如何将备用的域控制器升级到主域控制器111

如前面一片文章所提到的。比较麻烦的是，Exchange 2003的邮件服务器是安装在主域控制器上的，所以，主域控制器也被干掉了。

型号，做文件服务器的那台服务器也是域控制器，就要将这台文件服务器，升级到主域控制器了。

如果你没有执行过这样的动作，会觉得这是个很麻烦的事情。当我们操作过之后，你就会发现，其实这个不难。

首先，我们执行【netdom query fsmo】命令，来看一下目前的主域控制器是哪台。

然后依次执行下面的命令

ntdsutil

roles

connections

connect to server https://www.360docs.net/doc/158807945.html,

下面就开始夺取主域控制器的命令了

seize domain naming master

seize infrastructure master

seize pdc

seize rid master

seize schema master

slect operation target

q命令式退出命令。

这样，我们这台域控制器，就成为了主域了。

最后，我们还要将这台服务器成为全局编目服务器。方法如下：

管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目，把空格勾上就好

本文转自☆★黑白前线★☆- https://www.360docs.net/doc/158807945.html, 转载请注明出处，侵权必究！

原文链接：https://www.360docs.net/doc/158807945.html,/a/special/qyaq/server/2010/0429/3595.html

将额外控制器升级为主域控制器[原]

前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；

一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；

二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服

务）；

点击确定，放入windows2003光盘到光驱；

三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：

点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：https://www.360docs.net/doc/158807945.html,）；

输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；

四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：

在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；

在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；

最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；

五、将额外域升级为主域控制器；

1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：

首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，

运行MMC---添加AD架构---运行AD架构：显示，https://www.360docs.net/doc/158807945.html,为操作主

机;

选择更改域控制器,输入额外域控制器的主机全名;

点击确定;

<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为https://www.360docs.net/doc/158807945.html,

点击更改，确定。

<3>、更改RID、pdc仿真器、基本结构主机，运行Active Directory 用户和计算机，弹出窗口，显示域名为：https://www.360docs.net/doc/158807945.html,右键点击---操作主机，RID，PDC，基本结构主机显示为：https://www.360docs.net/doc/158807945.html,,依次更改它们；

点击“是” RID更改成功；

PDC更改同上；

点击“是”，结构主机更改成功！！

到此为止，已经成功将一台新服务器由成员升级为额外域控，再提升到主域控制器；

本文是依照此次更换主机过程而写，希望能给有需要朋友一些帮助！！

（原创）额外域控制器升级为主域控制器

AD恢复主域控制器

本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

----------------------------------------------------------------------

Active Directory操作主机角色概述

环境分析

从AD中清除主域控制器https://www.360docs.net/doc/158807945.html, 对象

在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作

设置额外域控制器为ＧＣ（全局编录）

重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本

----------------------------------------------------------------------

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：

架构主机 schema master、

域命名主机 domain naming master

相对标识号 (RID) 主机 RID master

主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机

具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID)

主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE是基于域的，目录林中的每个域都有自己的PDCE。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

--------------------------------------------------------------------------------

二、环境分析

公司https://www.360docs.net/doc/158807945.html,（虚拟）有一台主域控制器https://www.360docs.net/doc/158807945.html,，还有一台额外域控制器https://www.360docs.net/doc/158807945.html,。现主域控制器（https://www.360docs.net/doc/158807945.html,）由于硬件故障突然损坏，事先又没有https://www.360docs.net/doc/158807945.html,的系统状态备份，没办法通过备份修复主域控制器（https://www.360docs.net/doc/158807945.html,），我们怎么让额外域控制器（https://www.360docs.net/doc/158807945.html,）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

----------------------------------------------------------------------

三、从AD中清除主域控制器https://www.360docs.net/doc/158807945.html,对象

3.1在额外域控制器(https://www.360docs.net/doc/158807945.html,)上通过ntdsutil.exe工具把主域控制器(https://www.360docs.net/doc/158807945.html,)从ＡＤ中删除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain https://www.360docs.net/doc/158807945.html,

