[原创]windows server 2012 AD架构 试验 系列 – 7 ADDB维护

[原创]windows server 2012 AD架构 试验 系列 – 7 ADDB维护

从windows 2008开始起,我们就可以将ADDS服务关闭,就可以开始进入AD维护.而以前win 2003则必须在目录还原模式下才可以进行ADDB的维护

1-ADDB转移

默认ADDB的存储位置默认是:%systemroot%/NTDS文件夹内
现在我们来试验转移数据库到C:\NEWNTDS (预先你不需要创建这个文件夹)
1.1停止ADDS服务


1.2察看当前ADDS的信息


1.3-file maintenance 移动数据库




执行完整性检查



如果完整性检查成功的话,就可以直接quit, 再启动服务net start ntds
1.4-语义数据库分析
要是完整性检查没通过的话 请进行语义数据库分析



1.5-恢复数据库如果语义数据库分析也是失败的,就进行数据库恢复



最后在启动ADDS服务,net start ntds

2-ADDB重组

ADDB defragmentation 会将数据排列的更整齐,让数据读取更快,提升ADDS的运行效率.它分为以下两种
2.1 Online Defragmentation
在线重组会每隔12小时自己执行所谓的垃圾收集程序,在先重组无法减少AD数据库文件的大小(ntds.dit),只是有效的将数据重新整理和排列.
2.2 Offline Defragmentation
脱机重组是手工活,它可以将已删除的对象所占的空间还给操作系统
停止服务net stop ntds
执行下面的命令,最后备份old ntds.dit,将原来在c:\windows\ntds\*.log删除
将重组后的新数据库文件c:\ntdstemp\ntds.dit复制并覆盖原来的ntds.dit
最后一步检查数据完整性





如果完整性检测失败的话，看下日志，同时将原来的ntds.dit-old放回原来的位置，进行语义数据库分析数据库修复操作。
另外注意一点，我在试验环境中测试到，只要关掉ADDS服务的话，电脑锁屏再登入的话就登入不进去了，为了防止这个问题发生，记得先不要让服务器锁屏。

3-重设目录模式还原密码

启用ntdsutil命令
切记：要重设密码的DC，其ADDS服务必须是启动的

4-更改可重新启动的ADDS的登入设置

为什么会出现我上面***标出的情况？那是因为默认情况下ADDS服务关闭的话，管理员只能通过DSRM（目录服务还原模式）的系统管理员帐户来进入目录服务还原模式

5-AD回收站

5.1 AD回收站系统要求林功能级别必须是windows server 2008 R2 以上，域功能级别也必须是windows server2008 R2以上，且一旦启用了AD回收站后就无法在停用了，因为林和域的功能级别也没办法在降级
5.2 启用ADD回收站用命令启用





那么管理可以到AD管理中心去查找哪些对象已删除，点击旁边的还原，这样的还原也会复制到其他的DC.



下面是用power shell来操作:





也可以用ldp.exe来还原被删除的对象，有兴趣的同学可以去网络上参考下这个工具怎么用.