最全面的额外域控制升级为主域控制器实验方法

额外域控制升级为主域控制器实验

一、实验环境：域名为https://www.360docs.net/doc/8614893954.html,

二、实验目的：

在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD。

三、以下介绍三种额外域提升为主域方法

(一)当主域正常运行时,如何将额外域控制器提升为主域控制器（命令行界面）

(二)当主域正常运行时,如何将额外域控制器提升为主域控制器（图形化界面）

(三)当主域永久DOWN机时，如何将额外的域控制器提升为主域控制器（抢夺角色）

四、实验步骤：

(一)当主域正常运行时,如何将额外域控制器提升为主域控制器（命令行界面）

1. 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装

DNS

组件。在第一台域控制安装好后

下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS 跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2. 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.

3. 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。如图

4. 这里输入你的域管理员的用户名和密码，点【下一步】。如图：

5. 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：

6. 几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了https://www.360docs.net/doc/8614893954.html,域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图：

7. 再查看一下FSMO（五种主控角色）的owner，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，如图：

重点环节

8. 现在五个角色的woner 都是PDC，现在需要把这个五个角色转移到BDC上，使BDC成为owner。

9. 现在登陆PDC（主域控制器）打开命令提示符，输入ntdsutil;及ntdsutil ?查看相关的命令；因为要更改角色的所有者，所以运行roles命令

10. 命令提示符下再输入:roles 回车，输入connections 回车，再输入connect to server BDC （备注：这里的BDC是额外指服务器名称），提示绑定成功后，输入q退出，如图：

11. 命令提示符下输入？号，可以查看到通过使用Transfer命令做相关的5个角色的传递

12. 然后分别输入：

Transfer infrastructure master回车

Transfer naming master 回车

Transfer PDC 回车

Transfer RID master 回车

Transfer schema master 回车

13. 以下的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，如图：然后接着一条一条完成既可，完成以上按Q退出界面。

14. 这五个步骤完成以后，检查一下是否全部转移到BDC上了，开始－>程序->运行->命令提示符下输入netdom query fsmo 如图:现在五个角色的owner都是BDC转移成功。

15. 角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。展开BDC，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾，点确定，如图：16. 然后展开PDC，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。如图：这样全局编录也转到BDC上去了，致此主域控制器已经变成BDC了。而PDC就成了辅助域控制器了

17. 现在已经可以把原来的主域控制器（PDC）删除掉了，在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNS都是指向原来的主域控制器的，这样就会出现很多找不到域控制器的问题，，所以我最简单的方法就是把BDC（现在的主域控制器）的IP改为PDC（原来的主域控制器）的IP就好了。

注：2003系统和2008R2系统安装AD域控制器和提升角色方法都一样,唯一不同的是2008R系统提升角色时不需要操作第15-16步骤，主域正常启动时与额外域处于转移角色关系,netdom query fsmo查看角色转移成功后GC和上全局编录已自动更新为额外域无需在手动去操作。

(命令行方式提升角色方法结束)♂

(二)当主域正常运行时,如何将额外域控制器提升为主域控制器（图形化界面）

1. 一种图形界面，一种命令行；有两种有什么区别么呢,用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，命令稍带优势；在操作fsmo角色传递时图形界面会报错,而通过命令操作一下就过了,大家把两个方式务必记住。详细实例见下：

2. 额外域运行“regsvr32.exe schmmgmt.dll”来注册动态链接库，由于架构主机重要特殊，并没有预先设置的工具，所以必须通过注册动态链接库来打开。

3. 运行MMC工具打开控制台来添加Active directory 架构窗口

4. 右击Active Directory---更改域控制器---操作主机---更改---确定

5. RID主机角色的传递：运行dsa.msc打开窗口，右击Active Dirctory选择操作主机，选择RID标签单机更改然后确定

6. PDC主机角色的传递：选择PDC标签单机更改然后确定

7. 基础结构主机角色的传递：选择基础结构标签更改然后确定

8. 域命名主机的传递：运行domain.msc窗口，右击Active Dirctory选择操作主机，选择更改然后确定

(图形化界面方式提升角色方法结束)♂

(三)当主域永久DOWN机时，如何将额外的域控制器提升为主域控制器（抢夺角色）

1..前面写的是在PDC（主域）还生效的情况下进行BDC（额外域）升PDC（主域）步骤,而如果主域出现了问题时呢, 比如说PDC的硬件出问题了或者系统坏了的情况下我们就要提升BDC为PDC了,下面来讲解在PDC出现故障后BDC如何提升为PDC