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurat ion,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurat ion,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000 support tool，安装程序在windows 2000光盘中的support\tools目录下。先把adsi edit.msc 和adsiedit.dll拷到system32下﹐再運行regsvr32 adsiedit.dll﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打开ADSI EDIT工具，展开Domain NC[https://www.360docs.net/doc/158807945.html,]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1：

3.3 在Active Directory Sites and Service中删除DC-01服务器对象

打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击Yes按钮，如图2：

----------------------------------------------------------------------

四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain https://www.360docs.net/doc/158807945.html,

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 1 server(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurat ion,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

fsmo maintenance:Seize domain naming master

出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master

出现对话框，按“确定“

fsmo maintenance:Seize PDC

出现对话框，按“确定“

fsmo maintenance:Seize RID master

出现对话框，按“确定“

fsmo maintenance:Seize schema master

出现对话框，按“确定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）

--------------------------------------------------------------------- 五、设置额外控制(https://www.360docs.net/doc/158807945.html,)为ＧＣ（全局编录）

打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开

https://www.360docs.net/doc/158807945.html,(额外控制器)，右击NTDS Settings选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。

---------------------------------------------------------------------

六、重新安装并恢复损坏主域控制器

修理好https://www.360docs.net/doc/158807945.html,损坏的硬件之后，在https://www.360docs.net/doc/158807945.html,服务器重新安装Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使https://www.360docs.net/doc/158807945.html,担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置https://www.360docs.net/doc/158807945.html,为GC，取消https://www.360docs.net/doc/158807945.html,的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。

主域 Windows 2000 SP4 (2000年的时候安装的,硬件有故障,经常死机)

额外域 Windows 2003 (集成Exchange2003)

方案:新建一个额外域, 替换主域

操作步骤:

1. 安装 Windows 2000 SP4

2. DCPROMO 升级为额外域

3.通过Ntdsutil将角色转移

C:\>ntdsutil

ntdsutil: roles

fsmo maintenance: connection

server connections: connect to server backupad(后面写你的備用服务器的域名)

绑定到 backupad ...

用本登录的用户的凭证连接 backupad。

server connections: quit

fsmo maintenance: transfer schema master 转移架构主机角色

fsmo maintenance: transfer domain naming master 转移域命名主机角色fsmo maintenance: transfer RID master 转移 RID 主机角色

fsmo maintenance: transfer PDC 转移 PDC 模拟器角色

fsmo maintenance: transfer infrastructure master 转移结构主机角色

4.再设置为全局编录

管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings属性, 全局编录的"勾"选中即可

5.重建DNS,且与主域同步,再正向搜索区域中的根(.)将名称服务器改为"backupad"即可. ‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------

这里的环境如下:

一台旧的WIN2K SERVER域为https://www.360docs.net/doc/158807945.html,,PDC FSMO GC

新的服务器也是WIN2K系统

目的:将旧的服务器的AD数据库迁移到新的服务器上,顶替旧服务器工作!

首先安装完成新的服务器的操作系统后,配置TCP/IP和旧服务器在一个网段,然后设置首要的DNS为旧服务器[DC]的DNSIP,然后确定退出,然后选择开始---->运行--->dcpromo开始提升为辅助域控制器,选择加入现有的域,输入DC的域名,然后会提示你权限,你用administrator用户,然后下一步,等待漫长的时间过去后,完成了,开始重新启动!等启动起来后进入命令行输入

ntdsutil

roles

connections

connect to server 后面写你的旧服务器的域名

然后提示连接成功!输入

quit

这下退到了roles的命令行下面,打?看看那些命令依次将

Transfer domain naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

转移到你的新服务器上!

