MCITP服务总结

最新推荐文章于 2019-01-04 22:06:38 发布

weixin_34302798

最新推荐文章于 2019-01-04 22:06:38 发布

阅读量130

点赞数

原文链接：http://blog.51cto.com/149banzhang/707294

版权

MCITP服务总结

标签： MCITP知识点总结

原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。 http://servershuji.blog.51cto.com/1283121/405305

1. 配置DHCP服务

需求：

1、管理员工作量大

2、IP冲突

3、移动用户IP配置不方便

4、IP地址利用率问题(ISP网络服务提供商)

什么是DHCP？

服务端udp 67、客户端udp 68

动态主机分配置协议

租约过程：

1、DHCPDiscovery DHCP发现包(Wo需要IP地址，谁有?)

2、DHCPOffer DHCP响应包(Wo有IP，我给你一个IP地址）

3、DHCPRequest DHCP请求包(Wo就需要这个IP，给我确认)

4、DHCPAck DHCP确认包(没问题，就给你这个IP地址）

注意:MS Windows 4次广播

Cisco R&S 2次广播(Discovery\Request)

2次单播(Offer\ACK)

IP租约更新：

1、当 DHCP客户机租期达50％时，重新更新租约，客户机发送DHCPRequest包

2、当租约达到 87.5%时，进入重新申请状态，客户机发送DHCPDiscover包

安装DHCP服务三种方法：

1、设置-控制面板-组件->dhcp服务

2、sysocmgr /i:sysoc.inf->dhcp服务

3、网上邻居-属性-网络服务-dhcp

DHCP配置选项优先级:

保留<-作用选项<-服务器选项

ipconfig相关命令:

ipconfig/all 查看所有IP相关信息

ipconfig/release 释放当前IP地址(0.0.0.0)

ipconfig/renew 重新申请IP地址

ipconfig/flushdns 刷新dns缓存

什么是中继代理？

中继代理：在多网段下为客户端分配TCP/IP信息

接口模式 Cisco中继代理 ip helper-address 服务器IP地址

全局模式禁止转发UDP广播包 no ip forward-protocol udp xx

Windows dhcp日常维护：

数据库路径：%windir%\system32\DHCP

Dhcp.mdb主数据库文件

*.log日志文件

*.chk检查点文件

1、验证注册表和数据库一致性（协调作用域）

2、备份与还原数据库(默认每1小时自动备份->backup文件夹)

3、优化DHCP数据库

在线整理 (系统自动方式)

脱机整理（手工方式）：

Cd c:\windows\system32\dhcp

Net stop dhcpserver

Jetpack dhcp.mdb temp.mdb

Net start dhcpserver

cisco R&S实现dhcp服务

常规配置:

Router#config t

Router(config)#services dhcp 开启dhcp服务(默认开启)

Router(config)#ip dhcp pool vlan1 新建作用域 vlan1

Router(dhcp-config)#default-router 192.168.1.254 缺省网关

Router(dhcp-config)#dns-server 1.1.1.1 2.2.2.2 DNS服务器

Router(dhcp-config)#network 192.168.1.0 255.255.255.0 地址池

Router(dhcp-config)#lease 2 租约2天

Router(config)#ip dhcp excluded-address 192.68.1.1 排除范围

Router(config)#ip dhcp excluded-address 192.168.1.254

查看配置：

Route#show run | in ip dhcp 筛选查看配置

删除配置:

Router(config)#no ip dhcp vlan1 删除作用域

Router(config)#no ip dhcp excluded-address 192.68.1.1

查看命令:

Show ip dhcp pool 查看地址池信息

Show ip dhcp binding 查看租约信息

Show ip dhcp conflict 查看地址冲突信息

Show ip dhcp server statistics 查看DHCP收发数据包统计表

Clear ip dhcp server statist 清除收发数据统计信息

清除命令：

Clear ip dhcp server statist 清除收发数据统计信息

Clear ip dhcp binding * 清除所有租约信息

2.DNS服务

需求：

如何解决域名到IP的翻译？

什么是hosts文件?

