫。例如運行Windows Server Backup程序，在其右側點擊“一次性備份”項，在向導界面中選擇“其他選項”項，在下一步窗口中選擇“自定義”項，來自由定義備份內動。當然選擇“整個服務器（推薦）”項，可以備份當前域控的所有磁盤。在下一步窗口中點擊“添加項目”按鈕，在選擇項窗口（如圖2）中選擇“裸機恢復”、“系統狀態”、“系統保留”以及系統盤等項目。點擊“高級設置”按鈕，在“VSS設置”面板中選擇“VSS完整備份”項。

圖2 備份向導界面

點擊“下一步”按鈕，選擇“本地驅動器”項，之后選擇目標磁盤，即可執行備份操作。當然選擇“遠程共享文件夾”項，可將備份數據保存到指定網絡共享路徑中。

為了提高備份的靈活性，可以讓系統自動定時進行備份操作。在Windows Server Backup程序右側點擊“備份計劃”項，選擇備份項目，這與上述基本一致，在指定備份時間窗口中根據需要選擇具體的備份頻率，包括每日一次和每日多次。例如在每天的指定時間進行備份，在下一步窗口中選擇“備份到卷”項，選擇目標磁盤，完成備份計劃創建操作。

此外，還可以使用系統內置的“wbadmin”命令，來快速進行備份操作。

例如，在命令提示符下執行“wbadmin start backup -backuptarget:f:-include:c:”命令，將系統盤備份到F盤，執行“wbadmin get versions”命令，并在返回信息中顯示備份事件、備份目標、版本標識符、可以恢復的內容，以及快照ID等信息。 執行“wbadmin START SYSTEMSTATEBACKUP -backuptarget:f:”命令，可將系統狀態信息備份到F盤。

快速還原AD數據庫

當執行了異常操作（例如誤刪除域賬戶等），造成了AD數據庫中的信息丟失，就需要使用還原機制進行恢復了。在實際的網絡環境中，通常存在多臺域控，彼此之間可以互為備份。

為了避免在還原后，該域控從別的域控那里獲得錯誤的信息，讓AD數據庫還原失效的話，最好使用權威還原模式加以應對。

注意，當AD數據庫還原之后，如果發現有的客戶機無法加入域的話，說明還原操作可能破壞了域和客戶機賬戶之間的信任關系，為此只需重新加入域，來重建信任票據關系即可。

在進行還原時，需要重啟域控，按照提示點擊F8鍵，在高級啟動選項菜單中選擇“目錄服務修復模式”項，輸入賬戶名（例如“.administrator”）和目錄還原模式管理密碼，進入安全模式。啟動Windows Server Backup程序，在其右側點擊“恢復”項，在向導界面中選擇“此服務器”項，在下一步窗口中選擇用于恢復的備份日期，來顯示對應的可用備份項目。

點擊“下一步”按鈕，選擇恢復的內容，包括文件和文件夾、Hyprt-V、卷、應用程序、系統狀態等?？梢愿鶕嶋H需要進行選擇，例如選擇“系統狀態”項，在下一步窗口中選擇“原始位置”項，表示恢復系統狀態。

注意，為了實現授權還原，需要選擇“對Active Directory文件執行授權還原”項，否則執行的就是非授權還原。

所謂授權還原，指的是禁止域環境中的其他域控同步復制AD數據庫，即在域中發布一個通告，告知其他域控本機的AD數據庫為最高值，其他所有域控均要以本機的AD數據庫為準，這樣，其他域控就不會將舊的數據（例如包含已經刪除的域賬戶信息等）同步到AD數據庫中。對于非授權還原來說，情況則恰好相反。如果其數據比較舊的話，其他域控就會將最新的數據同步過來，這樣就無法實現恢復數據的目的。

點擊“下一步”按鈕，系統會提示在執行恢復操作后，域控之間會同步數據。之后點擊“恢復”按鈕，系統將執行恢復操作并重啟系統。

使用命令行還原AD數據庫

當然，也可以使用“wbadmin”命令，來執行還原操作。在CMD窗口中執行“wbadmin get version”命令，會顯示備份列表信息，不同的備份項目擁有各自的版本標識符。

例如，執行“wbadmin START SYSTEMSTATERECOVERY-version:01/01/2018-09:00”命令，使用指定的備份文件標識符，來恢復特定時間的備份數據，這里的“01/01/2018-09:00”為對應備份文件的版本標識符。該命令執行后，在提示欄中點擊“Y”鍵，執行恢復操作并重啟系統，系統會提示恢復操作已經完成。

注意，以上命令行操作實現的是非授權還原。如果需要執行授權還原，其方法稍有不同。在恢復命令執行后，系統提示重啟時不要重啟系統，執行“ntdsutil”命令，在“ntdsutil:”提示符下依次執行“Active Instance NTDS1”、“Authoritative restore”、“Restore object CN=user1,OU=bumen1,DC=xxx,DC=com”命令，在彈出的警告窗口中執行“是”按鈕，執行恢復操作即可。

這里以恢復誤刪除的OU為“bumen1”中的“user1”賬戶為例。執行“quit”命令推出“ntdsutil”程序。執行“Repadmin /showmeta CN=user1,OU=bumen1,DC=xxx,DC=com”，可以看到其增加值為10000，可以使該恢復的賬戶對象成為整個域的授權版本，這樣在域控之間同步時就不會刪除該被恢復的賬戶對象。

實現裸機還原，恢復域控活力

如果域控的系統出現嚴重故障，或系統分區受到嚴重損壞，那么就需要使用完整備份來執行還原操作了。

所謂完整備份，指的是在備份時必須選擇“裸機恢復”、“系統狀態”、“系統保留”、“本地磁盤 (C)”等對象。因為域控已經損壞無法啟動，所以需要使用安裝光盤或者安裝U盤引導系統，在安裝界面中點擊“下一步”按鈕，在出現“現在安裝”界面中點擊“修復計算機”選項，之后依次點擊“疑難解答”、“系統恢復映像”等按鈕。

在系統映像恢復窗口中點擊“Windows Server 2012”選項。在恢復向導界面中選擇“使用最新的可用系統映像”項，在下一步窗口中選擇“格式化并重新分區磁盤”選項，點擊“排除磁盤”按鈕，并選擇需要排除的磁盤，使其排除在重新分區的范圍外。

點擊“高級”按鈕，選擇“完成還原后自動重新啟動計算機”和“自動檢測和更新磁盤錯誤信息”項。在下一步窗口中點擊“完成”按鈕，可以對目標磁盤進行分區和格式化操作。

在之后彈出的警告窗口中點擊“是”按鈕，開始執行還原操作。之后重啟域控，就可以將其恢復到可用狀態。