格式如下:Transfer domain naming master 回车

会提示问你是否转移

关于FSMO的相信信息如下:

架构主机 (Schema master) - 目录林范围的角色，每目录林一个。定义了对象和属性

域命名主机 (Domain naming master) - 目录林范围的角色，每个目录林一个。决定了目录林的域添加和删除,必须和GC在一台服务器,因为他不能查询GC RID 主机 (RID master) - 特定于域的角色，每个域一个。每一个域都有一个唯一的RID池,RID池将分配给域一个RID块,当域创建安全主体的时候又将这个块分配给用户

PDC - PDC 仿真器是特定于域的，每个域一个。定义了与NT4.0的PDC,而且负责时间的同步,还有用户身份的改变和密码的更改

结构主机 (Infrastructure master) - 特定于域的角色，每个域一个。他包含了域中的对象的索引信息,他最好不要和GC放在一台服务器上,因为基础结构主机和GC在一台服务器上,基础结构将没有任何效果

然后设置为GC

单击开始，指向程序，指向管理工具，然后单击 Active Directory 站点和服务。双击左窗格中的站点，然后浏览到适当的站点，或者，在没有其他站点可用时单击默认的第一个站点的名称。

打开服务器文件夹，然后单击该域控制器。

在域控制器的文件夹中，双击 NTDS 设置。

在操作菜单上，单击属性。

在“常规”选项卡上，找到全局编录复选框以查看其是否选中. 这样就完全设置完成,然后将旧的服务器的AD卸载掉旧OK了!

辅助域控及dns设置

主域控制器 https://www.360docs.net/doc/158807945.html,+DNS 操作系统：Microsoft Windows Server 2003 网卡信息：IP：192.168.1.10/24 首选DNS：192.168.1.10 备用DNS：192.168.1.11 额外域控制器 https://www.360docs.net/doc/158807945.html,+DNS 操作系统：Microsoft Windows Server 2003 网卡信息：IP：192.168.1.11/24 首选DNS：192.168.1.11 备用DNS：192.168.1.10 安装步骤： 1 安装前，额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成，额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。一、额外域控制器安装及相关设置在做额外域控的机器上运行DCPROMO，安装额外域控制器。安装完毕后，重启。 1、在dcserver主域控器DNS管理界面里 1）选中正向区域的“_https://www.360docs.net/doc/158807945.html,“，点右键属性，确认区域类型: “Active Director 集成区域”；更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2）再“名称服务器”标签中，将额外域控制器全域名及IP添加进来 3）在“区域复制”标签中，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4）依次在“https://www.360docs.net/doc/158807945.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履，在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务（升级额外域控时未配置DNS服务）安装完毕，打开DNS管理器界面（相关设定应该自动复制完毕），再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP，备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”，点选DCBAK ->NTDS右击属性，将“全局编录”打勾，点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址（可通过组策略中登陆脚本实现客户端DNS地址添加）至此，主域控与额外域控可负载均衡（应该是这么叫吧），若一个域控损坏，客户端登陆不受影响。二、主域控制器FSMO角色的迁移

WIN2008 R2 域控服务器安装过程

WINDOWS SERVER 2008 R2 域控制器安装过程有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环

境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。

实训二：windows server 2008 额外域控制器配置

实训二配置额外域控制器一、知识点：额外域控制器：如果域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD。部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory数据库。只读域控制器：RODC只能单向的从其他可读写域控制器请求信息，而不会把任何修改传送给其他可写域控制器，这样做不仅可以降低主域服务器的工作负载及监控负载的工作量，还可以提高分支机构网络的安全性，同时便于管理。二、动手实验：实验目的：利用windows server 2008搭建辅助域环境，了解辅助域控制器的作用，不仅学会安装辅助域控制器，而且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。实验内容： 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器（RODC） 3、测试辅助控制器是否搭建成功实验要求： 1、完成实训内容，并做成实验报告。实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境