Hosts文件路径：%systemroot%\system32\drivers\etc 目录下

Hosts文件解析域名缺陷：

1、主机名称重复(平面结构)

2、名称解析效率低

3、维护困难(主机数量多的环境）

DNS(Domain Name System)域名系统：

在局域网和互联网中用来将域名转换成IP地址

优点：

1、分层管理

2、分布运行

或者说是：分布式，层次性也是可以的。

域名空间结构：

1、根域

全球有13台根服务器，除在东京、伦敦、斯德哥尔摩各一台，其余都在美国

2、顶级域

按国家或地区例:cn、jp、hk

按组织例:com、net、org

3、二级域

按企业或个人例:cisco.com、lenovo.com

4、主机名

FQDN完全合格域名=主机名+DNS后缀.例：www.microsoft.com www.shuji.com

DNS按查询方式：

1、递归查询------转发

特点：返回最终结果

2、迭代查询(简单查询)

特点：返回最佳结果

DNS按查询内容：

1、正向查找(域名->IP)

2、反向查找(IP->域名）

实现查询方法的两种技术：

根提示：可以让本地DNS服务器直接查询根服务器(迭代)

转发器：可以让本地DNS服务器将查询请求转发到其它ISP的DNS服务器(递归)

注：win2003 Sever默认使用根提示

转发器优先根提示

win2003 Server的DNS转发器支持条件转发

根提示对服务器性能要求较高

什么缓存服务器?

缓存服务器（Caching-only)：不存在任何区域的DNS服务器.

存放最近解析过的域名和对应的IP地址。

作用：

1、加速域名解析速度(有缓存)

2、节约WAN链路带宽

清空本地DNS缓存：ipconfig/flushdns

查看本地DNS缓存：ipconfig/displaydns

DNS区域类型：

1、主要区域：用来存储区域内的所有记录。(完全控制)

区域文件路径：%systemroot%\system32\DNS

文件名默认：区域名称.DNS

有主区域的主机称主DNS服务器

2、辅助区域：主区域的副本(只读）

有辅区域的主机称辅DNS服务器

3、存根区域：主区域的副本，但只包含SOA、NS记录

有存根区域的主机称DNS存根服务器

注：主、辅DNS服务器统称为NS（名称服务器)

第一台主DNS服务器为权威服务器

什么是资源记录RR?

定义各种类型的"资源"到IP地址的转换记录。

A:主机名称->IP

NS:名称服务器->IP

MX:邮件服务器->IP

SRV:服务->IP(用于活动目录环境中)

CNAME:别名->IP

Nslookup命令使用

Nslookup (set domain定位查找某个域名，set type=A,cname 定位查找某类资源记录)

ls –t 域名可以查看相关域中的所有RR（资源记录）

DNS高级设置

1、区域复制

将区域文件复制到多个DNS服务器上的过程。

区域复制类型：1、全区域复制 2、增量区域复制

Master服务器：区域文件的复制源（可以是主、辅DNS服务器）

Slave服务器：区域文件的复制的目标

作用：1、负载分担 2、冗余备份

2、子域（区域数据保存在父域区域文件中上，适应于个人、小型企业）

3、委派（区域数据保存在企业内部DNS服务器区域文件中，适应大中型企业）

域名解析顺序：

本机DNS缓存 -> 本机hosts文件 -> DNS服务器

3.Web服务

什么是WWW服务？

万维网服务，采用TCP 80端口，在网上发布，通过Web浏览器 提供图形化页面的服务。

市场主要产品：

1、windows平台的IIS(win2000 server IIS5.5、win2003 server IIS6.0)

2、linux/unix平台的Apache（阿帕奇）

什么是IIS?