2.. 额外域BDC上打开AD用户和计算机，右击Active Dirctory选择操作主机，此时在操作主机项显示的是错误不能使用“更改”按钮，因此需要把BDC更改为操作主机使用命令行模式进行强制夺取。

重点环节

3..在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图♂

可以看到当前五个角色的owner还是PDC，下面就开始强制夺取吧。

4..下面我们就通过运行命令：ntdsutil tools强制将fsmo角色传递到DCB（额外域控制器）上

首先在DCB上打开命令提示符，输入ntdsutil;及ntdsutil ?查看相关的命令

5..看到关于ntdsutil的很多命令，使用管理NTDS橘色所有者的令牌，因为要将DCA上得角色传递到DCB上面，所以通过运行roles命令进行相关的操作,输入roles命令后再次敲打？号查看有哪些相关的操作。

6..我们通过？号查看到很多得先关命令，我们这会明白，首先要通过connetions命令连接到

我的DCB server上，然后再通过命令强制将角色传递到该服务器。

7..命令提示符下输入connections 回车，再输入connect to server BDC （备注：这里的BDC是额外指服务器名称），提示绑定成功后，输入q退出，如图：

8..输入?号,来查看相关的操作命令,之前用了Transger进行fsmo的角色传递；下面需要使用Seize命令来执行fsmo的角色传递强制夺取,前提是两个域控制器之间完全没有通信。

9..分别输入：

Seize infrastructure master 回车 Seize naming master 回车

Seize PDC回车Seize RID master回车Seize schema master回车

10..以下的命令在接下来输入完成后都会出现确认要占用角色，选择是，然后接着一条一条完成既可，因为主域PDC不在线，结构角色会夺取到BDC上所以在夺取时会有这个出错信息。如图：

11..以上命令全部完成以后，已将fsmo角色全部传递到BDC上了，我们按Q退出，检查一下是否全部抢夺成功，开始－>程序->运行->输入netdom query fsmo,如图:现在五个角色的owner都是BDC了

12..还要把全局编录转移到BDC上，这些步骤和上面的操作方法一样的就我这里就不在写了。

(抢夺角色方法结束)♂

五、FSMO角色介绍：

1 …架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

2 …域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。

3 …RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

4 …结构主机 (Infrastructure master)－结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用,用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

5 …PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

六、AD数据库出错解决方法:

现在我们删除已损坏DC的信息，对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示

解决办法：

以下内容来自微软KB216498; https://www.360docs.net/doc/8614893954.html,/kb/216498/

域控制器降级失败后如何删除 Active Directory 中的数据

本文介绍在域控制器降级失败后，如何删除 Active Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端，并且不恰当地修改了 Active Directory 对象的属性，则可能造成严重问题。要解决这些问题，您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows 和 Exchange 二者都需要重新安装。Microsoft 不保证能够解决因为 Active Directory 对象属性修改不当而导致的问题。修改这些属性需要您自担风险。

Active Directory 安装向导 (Dcpromo.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

该信息位于 Active Directory 中的以下位置：

CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=...

“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。

如果未正确删除“NTDS 设置”对象（例如，未从降级尝试中正确删除“NTDS 设置”对象），管理员可以使用 Ntdsutil.exe 实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个 Ntdsutil 菜单上，管理员可以键入 help 以了解有关可用选项的更多信息。

回到顶端

Windows Server 2003 Service Pack 1 (SP1) - Ntdsutil.exe 的增强版本

Windows Server 2003 Service Pack 1 中包含的 Ntdsutil.exe 版本已经过增强，可使元数据清除过程更加彻底。在运行元数据清除时，SP1 中包含的 Ntdsutil.exe 将执行下列操作：

删除“NTDSA 设置”或“NTDS 设置”主题。

删除现有目标 DC 用于从要删除的源 DC 复制数据的入站 AD 连接对象。

删除计算机帐户。

删除 FRS 成员对象。

删除 FRS 订阅者对象。

尝试获取由要删除的 DC 所拥有的灵活单操作主机角色（又称为灵活单主机操作或 FSMO）。

警告：在手动删除任何服务器的“NTDS 设置”对象之前，管理员还必须确保在降级之后已进行了复制。Ntdsutil 实用工具使用不当可能导致 Active Directory 功能部分或全部丧失。

回到顶端

过程 1：仅限 Windows Server 2003 SP1

单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

在命令提示符处，键入 ntdsutil，然后按 Enter。

键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds DomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。

键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息：

错误 2094。不能删除 DSA 对象。0x2094

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 select operation target，然后按 Enter。

键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

键入 select domain number，然后按 Enter；其中number是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。

键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。

键入 select site number，然后按 Enter；其中number是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。

