15 - tim hieu fsmo trong active directory - full
TRANSCRIPT
ADVANCED MCSA 2003 LABS Tài liệu chuyên sâu dành cho người chuyên nghiệp
Single Operation Master Roles
LAB No.
15
T R A I N I N G A N D E D U C A T I O N C E N T E R
© Lưu hành nội bộ 02Bis Đinh Thiên Hoàng, phường Dakao, quận 1, Tp.HCM
Phone 848 8244041 • Fax (848) 8244041 Email: [email protected] – Web: www.athenavn.com
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 115
Single Operation Master Roles Làm nổi bật vai trò của các Roles Phục hồi và chuyển các Roles trên các máy DC
LAB Pro 15.1: Authoritative Restore cho một hoặc nhiều Objects trong AD
Triển khai Active Directory và MultiMaster
Cấu hình DNS, kiểm tra DNS Secondary Zone
Triển khai Active Directory trên 2 DC, thực hiện MultilMaster và Replications
Kiểm tra việc Replications trên 2 DC trong cùng 1 Domain
LAB Pro 15.1:
DNS và AD tích hợp, Database của DNS nằm trong AD, không nằm dạng Plain Text
Sử dụng Ethereal để kiểm chứng việc này.
LAB Pro 15.2: Phục hồi các Objects trên AD đã bị xóa, sử dụng LDP Tools và ADRestore.
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – URL: www.athenavn.com
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 116
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 117
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 118
Single Operation Master Roles Domain có thể sử dụng Multi Domain Controllers (gọi la MultiMaster). Mô hình này khác với mô hình Domain trong môi trường Windows NT 4. MultiMaster đều giữ Active Directory với cấu trúc giống nhau (thông qua quá trình Synchronization - đồng bộ hóa) và có vai trò giống nhau trong việc quản lý Active Directory. Nhưng thực chất bên trong Active Directory còn có những thành phần đặc biệt, chỉ co thể duy nhất một Domain Controller nào đó được quyền nắm giữ trong toàn bộ Domain. Mỗi thành phần này đều có vai trò quan trọng trong cấu trúc Domain và Active Directory.
Single Operation Master Roles
Trong hệ thống Domain MultiMaster tuy các Domain Controllers có vai trò như nhau, nhưng bên trong, thực ra cũng có chia quyền. Trong Active Directory cùng 1 Domain, có 5 Roles mà chỉ có duy nhất 1 máy được quyền giữ. Các Roles đó gồm PDC Emulator, Schema Master, Domain Naming, RID Master và Infrastructure. Mỗi Roles giữ một vai trò khác nhau.
C¸c Master Roles duy nhÊt trong toμn FOREST
Schema master
Quản lý việc cập nhật thông tin vào Schema, cập nhật tất cả các Attributes trong toàn bộ FOREST.
Domain naming master
Giữ việc cập nhật lại toàn bộ thông tin về FOREST, gồm những DOMAIN nào, tên gì, và những máy Clients nào tham gia vào Domain. Domain Naming Master chỉ có thể có duy nhất trong toàn FOREST.
• TIPS Trong Windows 2000 Domain, Domain Naming Master yêu cầu phải có GLOBAL CATALOG được Enable trên máy Domain Controller này, nhưng trong Windows 2003 thì không cần thiết.
C¸c Master roles duy nhÊt trong mét Domain
Tất cả các Domain trong toàn FOREST đều phải mang những Roles sau:
• Relative ID (RID) master • Primary domain controller (PDC) emulator master • Infrastructure master
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 119
Những Role này phải là duy nhất trong toàn Domain, tức trong mỗi Domain, cho dù có bao nhiêu Domain Controller giữ vai trò MultiMaster, nhưng chỉ có thể có 1 và chỉ 1 Domain Controller giữ các Role này. Có thể DC2 giữ RID, và PDC, và DC1 giữ Infrastructure, nhưng DC1 không thể giữ RID hay PDC được nữa, vì DC1 và DC2 là MultiMaster trong cùng 1 Domain.