（2）与主域的IP地址要互Ping的通（3）根据拓扑图要求，将额外控制器的名称改为“BDC1”

输入域https://www.360docs.net/doc/158807945.html, 点击确定（4）安装额外域控制器开始------运行---输入dcpromo

输入dcpromo 点击确定之后会弹出如下向导对话框，点击下一步在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”

下一步，输入主域名“https://www.360docs.net/doc/158807945.html,” 点击“设置”

输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.360docs.net/doc/158807945.html,”

多域控制器环境下A D灾难恢复

多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述环境分析从AD中清除主域控制器https://www.360docs.net/doc/158807945.html, 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本参考信息作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

子域控制器的安装与配置

子域控制器的安装与配置实验名称：子域控制器的安装与配置成绩：实验日期：年月日实验报告日期：年月日一、实验目的 1．掌握子域控制器的安装与配置。 2．掌握子域控制器、额外域控制器与域控制器之间的关系。二、实验环境 1、一台完成了第一台服务器的典型配置的服务器 2、一台没有任何服务器角色的Windows server 2003服务器 3、用交叉线连起来，没有任何服务器角色的Windows server 2003服务器与完成了第一台服务器的典型配置的服务器IP地址在同一个网段内，且没有任何服务器角色的Windows server 2003服务器的首选DNS服务器设置为完成了第一台服务器的典型配置服务器的IP地址三、实验内容 1、子域控制器的安装与配置四、实验步骤、过程 1、执行“开始”→“管理工具”→“配置您的服务器向导”，弹出“配置您的服务器向导”对话框。

2、单击“下一步”按钮，打开“预备步骤”对话框，按照列表一一确认预备步骤是否已经准备好； 3、单击“下一步”按钮，打开“服务器角色”对话框，表中列出的是当前计算机的服务器角色，可以为服务器添加或删除角色。选择“域控制器 (Active Directory)”，单击“下一步”；

4、出现“选择总结”对话框，单击“下一步”； 5、打开“Active Directory 安装向导”；

6、单击“下一步”按钮，出现“操作系统兼容性”对话框，显示不能与Windows server 2003系统Active Directory域控制器进行联网的Windows操作系统。 7、单击“下一步”按钮，打开“域控制器类型”对话框。在这里选择“新域的域控制器”；

域控服务器备份和恢复

域控服务器系统备份和恢复说明系统备份与恢复公司局域网中域控服务器担任DNS服务、AD服务2种角色，AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS服务，C盘镜像文件和这2个服务每7天备份一次，备份文件名称加日期，分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端）、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。系统状态是相互依赖的系统组件的集合，包括系统启动文件、系

统注册表、COM+类的注册数据库。当备份系统状态时，AD会作为其中的一部分进行备份，所以选择系统自带备份工具（ntbackup）备份系统状态来备份AD。为了安全，我们一周备份一次。 1.2、备份过程开始-运行-输入ntbackup，打开系统自带备份软件（也可以点击“开始-程序-附件-系统工具-备份”打开）。按确定，进入备份工具欢迎页面选择高级模式，进入高级模式欢迎页面：

部署Windows Server 2008 R2域控制器

部署Windows Server 2008 R2域控制器通过多年来AD在企业中的部署，技术人员几乎都知道与活动目录相关的一系列概念了，如：域、域树、域林、OU和站点，还有域控制器（DC）等。那么，对于一个AD来讲是从哪里开始实现的呢？也许有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP 属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。

AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法

AD 域DNS 分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS 集成安装，而且集成安装的方法好处有：使DNS 也得到AD 的安全保护，DNS 的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS 服务器，并且即将安装的DC 控制器负载预计会很重，如果觉得DC 本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。这里我们设计的环境是一台DNS 服务器（DNS-srv ）+主域控制器（AD-zhu ）+额外域控制器（AD-fu 点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。（其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址） huanjing.png 对于DC 和DNS 分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话，需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录，Cname 记录，NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤： 1.DNS 服务器的安装； 2.DC 主控制器的安装； 3.DC 额外控制器的安装。接下来我们分步实现······ 为了更加了解DC 和DNS 的关系，安装前请先参阅：(v=ws.10) 安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。Active https://www.360docs.net/doc/158807945.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30