IIS(Internet信息服务):是Microsoft用于 架构基于Windows平台的服务器安装包。

包含的主要组件：

1、Web服务（HTTP协议，TCP端口80)

2、FTP服务(文件传输协议，TCP端口21+不确定)

3、SMTP服务(简单邮件传输协议，TCP端口25)

4、NNTP服务(网络新闻传输协议，TCP端口119)

安装IIS的两种方法：

1、sysocmgr /i:sysoc.inf打开windows组件向导

2、控制面板->添加/删除程序->添加删除windows组件->应用程序服务->IIS服务

什么是网站标识?

网站标识用来标识不同的Web站点。

包含三个属性值:

1、IP地址

2、端口号

3、主机头(FQDN完全合格域名）

例:192.168.100.1 80

192.168.100.2 80

192.168.100.2 81

192.168.100.2 80 www.baidu.com

192.168.100.2 80 www.lenovo.com

六种访问权限：

1、读取：用户和读取文件内容和属性，默认启用；

2、写入：用户可以修改目录或文件的内容；慎重

3、脚本资源访问：允许用户访问脚本文件的源代码；慎重

4、目录浏览：用户可以浏览目录，从而可以看到目录中的所有文件；慎重

5、记录访问：当用户浏览此网站时进行日志记录，默认启用。

6、索引资源：允许索引服务对此资源进行索引，默认启用。

三种执行权限 ：

1、无(默认)：不能执行任何代码，只能执行静态网页；

2、纯脚本: 只能运行脚本代码例如ASP、PHP等等，不允许执行可执行程序；执行文件：

3、脚本和可脚本：允许执行所有脚本和可执行程序，慎重

什么是虚拟目录 ?

虚拟目录：能将一个网站的文件 分散存 储在同一计算机的不同路径或其他算机中

优点：

1、将 数据分散保存到不同的磁盘或计算机上，便于分别开发与维护

2、当数据移动到其他物理位置时，不会影响到Web网站的 逻辑结 构

什么是虚拟主机？

在一台计算机上，同时运行多个网站。

根据网站标识,有3种实现方式：

1、使用不同的IP地址

2、使用相同的IP地址、不同的TCP端口

3、使用相同的IP地址和TCP端口、不同的主机头(FQDN完全合格域名)

Web站点的安全性：

1、匿名身份验证：用户不需要输密码，可以访问

2、基本身份验证：要求提供用户名和密码，明文传输

3、集成身份验证：比基本身份验证安全性高，加密传输

权限总结：

1、身份验证

2、IP访问控制

3、NTFS权限

4. FTP服务

什么是FTP？

FTP（文件传输协议）:C/S模型,给用户提供 上传和下载文件的网络服务。

端口:根据不同工作模式不一样

相关产品：Windows平台-IIS、 ServU（美国）、CrobFTP(国内）、Raiden FTPD（台湾）

Linux/unix平台-VSFTP、Wuftpd

FTP四种工作模式：

1、主动模式（PORT)

客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条控制链路。

当需要传送数据时，服务器从20端口主动向客户端的空闲端口发送连接请求，建立一条数据链路来传送数据。

命令连接：客户端>1023端口 --> 服务器 21端口

数据连接：客户端>1023端口 <--- 服务器 20端口

2、被动模式 (PASV)---FTP防火墙友好模式

客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条控制链路。

当需要传送数据时，客户端向服务器的空闲端口发送连接请求，建立一条数据链路来传送数据。

命令连接：客户端 >1023端口 -> 服务器 = 21端口

数据连接：客户端 >1023端口 -> 服务器 >1023端口

3、IPv6增强主动模式(EPORT)

4、IPv6增强被动模式(EPASV)

注：FTP工作模式 取决于客户端(IE浏览器默认pasv模式\FTP命令默认为port模式)

FTP服务器两种登录方式：

1、匿名(使用anonymous）

不用输入用户名和密码可以登录

2 授权用户

必须输入用户名和密码（IIS为windows系统用户)

FTP客户端三种连接方式：

1、命令行方式连接

2、Web方式连接

3、客户端连接(leapftp、 cuteftp、flashfxp)