RID master
RID Master qủan lý việc cấp phát số SID cho các đối tượng trong Active Directory. Khi tạo mới, chỉnh sửa hoặc đổi vị trí User account trong Active Directory thì RID Master phải có mặt trong hệ thống để cập nhật sự thay đổi đó. RID Master bảo đảm rằng mỗi Object trong Active Directory mang cho mình một số SID duy nhất.
PDC emulator master
Role này tác dụng khi hệ thống có Domain Controller là Windows NT 4 với hệ thống PDC và BDC. Ngoài ra, PDC Role còn nắm giữ vai trò kiểm soát password và Replicate việc đối password trong toàn Domain.
PDC Role hỗ trợ Domain các Protocol chứng thực
• Kerberos V5 protocol • NTLM protocol
Infrastructure master
Giữ vai trò cập nhật thông tin thường xuyên từ Active Directory vào Global Catalog cho phép User truy cập nhanh hơn. Infrastructure quản lý User và Group, User nào thuộc nhóm nào, và đảm bảo quyền cấp phát cho User đó không bị mất khi chuyển user từ Group này sang Group khác.
Để biết Domain Controller nào đang giữ Role nào, ta sử dụng các công cụ để xem Active Directory User and Computer cho phép ta xem 3 Role
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 120
Kiểm tra xem Domain Controller nào đang giữ những Roles này
RID, PDC và Infratructure là những Role duy nhất trong cùng một Active Directory. Nếu trong một Domain (một Active Directory xuất hiện 2 Roles giống nhau cùng lúc sẽ xảy ra sự xung đột) Hịên tại Dc2.athenavn.com đang giữ 3 Role này, muốn chuyển sang DC1.athenavn.com, sử dụng công cụ Active Directory User and Computer trên DC1.athenavn.com để Change… Kiểm tra tiếp Role Domain Naming bằng công cụ Active Directory Domain and Trust
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 121
Hiện tại DC2.athenavn.com đang giữ Domain Naming.
Khi Admin muốn thay đổi cấu trúc của Domain, muốn cho một PC nào đó tham gia Domain, tạo thêm Domain Tree mới, Forest mới hoặc cấu hình MultiMaster, Domain Controller DC2.athenavn.com buộc phải có mặt để xác nhận sự thay đổi đó. Muốn đổi Role này sang Domain Controller DC1.athenavn.com chỉ cần Logon vào DC1 và sử dụng công cụ Active Directory Domain and Trust để Change… Kiểm tra Schema Master Role
Công cụ Schema Management mặc định không được cài trong Windows, Admin phải dùng công cụ Regsvr32 để khai báo Module schmmgmt.dll
C:\>regsvr32 schmmgmt.dll
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 122
Thông báo thành công đăng ký.
TIPS Công cụ Regsvr32 có thể sử dụng để đăng ký các Module DLL hoặc đang ký Service. Muốn biết thêm chi tiết về command này, gõ RegSvr32 /?
Vào công cụ Schema Management để xem Server nào đang giữ Role này, có thể Change cho Server khác. Trong toàn Forest, chỉ có thể có duy nhất 1 Server được giữ Schema. Sử dụng MMC để vào Schema Management.
Add Snap-in Active Directory Schema
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 123
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 124
Sử dụng Active Directory Schema trên DC1.athenavn.com để đổi vị trí của Role này trong DOMAIN. Các mô hình Active Directory gồm Domain, Tree và FOREST
• Domain có thể có nhiều MultiMaster cùng giữ 1 Active Directory. Trong Domain chỉ có thể có duy nhất RID, PDC và Infrastructure Role
• Domain Tree bao gồm hệ thống các Domain con như sale.athenavn.com, finance.athenavn.com. Các Domain này mang cùng tên đuôi là athenavn.com nhưng mỗi Domain con có Active Directory riêng của mình, nên có riêng RID, PDC và Infrastructure.
