[原创]windows server 2012 AD架构 试验 系列 – 7 ADDB维护

懂ni

[原创]windows server 2012 AD架构 试验 系列 – 7 ADDB维护
　　从windows 2008开始起,我们就可以将ADDS服务关闭,就可以开始进入AD维护.而以前win 2003则必须在目录还原模式下才可以进行ADDB的维护
1-ADDB转移
　　默认ADDB的存储位置默认是:%systemroot%/NTDS文件夹内
　　现在我们来试验转移数据库到C:\NEWNTDS (预先你不需要创建这个文件夹)
1.1停止ADDS服务

1.2察看当前ADDS的信息

1.3-file maintenance 移动数据库

　　执行完整性检查

　　如果完整性检查成功的话,就可以直接quit, 再启动服务net start ntds
　　1.4-语义数据库分析
　　要是完整性检查没通过的话 请进行语义数据库分析

1.5-恢复数据库
　　如果语义数据库分析也是失败的,就进行数据库恢复

　　最后在启动ADDS服务,net start ntds
2-ADDB重组
　　ADDB defragmentation 会将数据排列的更整齐,让数据读取更快,提升ADDS的运行效率.它分为以下两种
　　2.1 Online Defragmentation
　　在线重组会每隔12小时自己执行所谓的垃圾收集程序,在先重组无法减少AD数据库文件的大小(ntds.dit),只是有效的将数据重新整理和排列.
　　2.2 Offline Defragmentation
　　脱机重组是手工活,它可以将已删除的对象所占的空间还给操作系统
　　停止服务net stop ntds
　　执行下面的命令,最后备份old ntds.dit,将原来在c:\windows\ntds\*.log删除
　　将重组后的新数据库文件c:\ntdstemp\ntds.dit复制并覆盖原来的ntds.dit
　　最后一步检查数据完整性

　　如果完整性检测失败的话，看下日志，同时将原来的ntds.dit-old放回原来的位置，进行语义数据库分析数据库修复操作。
　　另外注意一点，我在试验环境中测试到，只要关掉ADDS服务的话，电脑锁屏再登入的话就登入不进去了，为了防止这个问题发生，记得先不要让服务器锁屏。
3-重设目录模式还原密码
　　启用ntdsutil命令
　　切记：要重设密码的DC，其ADDS服务必须是启动的

4-更改可重新启动的ADDS的登入设置
　　为什么会出现我上面***标出的情况？那是因为默认情况下ADDS服务关闭的话，管理员只能通过DSRM（目录服务还原模式）的系统管理员帐户来进入目录服务还原模式
5-AD回收站
5.1 AD回收站系统要求
　　林功能级别必须是windows server 2008 R2 以上，域功能级别也必须是windows server2008 R2以上，且一旦启用了AD回收站后就无法在停用了，因为林和域的功能级别也没办法在降级
5.2 启用ADD回收站
　　用命令启用

　　那么管理可以到AD管理中心去查找哪些对象已删除，点击旁边的还原，这样的还原也会复制到其他的DC.

　　下面是用power shell来操作:

　　也可以用ldp.exe来还原被删除的对象，有兴趣的同学可以去网络上参考下这个工具怎么用.