虚拟目录：

虚拟目录能实现本地目录映射到FTP站点的目录。

ftp://FTP站点的IP地址或者域名/虚拟目录名

IIS 实现用户隔离

Lucy 用户 ----- 主目录\LocalUser\用户名

Lili 用户 ----- 主目录\LocalUser\用户名

5. RAS远程访问服务

远程访问服务（ RAS ）提供了两种连接方式：

1、拨号网络；

PSTN（公共交换电话网）、ISDN（综合业务数字网）、X2.5

2、虚拟专用网络(远程访问***)

拨号网络组件：

l 报号网络客户端；

l 远程访问服务器；

l WAN结构

l 远程访问协议(点到点PPP；串行线路网际协议SLIP；Microsoft RAS协议）

l LAN协议（TCP/IP；IPX；NetBEUI）

×××组件：

×××客户端、×××服务器、隧道、×××连接、二层隧道协议( PPTP、 L2TP)、传输互联网络

什么是远程访问策略?

远程访问策略（RAP）是定义是否授权×××客户远程访问的一系列规则集合。

每个RAP具有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置。

远程访问策略组成：

1、条件

2、配置文件

3、远程访问权限

系统默认策略:

1、到Microsoft路由和远程访问服务器的连接：定义的匹配条件为RRAS服务器特征字符串等于“^311$”，这代表到Microsoft路由和远程访问服务器的远程访问连接

2、到其他访问服务器的连接：定义的匹配条件为任何时间发起的×××客户连接请求，此RAP匹配任何×××客户连接的请求。

什么是RADIUS?

远程验证拔入用户服务,是一种“客户/服务器”的通信协议，它使RADIUS客户端可以将验证用户身份验证、授权与记帐等工作转给RADIUS服务器来运行。

6. PKI与证书服务应

什么是PKI?

Public Key Infrastructure，公钥基础结构

由 公钥加密技术、数字证书、证书颁发结构（CA），注册机构（RA）等共同组成。

数字证书用于用户的身份验证；

CA是一个可信的实体，负责发布、更新和吊销证书；

RA接受用户的请求等功能

PKI体系实现的功能有：

1、身份认证

2、数据完整性

3、数据机密性

4、操作的不可否认性

公钥(Public Key)和私钥(Private Key)的特点:

1、密钥是成对生成的

2、两个密钥可以互相加密和解密

3、不能根据一个密钥来推算得出另一个密钥

4、公钥公开，私钥保密

什么是证书：

PKI系统中的数字证书简称证书

它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、×××号等）捆绑在一起

证书的主体可以是用户、计算机、服务等

证书的应用：Web用户身份验证；Web服务器身份验证；安全电子邮件；Internet协议安全（IPSec）

数字证书是由权威公正的第三方机构即CA签发的

证书包含以下信息：

1、使用者的公钥值

2、使用者标识信息(如名称和电子邮件地址)

3、有效期(证书的有效时间)

4、颁发者标识信息

5、颁发者的数字签名

CA按工作环境分类：

1、企业根CA( 域环境中安装，企业网中第一台证书服务器，负责向从属CA颁发证书)

2、企业从属CA( 域环境中安装，负责向用户\计算机\服务等颁发证书)

3、独立根CA(工作组环境安装，企业网中第一台证书服务器，负责向从属CA颁发证书)

4、独立从属CA(工作组环境中安装，负责向用户\计算机\服务等颁发证书)

7.windows 群集

什么是群集 (cluster) ？

指一组独立系统(称为节点)，将它们组织在一个网络中，以便彼此 共享资源和通信。

群集的作用：

1、冗余备份

2、负载均衡

Windows2003群集支持两种类型：

1、网络负载平衡群集（NLB）：主要增强服务的 可靠性、可伸缩性、均衡负载。

注：主要应用于前台服务（Web、FTP、×××等）

2、服务器群集（SC):主要增强服务的 可靠性。

注：主要应用于后台服务（SQL、Exchange等)