• Forest gồm nhiều Domain Tree nhưng sử dụng chung một Schema và một Global Catalog. Các Tree trong Forest có Tree Root khác nhau, các Domain có thể mang khác tên, nhưng cùng chung Schema và Global Catalog (GC)
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 125
ChuyÓn Role Trong bài LAB này ta sẽ làm nổi bật vai trò của các Role bằng cách phân các Roles này cho các máy Domain Controller, và sau đó Off các máy này (tạo sự thiếu Roles trong Active Directory) và thử nghịêm các bài tập để thấy được vai trò của những Roles này. Trước khi thử, ta thực hiện việc chuyển Roles giữa các máy trong Domain. Việc chuyển Roles có 2 trường hợp. Trường hợp 1 các Domain Controllers vẫn còn Online, ta chỉ muốn phân bố (distribute) các Roles này cho các Domain Controllers, thao tác này gọi là Transfer. Trường hợp 2 Domain Controllers giữ Roles đã bị Off, không thể vào Windows để làm thao tác Transfer. Thao tác này gọi là Seize. • TIPS: Thực ra, mỗi Domain Controllers trong Domain đều có giữ 5 Roles này, nhưng chỉ ở trạng
thái Listen (tức cập nhậ thông tin từ những Domain Controllers có Role đang Active). Thao tác Seize là Enable các Roles này lên để thực thi.
Transfer có thể làm trong GUI mode. • QUESTION Sử dụng các công cụ đã được minh họa trong bài trên, thực hiện CHANGE các Role
từ DC2 sang DC1 (làm việc này trên DC1, sau khi làm nhớ kiểm tra. Có thể tìm hiểu các quá trình này trong Windows Helps and Support, Search với từ khóa FSMO
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 126
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 127
Phôc håi vμ chuyÓn Role trªn c¸c Domain Controllers Trường hợp DC1 không có thể vào Windows được nữa, ta phải thực hịên thao tác Seize Công cụ cho phép làm việc này là NTDSUltil. Exe và phải thực hiện với quyền Admin ngay trên máy Domain Controllers ta múôn Enable Roles lên (DC2.athenavn.com). C:\>ntdsutil ntdsutil: ? ? - Show this help information Authoritative restore - Authoritatively restore the DIT database Configurable Settings - Manage configurable settings Domain management - Prepare for new domain creation Files - Manage NTDS database files Help - Show this help information LDAP policies - Manage LDAP protocol policies Metadata cleanup - Clean up objects of decommissioned servers Popups %s - (en/dis)able popups with "on" or "off" Quit - Quit the utility Roles - Manage NTDS role owner tokens Security account management - Manage Security Account Database - Duplicate SI D Cleanup Semantic database analysis - Semantic Checker Set DSRM Password - Reset directory service restore mode administra tor account password ntdsutil:
Với Command này, Admin có thể làm được khá nhiều chuyện như Seize, Transfer Role, đổi Password của Restore Mode,…muốn biết chi tiết của câu lệnh nào, gõ ? ntdsutil: Roles fsmo maintenance: ? ? - Show this help information Connections - Connect to a specific domain controller Help - Show this help information Quit - Return to the prior menu Seize domain naming master - Overwrite domain role on connected server Seize infrastructure master - Overwrite infrastructure role on connected serv er Seize PDC - Overwrite PDC role on connected server Seize RID master - Overwrite RID role on connected server Seize schema master - Overwrite schema role on connected server
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 128
Select operation target - Select sites, servers, domains, roles and naming contexts Transfer domain naming master - Make connected server the domain naming master Transfer infrastructure master - Make connected server the infrastructure maste r Transfer PDC - Make connected server the PDC Transfer RID master - Make connected server the RID master Transfer schema master - Make connected server the schema master fsmo maintenance:
Kết nối NTDSUTil vào Server nào Admin cần Seize Role. Ta kết nối và DC1.athenavn.com, lúc này, DC2.athenavn.com đã ngưng hoạt động hoàn toàn, Admin sẽ Seize DC1.athenavn.com giữ những Role này. Quá trình Seize thực chất là quá trình Enable các Role đang Disabled ở Server Dc1.athenavn.com (MultiMaster của DC2.athenavn.com) fsmo maintenance: connections server connections: ? ? - Show this help information Clear creds - Clear prior connection credentials Connect to domain %s - Connect to DNS domain name Connect to server %s - Connect to server, DNS name or IP address Help - Show this help information Info - Show connection information Quit - Return to the prior menu Set creds %s %s %s - Set connection creds as domain, user, pwd. Use "NULL" for null password, * to enter password from the console. server connections:
Xác định Server DC1.athenavn.com server connections: connect to server dc1.athenavn.com Binding to dc1.athenavn.com ... Connected to dc1.athenavn.com using credentials of locally logged on user. server connections:quit fsmo maintenance:
Thực hiện Seize Role PDC Emulator bằng câu lệnh SEIZE PDC, Windows hiện bảng thông báo sau, hỏi xem có thực sự cần Seize hay không, Click YES
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 129
Sau khi Click YES, đợi một khoảng thời gian cho Windows Enable Role PDC trên DC1.athenavn.com fsmo maintenance: Seize PDC Attempting safe transfer of PDC FSMO before seizure. FSMO transferred successfully – seized sucesfully. Server "dc2.athenavn.com" knows about 5 roles Schema - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=athenavn,DC=com Domain - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=athenavn,DC=com PDC - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=athenavn,DC=com RID - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=athenavn,DC=com Infrastructure - CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,C N=Sites,CN=Configuration,DC=athenavn,DC=com fsmo maintenance:
Tương tự chuyển RID Master Role bằng command Seize RID, chuyển Schema bằng command Seize Schema.
• TIPS Chỉ thực hịên SEIZE khi và chỉ khi DC2.athenavn.com không thể hoạt động trở lại. Kiểm tra lại các Roles đã được chuyển đúng hay chưa bằng GUI mode.
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 130
OK, PDC đã chuyển thành công, Hiện tại DC1.athenavn.com đang giữ PDC Role. Tương tự kiểm tra RID và Infrastructure. LAB Pro 19.1: Authoritative Restore cho mét hoÆc nhiÒu Objects trong Active Directory Non-authoritative là ta Restore nguyên Active Directory (entire Active Directory), muốn thực hiện thao tác này ta phải đưa Active Directory vào trạng tháo Restore Mode (khởi động bằng file SAM trong Repair), sử dụng công cụ NTBACKUP restore toàn bộ System State (trong đó có Active Directory).
Authoritative Restore hoàn toàn khác, sử dụng trong trường hợp có nhiều Domain Controllers và ta muốn Override quá trình Replicate của Active Directory.
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 131
Trong Active Directory, mỗi Domain Controllers sử dụng tham số WaterMark để biết thao tác nào làm trước, thao tác nào làm sau. Thao tác làm sau sẽ Override (ghi đè) thao tác làm trước. Ví dụ DC1 xóa OU Sales, thao tác xóa này sẽ được Replicate (chuyển) qua DC2, Active Directory chứa bên DC2 cũng sẽ mất OU Sales (vì thao tác xóa OU Sales) mới thực hiện. Nhưng nhu cầu, ta không muốn xóa OU Sales này, nhưng không thể chọn giải pháp tạo mới OU Sales được (vì bên trong còn nhiều Objects, và Sales OU có ID riêng của mình). Giải pháp sử dụng là Authoritative Restore và chọn OU Sales, kết quả OU Sales sẽ Override thao tác xóa từ DC1 chuyển qua. Active Directory của DC1 sẽ được phục hồi lại OU Sales từ Active Directory trên DC2 chuyển qua (Replicate ngược).
• TIPS Authoritative Restore phải hoàn tất trước quá trình Replicate của DC1 qua DC2.
Mô hình ta sẽ làm trong bài này: DC1 và DC2 là MultiMaster, trong Active Directory có cấu trúc như sau Ta sẽ xóa user bangnt trên DC2.athenavn.com Thực hịên Authoritative Restore user nguyenva trên DC1 để user bangnt được Replicate ngược lại cho DC2.athenavn.com
Xóa User Account bangnt trên DC2.athenavn.com bằng command C:\>net user bangnt /delete
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 132
The command completed successfully.