主域控制器损坏后

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果.. 其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明： ....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！ AD、DC说明： .域名：https://www.360docs.net/doc/158807945.html, ..主域：DC-ISA-NLB-1 ..副域：DC-ISA-NLB-2 .系统：2003企业版故障情况：（真实环境跑完全过程..） ..主域崩溃，副域无法正常工作，如： ....无法浏览https://www.360docs.net/doc/158807945.html, 中 Active Directory用户和计算机，提示无法连接错误； ....AD管理项目均报错，组策略.....等； ....域用户无法登录；解决方法：（以上是在副域上操作） ..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录； ..使用命令：ntdsutil.....AD工具 ..过程：（大概6-8分钟） . 登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。建議您登入要指派FSMO 角色的網域控制站。登入的使用者必須是要傳輸架構主機，或網域命名主機角色的企業系統管理員群組成員；或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色，其所在網域的網域系統管理員群組之成員。 . 按一下[開始]，按一下[執行]，在[開啟]方塊中輸入ntdsutil，然後按一下[確定]。. 輸入roles，再按下ENTER。 . 輸入connections，再按下ENTER。 . 輸入connect to server servername，然後按ENTER，其中servername是您要指派FSMO 角色的網域控制站之名稱。 . 在server connections提示字元中輸入q，然後按下ENTER。 . 輸入seize role，其中role是您要抓取的角色。如需可以抓取的角色之清單，請在fsmo main tenance提示字元中輸入?，然後按下ENTER；或直接查看本文件開頭所列的角色清單。例如，如果要抓取RID 主機角色，請輸入seize rid master。唯一的例外是PDC 模擬器角色，該角色的語法是

如何设置域控制器(图文介绍)

目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:

然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

安装部署域控制器

安装部署域控制器本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件，并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面，因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统，则同样可以完成加域操作，并和有盘系统一样接受活动目录（ActiveDirectory）的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录（ActiveDirectory）？活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问，管理和控制，这个数据库叫做活动目录数据库。 b)关于目录与目录服务要想理解什么是活动目录（ActiveDirectory），必须先理解什么是目录（Directory）和目录服务（DirectoryService）。在计算机中使用的“目录”和现实生活中使用的“目录”很相似，都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码，还可能包括关于该用户的的地址或其他信息。目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源，使用户和应用程序能够访问这些资源，并将这些资源集中存储，使用和管理这些资源的全部信息，因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务？域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器（DomainControler）就是安装了活动目录服务的一台计算机，简称DC。在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步，或者复制这样一种更新。 2.创建活动目录服务——部署域控制器域控制器，DomainController，是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务，域控的安装部署以及管理至关重要。部署网络中的第一台域控制器实验环境

主域控制器系统安装及域配置

主域控制器系统安装及配置一、W2K Server安装（请参考《Windwos 2000 Advanced Server安装手册》）注意事项： 1、将W2K Ad Server安装盘放入光驱，安装光盘自动检测运行。 2、创建C盘，空间建议在10G左右，用NTFS格式（如果已装过系统，建议重新分区） 3、每服务器同时连接数字，建议输入999，（或者根据网络站点情况输入相应站点） 4、输入规划的计算机名：DBSERVER 5、在选择安装程序组件中，去掉IIS 6、正常安装系统 7、系统安装完毕后，启动进入系统，放入服务器导航盘安装驱动，把有问号的设备全部重新安装驱动程序，详见下图

8、进入W2K Server 界面，装SP4，装完重启 9、配置IP地址，第一个域控不用设DNS，默认为127.0.0.1，以后配置的域控DNS指向第一个域控二、服务器配置在服务器配置选项中，选择“网络中已有一个或多个服务器在运行”，见下图