支持网络负载平衡群集的Windows 2003系统版本：

Windows Server 2003 Web Edition

Windows Server 2003 Standard Edition

Windows Server 2003 Enterprise Edition

Windows Server 2003 Datacenter Edition

支持服务器群集的Windows 2003系统版本：

Windows Server 2003 Enterprise Edition

Windows Server 2003 Datacenter Edition

注: 一个NLB群集成员最多为32个，一个服务器群集成员最多为8个

微软NLB 既可以负载均衡又可以起到故障转移作用。但是无法进行数据的同步。需要第三方软件的支持。

NLB的工作原理：

当客户向NLB群集（NLB的虚拟IP地址）发起请求时，其实客户的请求数据包是发送到所有的NLB节点，然后运行在NLB节点上的NLB服务根据同样的NLB算法来确定是否应该由自己进行处理，如果不是则丢弃客户的请求数据包，如果是则进行处理。

NLB工作模式:

1、单播Unicast(MAC地址以"2B-BF"开头)

在每个群集成员上，NLB 覆盖网络适配器上制造商提供的 MAC 地址。NLB对所有成员都

相同的单播 MAC 地址,所以将 导致所有节点之间不能通信。

2、组播(MAC地址以"3B-BF"开头)

保留原厂 MAC 地址不变，但是向网络适配器中增加了一个第2层组播MAC地址.所入站流量都会到达这个多播 MAC 地址.

注：NLB节点发送的针对群集IP地址MAC地址ARP请求的ARP回复会将群集IP地址映射到多播MAC地址，而许多路由器或者交换机（包括CISCO的产品）会拒绝这一行为.

(例: cisco R&S ---arp 192.168.1.10 0001.2222.3333 arpa)

筛选(算法)模式:

1、多主机(Multiple host)模式

多主机之间进行负载平衡。

相似性（算法）：无、单一、类C。

无：按客户端的源端口随机分配---WWW、×××

单一：第一次用户端访问服务分配到物理主机时,以后所有的请求都由这台主机提供处理。--FTP

类C:表示一个C类地址的客户端请求将全部由第一次处理请求的主机负责。

2、单主机(Single host)模式:

端口范围内的所有请求都将由一台主机来进行处理，此选项将配合后面的主机优先级来行

判定。

8. 多域间访问

域环境的的特点：

1、资源集中管理

2、便捷的网络资源访问（单一性登陆-SSO）

3、可扩展性

安装域控器的条件：

1、管理员权限

2、操作系统版本windows服务器家族

3、必须有一个NTFS分区

4、TCP/IP设置

5、有DNS服务器支持(作用:2、 定位DC、2、 使用DNS命名方式）

6、有足够的可用空间（200MB数据库+50MB日志）

一个林中创建多个域的原因：

1、部门（或分公司）有不同的密码策略

2、有大量的活动目录对象，可以分担负载

3、分散的网络管理

跨域资源访问

AGP

AGDLP(帐号、全局组、域本地组、权限)规则的含义：

1、将用户帐户加入全局组

2、给本地域赋权限

域功能级别
1、混合模式

2、windows2000纯模式（本机模式）

3、windows2003模式（本机模式)

windows安全组分类：
1、全局组
(1)成员资格。 混合模式可以包含来自同一域的用户账号。 本机模式可以包含来自任一域的用户账号和全局组。
(2)成员范围。在 混合模式中，全局组可以是域本地组的一个成员。在 本机模式中，全局组可以是任何一个域中的通用及全局组的成员。
(3)作用范围。全局组在它的域及包括目录林中的所有域的所有信任域中都是可见的。
(4)权限范围。目录林中的所有域。

2、域本地组
(1)成员资格。混合模式可以包含任何域的用户和全局组。本机模式可以包含目录林中的任何域的用户账号、全局组和通用组以及同一域的域本地组。
(2)成员范围。在混合模式中，域本地组不能是任何组的成员。在本机模式中，域本地组可以同一域中的域本地组的成员。
(3)作用范围。域本地组只在它自己的域中可见。
(4)权限范围。域本地组位于其中的域。