Trước khoảng thời gian Replicate giữa DC1 và DC2, thực hịên Authoritative Restore với User Account bangnt. Khi thực hiện Authoritative Restore, trên DC1.athenavn.com, User Account bangnt vẫn còn tồn tại. Mục đích Authoritative Restore User Account bangnt nhằm giữ lại User Account này, tránh bị việc Replication từ DC2.athenavn.com xóa User bangnt trên DC1.athenavn.com C:\>ntdsutil ntdsutil: ? ? - Show this help information Authoritative restore - Authoritatively restore the DIT database Configurable Settings - Manage configurable settings Domain management - Prepare for new domain creation Files - Manage NTDS database files Help - Show this help information LDAP policies - Manage LDAP protocol policies Metadata cleanup - Clean up objects of decommissioned servers Popups %s - (en/dis)able popups with "on" or "off" Quit - Quit the utility Roles - Manage NTDS role owner tokens Security account management - Manage Security Account Database - Duplicate SI D Cleanup Semantic database analysis - Semantic Checker Set DSRM Password - Reset directory service restore mode administra tor account password ntdsutil:
Chọn Authoritative Restore ntdsutil: Authoritative restore *** Error: Operation only allowed when booted in DS restore mode "set SAFEBOOT_OPTION=DSREPAIR" to override - NOT RECOMMENDED! ntdsutil:
Oh! Thực hiện việc Restore này trong Directory Service Restore Mode, lúc đó Active Directory đang ở trạng thái Offline. Admin sử dụng password File SAM trong thư mục Repair Khởi động lại DC1.athenavn.com để vào Directory Restore Mode (bấm F8)
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 133
Khởi động vào Safe Mode, Log on bằng User Administrator với Password Restore Mode và tiếp tục chạy Command NTDSUtil
• QUESTION Restore Mode Password được set khi nào? Dùng công cụ nào để đổi Password này?
ntdsutil: Authoritative restore authoritative restore: ? ? - Show this help information Help - Show this help information List NC CRs - Lists Partitions and cross-refs. You need the cross-ref of a Application Directory Partition to restore it. Quit - Return to the prior menu Restore database - Authoritatively restore entire database Restore database verinc %d - ... and override version increase Restore object %s - Authoritatively restore an object Restore object %s verinc %d - ... and override version increase Restore subtree %s - Authoritatively restore a subtree Restore subtree %s verinc %d - ... and override version increase authoritative restore:
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 134
Sử dụng command Restore Object với User bangnt
Click YES, Windows rất cẩn thận khi hỏi bạn có muốn Restore hay không authoritative restore: restore object CN=bangnt,CN=users,DC=athenavn,DC=com Opening DIT database... Done. The current time is 09-17-05 09:32.10. Most recent database update occured at 09-17-05 09:05.36. Increasing attribute version numbers by 100000. Counting records that need updating... Records found: 0000000001 Done. Found 1 records to update. Updating records... Records remaining: 0000000000 Done. Successfully updated 1 records. Authoritative Restore completed successfully. authoritative restore: Muốn thực hiện được lệnh này Admin phải nắm được cấu trúc của LDAP Command, khai báco chính xác User đường dẫn của User bangnt đang ở đâu. Hiện tại trên DC1.athenavn.com, User bangnt đang nằm trong Container Users của Domain Athenavn.com nên có cấu trúc là CN=bangnt,CN=Users,DC=Athenavn,DC=COM Nếu muốn Restore OU, sử dụng Command Restore Subtree OU=Staff,OU=HoChiMinh,DC=athenavn,DC=com
Training & Education Network
02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: [email protected] – website: www.athena.com.vn
Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 135
• QUESTION Lập cấu trúc của các Object trong Active Directory bằng đường dẫn LDAP Đợi một khoảng thời gian cho việc Replicate giữa DC1 và DC2 thành công, kiểm tra trên DC2 xem User Account bangnt đã được phục hồi lại hay chưa, nếu chưa được phục hồi, buộc phải sử dụng công cụ LDP hoặc ADRestore để phục hồi.