三、Active Directory和 DNS安装确定操作系统安装完全、网卡驱动安装正确、IP设置正确、网络已有连接后，才可以开始Active Directory和 DNS安装在服务器配置中，点击Active Directory，选择启动，见下图 DBSERVER作为全网第一个域控，因此采用如下方法进行配置：

1、选择新的域控制器 2、创建一个新的域目录树 3、创建一个新的域目录林

4、输入新域的DNS全名，如 https://www.360docs.net/doc/158807945.html, 5、输入新域的NetBIOS名，如 sztv 6、数据库与日志位置，选择默认 7、sysvol文件夹位置，选择默认

Windows Server 2003环境下域控制器挂掉后的处理步骤

Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器，如果没有，还是老老实实地去做全盘备份和恢复吧。实验环境： ●域名：https://www.360docs.net/doc/158807945.html, ●第一台域控制器： ?计算机名：https://www.360docs.net/doc/158807945.html, ?IP：192.168.5.1 ?子网掩码：255.255.255.0 ?DNS：192.168.5.1 ?并且FSMO五种角色及GC全部在第一台域控上。 ●第二台域控制器： ?计算机名：https://www.360docs.net/doc/158807945.html, ?IP：192.168.5.2 ?子网掩码：255.255.255.0 ?DNS：192.168.5.2 灾难情况第一台域控制器由于硬件原因，导致无法启动。客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了。

操作目的让第二台额外域控制器来接替第一台的工作，也就是说把FSMO和GC全部转移到额外域控制器上来。操作步骤首先，要把第一台域控制器的所有信息从活动目录里面删除。点击“开始-运行”，输入：“cmd”并回车，在命令提示符下输入：“ntdsutil”，然后回车。选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令：显示一下Site中的域：结果找到两个，其中“1”是我建的子域，所以这里要先择“0”：

通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。所以这里要选择“0”：选中后，按“q”退出到上一层菜单：接下去删除服务器信息，出现提示后点是。在上图中点击“是”：

域服务器的配置(详尽版)

域服务器的配置与实现（Windows Server2003）法一： 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器（默认） 2、域控制器设置法二：一、域服务器的配置： 1.步骤： 1.0：计算机必须安装TCP/IP协议且IP地址最好为静态IP地址，配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址，如下图：

1.1：点击开始?运行cmd，输入dcpromo命令，运行，出现【Acrive Directory安装向导】对话框； 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框： 1.2.1域控制类型：

选中【新域的域控制器】，下一步。 1.2.2创建一个新域：选中【在新林中的域】，下一步。

1.2.3新的域名：指定新域的DNS名称，一般应为公用的DNS域名，也可是部网使用的专用域名。例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左

侧的名称，也可指定不同的名称。下一步。 1.2.5志文件文件夹：默认指定这两种文件的文件夹位置，保留默认值即可。下一步。 1.2.6共享的系统卷：默认

指定存储域公用文件的文件夹，保持默认即可。下一步。 1.2.7DNS注册诊断提示建立DNS服务器。因为我们此前没有安装配置过DNS，所以诊断失败。这不是问题，我们让它自动安装配置。选中第2个，下一步。 1.2.8权限：默认

图解WINDOWS SERVER 2008 R2 域控制器安装过程

图解WINDOWS SERVER 2008 R2 域控制器安装过程有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC 时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络