3、通用组
(1)成员资格。在混合模式中不能创建通用组。本机模式可以包含来自目录林中的任何域的用户账号、全局组和其他通用组。
(2)成员范围。通用组在混合模式中不适用。在本机模式中，通用组可以是任何域中的域本地和通用组的成员。
(3)作用范围。通用组在目录林中的所有域中都是可见的。
(4)权限范围。目录林中的所有域。

信任关系有什么用？
域是安全边界，若无信任关系，域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁，使得域用户帐号可以跨域使用。

六种信任关系:

1、父子信任：双向、可传递并自动建立的父子域之间的信任

2、树根信任：双向、可传递并自动建立的森林内多棵域树根域之间的信任

3、快捷信任：可传递的、手工创建的并方向手工指定的、可以使用在森林之内域之间的信任

4、外部信任：多个森林中任意域之间的信任(手工建立、不可传递、方向手工指定的信任)

5、森林信任：两个或多个森林的根域之间的信任(手工建立、可传递、方向手工指定的信任)

6、领域信任：windows kerberos协议与非windows kerberos协议之间的信任。

注： 如果需要手工建立任何信任关系，两个域之间必须能够相互解析。

林之内的信任（父子信任、树根信任、快捷信任）

林之间的信任（外部信任、森林信任）

快捷方式信任可以提高用户验证效率

林信任的两个条件：

1、域功能级别为windows2003 模式

2、林功能级别为windows2003模式

9. 操作主机与AD数据库维护

AD 复制的问题

AD复制有三种复制方式
1. 更改通知的方式：当数据库发生变化时，15s后通知对方。
2. 紧急复制：如密码修改、帐户锁定策略等，立即复制。
3. 每隔1小时复制：检查是否有数据复制遗漏。

三种复制范围：

1、域复制

2、林复制

3、可配置复制

AD 复制模式

1、单主机复制（winNT）

只能对系统中某一特定结点进行修改

其他结点都以该结点为准进行复制

优缺点:(避免复制冲突但没有冗余机制）

2、多主机复制（win2000、win2003、win2008）

可以对系统中任一结点进行修改

优缺点:(提供冗余备机制但容易产生复制冲突）

解决冲突的机制：戳 (版本号码+修改时间+域控制器的GUID全球唯一标识符-128bit随机字符串)

版本号码：每一次修改对象的属性时，属性的版本号增加

修改时间:对象属性被修改的原始时间

域控制器的GUID：发生对象修改行为的原始域控制器的GUID

注：windowsNT都是采用的AD单主机复制，windows2000以后大部分采用多主机复制， 但有些特定的数据只能实现单主机复制，所以这个时候需要指定操作主机。

Active Directory 定义了五种 操作主机角色 (又称FSMO单一灵活操作主机或OM操作主控):
1.架构主机 (schema master)-----------------------森林级别
2.域命名主机 (domain naming master)--------------森林级别
3.相对标识号 (RID) 主机 (RID master)-------------域级别
4.主域控制器模拟器 (PDC emulator)----------------域级别
5.基础结构主机 (infrastructure master)-----------域级别

森林级别

1、架构主机（Schema Master）

功能：控制活动目录内所有对象/属性的定义数据

故障影响：更新Schema受影响

短期内一般看不到影响

典型问题：无法安装Exchange

故障处理：需确定原OM为 永久性脱机才可抓取

2、域命名主机（Domain Naming Master）

功能：控制森林内域的添加和删除

添加和删除对外部目录的交叉引用对象

故障影响：更改域结构受影响

短期内一般看不到影响

典型问题：添加/删除域

故障处理：需确定原OM为 永久性脱机才可抓取

域级别

1、RID主机（RID Master）

功能：管理域中对象相对标识符（RID）池（一次性分发500个RID）

提示：对象安全标识符（SID）= 域安全标识符 + 相对标识符（RID）

* 形如：S-1-5-21-1343024091-879983540-3…

故障影响：无法获得新的RID池分配

典型问题如：无法新建（大量）用户帐号

故障处理：需确定原OM为 永久性脱机才可抓取

2、PDC模拟主机（PDC Emulator）

功能：模拟Windows NT PDC(主DC)