环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。

windows域控制器配置教程

域控制服务器教程把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

WINdows server 2008 R2 Active Directory 部署域控制器

【WIN08R2 Active Directory】之一部署企业中第一台Windows Server 2008 R2域控制器【WIN08R2 Active Directory】之一部署企业中第一台Windows Server 2008 R2域控制器作者：刘力科日期：2010-05-27 前言对于活动目录（AD）来讲，从Windows 2000到现在有非常多的文章在对其进行探讨，微软公司每推出一代新的Windows系统，这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此，以最新Windows Server 2008 R2（以后简称WIN08R2）系统为例，从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完！ ——胖哥通过多年来AD在企业中的部署，技术人员几乎都知道与活动目录相关的一系列概念了，如：域、域树、域林、OU和站点，还有域控制器（DC）等。那么，对于一个AD来讲是从哪里开始实现的呢？也许有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP 地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册目录安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件：硬件需求硬件需求处理器最低：1.4 GHz（x64处理器）注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。内存最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版）可用磁盘空间最低：32 GB或以上基础版：10 GB或以上注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。显示器 VGA（800 × 600）或更高分辨率的显示器其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备）软件需求软件需求安装权限安装着必须具有本地管理员权限操作系统操作系统必须满足条件（除web版以外）文件系统本地磁盘至少有一个分区是NTFS文件系统 IP设置有TCP/IP设置 DNS设置有DNS服务器的支持磁盘空间有足够的可用磁盘空间

域控制器证书配置

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置 1．安装DNS服务器。首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。在此不再赘述。 2．配置AD。安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：

选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“https://www.360docs.net/doc/158807945.html,”，特别提示，一定要有后缀”.com”且不能和计算机重名）。然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：

输入还原模式密码，。点击“下一步”，剩下的就是等win 自动安装完成就可以了。然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。二．证书服务器的配制 1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即https://www.360docs.net/doc/158807945.html,中。 2．安装IIS。点击“配置你的服务器向导”，安装IIS 服务器。以上两步皆为常规配制，在此不再赘述。 3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，

选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：

域控制器备份与恢复

域控制器活动目录之备份与恢复作者：IT专家网论坛出处：IT专家网论坛2007-06-20 10:53 大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦…… 大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:

点击我用箭头指出的“高级模式”: 再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:

在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目: 在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里，我为了节省时间，就仅仅备份一下系统数据了:

额外域控制器及dns

安装步骤： 1 安装前，额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成，额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。一、额外域控制器安装及相关设置在做额外域控的机器上运行DCPROMO，安装额外域控制器。安装完毕后，重启。 1、在dcserver主域控器DNS管理界面里 1）选中正向区域的“_https://www.360docs.net/doc/158807945.html,“，点右键属性，确认区域类型: “Active Director 集成区域”；更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2）再“名称服务器”标签中，将额外域控制器全域名及IP添加进来 3）在“区域复制”标签中，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4）依次在“https://www.360docs.net/doc/158807945.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履，在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务（升级额外域控时未配置DNS服务）安装完毕，打开DNS管理器界面（相关设定应该自动复制完毕），再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP，备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”，点选DCBAK ->NTDS右击属性，将“全局编录”打勾，点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址（可通过组策略中登陆脚本实现客户端DNS地址添加）至此，主域控与额外域控可负载均衡（应该是这么叫吧），若一个域控损坏，客户端登陆不受影响。二、主域控制器FSMO角色的迁移目的：若当前主域控制器在线，且因性能不佳或需更换硬件，为了不影响exchange server 正常使用，需要将主域控制器FSMO迁移至额外域控制器. 1、Active Directory 定义了5 种FSMO 角色：架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色（RID 主机、PDC 模拟器和结构主机）是每个域都具有的角色。查询FSMO角色所属域控制器方法： a. 安装netdom工具，在windows 2003安装盘-〉support目录->tools目录下，安装完毕重启机器。 b.在命令行中输入netdom query fsmo，查询当前5种fsmo所属域控制器： chema owner https://www.360docs.net/doc/158807945.html, Domain role owner https://www.360docs.net/doc/158807945.html, PDC role https://www.360docs.net/doc/158807945.html, RID pool manager https://www.360docs.net/doc/158807945.html, Infrastructure owner https://www.360docs.net/doc/158807945.html,