默认的域主浏览器

默认组策略维护

默认的域内权威的时间服务源

统一管理域帐号密码更新、验证及锁定

提示：PDC一般负载较大

短期内会受影响

故障影响：低端客户（win98,95)不能访问AD

不能更改域帐号密码（时间长）

浏览服务问题

时间同步问题

无法新建组策略

故障处理：需要比较及时地恢复

可以临时抓取到其他DC

在原OM恢复后可以抓取回去

3、基础结构主机（Infrastructure Master）

功能：负责对跨域对象引用进行更新

提示：单域情况下基础结构主机不需要工作

不能同时和GC配置在一起（单域除外）

故障影响：外域帐号不能识别，标记为SID

故障处理：需要比较及时地恢复

可以临时抓取到其他DC

在原OM恢复后可以抓取回去

查看操作主机角色 ：

1、GUI图形界面方式

2、使用dsquery server命令

Dsquery Server –Hasfsmo Schema //查看架构主机

Dsquery Server –Hasfsmo Name //查看域主机

Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机

Dsquery Server –Hasfsmo RID //查看RID主机

Dsquery Server –Hasfsmo Infr //查看基础结构主机

3、netdom query fsmo /domain:域名（需要安装support工具包）

操作主机的维护

转移（Transfer）

把OM角色平滑地传递给另一台DC,不丢失数据

操作可逆

抓取（Seize）

把OM角色强制地赋予另一台DC,可能导致数据丢失

操作不可逆

抓取命令会自动先尝试转移

AD 数据库备份和还原

1、非授权还原(非权威还原）:恢复活动目录还原到它备份时的状态

执行非授权还原步骤 :

§ 1 ）重启 DC ，在显示启动菜单时按 F8 键

§ 2 ）选择【目录服务还原模式】

§ 3 ）在登录提示符处，输入账户 administrator ，输入还原密码，进入系统

§ 4 ）使用备份工具还原系统状态数据

§ 5 ）重启 DC

2、授权还原(权威还原):恢复活动目录特定对象

执行授权还原的步骤 :

§ 1 ）重启 DC ，进入【目录服务还原模式】

§ 2 ） 使用备份工具恢复活动目录到原始位置 ( 必须先进行非授权还原 )

§ 3 ）打开命令提示符，键入 ntdsutil

§ 4 ）键入 “authoritative restore”

§ 5 ） restore subtree “ou=sales,dc=benet,dc=com,dc=cn”

§ 6 ）退出 ntdsutil ，重启 DC

AD 数据库的优化：
1.移动AD数据库（进入AD的恢复模式，开机F8，选目录还原模式）
应用场合：当C盘空间不够了，可以实现。
ntdsutil
files
info             查看当前数据库等信息存放的情况。
move db to d:\   该操作适宜场合：原来C盘的空间不够了，或为了提高性能，把数据库和日志文件分开存放。
只移动的是:ntds.dit和edb.chk
move log   to d:\ 这是移动日志文件，一般情况下可把日志文件和DB分开存放。

2.压缩AD数据库

应用场合：需要减小冗余数据，提高运行性能

有两种压缩方式：一种是在线整理（由DC自动完成），一种是脱线整理(手动进行）

a.在线整理：DC会每隔12小时自动运行所谓的“垃圾收集程序”来整理AD库，它只是将资料有效率的重新整理、排列。不会减小空间。此时AD在线。

b.离线整理：在目录还原模式内手动进行，会压缩空间，AD离线。

操作方式：进入目录还原模式后，

运行ntdsutil

file

compact to d:\temp 　压缩后的文件一般会变小，文件名还是ntds.dit

然后手动复制到原来的位置，你会发现数据库变小了，而且AD的性能会变好。

Integrity 检查AD数据库文件是否有损坏。

转载于:https://blog.51cto.com/149banzhang/707294