键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。键入 select server number，其中number是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 remove selected server，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息，则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 DCPROMO 实用工具成功删除该对象后又执行了一次此操作。

错误 8419 (0x20E3)

找不到 DSA 对象

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。

键入 quit，然后在每个菜单上按 Enter，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。

在 DNS 的 _msdcs.<目录林的根域> 区域中删除 cname 记录。假定要重新安装并重新提升 DC，将创建一个新的“NTDS 设置”对象，它将具有新的 GUID 并在 DNS 中拥有一个匹配的 cname 记录。您不希望现有 DC 使用旧的 cname 记录。

最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。

在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录，请右键单击 A 记录，然后单击“删除”。另外，请删除 _msdcs 容器中的 cname 记录。为此，请展开“_msdcs”容器，右键单击“cname”，然后单击“删除”。

重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡下删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下单击该域名，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。

如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，键入 adsiedit.msc，然后单击“确定”。

展开“域NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

右键单击“Trust Domain”对象，然后单击“删除”。

使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：

启动“Active Directory 站点和服务”。

展开“站点”。

展开服务器的站点。默认站点为“Default-First-Site-Name”。

展开“服务器”。

右键单击域控制器，然后单击“删除”。

回到顶端

过程 2：Windows 2000（所有版本）、Windows Server 2003 RTM

单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

在命令提示符处，键入 ntdsutil，然后按 Enter。

键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，则可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds DomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息：

错误 2094。不能删除 DSA 对象。0x2094

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 select operation target，然后按 Enter。

键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

键入 list sites，然后按 Enter。将显示一个站点列表，每个站点都有一个关联的编号。

键入 select site number，然后按 Enter；其中number是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。

键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。键入 select server number，其中number是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服

务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 remove selected server，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息：

错误 8419 (0x20E3)

找不到 DSA 对象

则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 Dcpromo 实用工具成功删除该对象后又执行了一次此操作。

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。

在每个菜单中键入 quit，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。

既然“NTDS 设置”对象已删除，因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname（或别名）记录、DNS 中的 A（或主机）记录、已删除的子域的 trustDomain 对象以及域控制器。

注意：在 Windows Server 2003 RTM 中不需要手动删除 FRS 成员对象，因为在您运行 Ntdsutil.exe 实用工具时，它已经删除了 FRS 成员对象。另外，如果 DC 的计算机帐户包含其他页对象，则无法删除该计算机帐户的元数据。例如，DC 上可能安装了远程安装服务 (RIS)。

Windows 2000 Server 和 Windows Server 2003 的 Windows 支持工具功能中都附带有 Adsiedit 实用工具。要安装 Windows 支持工具，请按照下列步骤操作：

Windows 2000 Server：在 Windows 2000 Server CD 上，打开 Support\Tools 文件夹，双击“Setup.exe”，然后按照屏幕上的说明操作。

Windows Server 2003：在 Windows Server 2003 CD 上，打开 Support\Tools 文件夹，双击“Suptools.msi”，单击“安装”，然后按照 Windows 支持工具安装向导中的步骤操作以完成安装。

使用 ADSIEdit 删除计算机帐户。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。

展开“域NC”容器。

展开“DC=<您的域名>, DC=COM, PRI, LOCAL, NET”。

展开“OU=Domain Controllers”。

右键单击“CN=<域控制器名>”，然后单击“删除”。

如果在试图删除 DSA 对象时出现“不能删除 DSA 对象”错误消息，请更改 UserAccountControl 值。要更改UserAccountControl 值，请在 ADSIEdit 中右键单击该域控制器，然后单击“属性”。在“选择一个要查看的属性”下，单击“UserAccountControl”。单击“清除”，将该值更改为 4096，然后单击“设置”。现在您可以删除该对象了。

注意：删除计算机对象时，也将删除 FRS 订阅者对象，因为它是计算机帐户的子对象。

使用 ADSIEdit 删除 FRS 成员对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。

展开“域NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

展开“CN=File Replication Service”。

展开“CN=Domain System Volume (SYSVOL share)”。

右键单击要删除的域控制器，然后单击“删除”。

在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录，请右键单击 A 记录，然后单击“删除”。还要删除“_msdcs”容器中的 cname（也称为“别名”）记录。为此，请展开“_msdcs”容器，右键单击 cname，然后单击“删除”。

重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡中删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下右键单击该域名，单击“属性”，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。

如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入 adsiedit.msc，然后单击“确定”。

展开“域NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

右键单击“Trust Domain”对象，然后单击“删除”。

使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：

启动“Active Directory 站点和服务”。

展开“站点”。

展开服务器的站点。默认站点为“Default-First-Site-Name”。

展开“服务器”。

右键单击域控制器，然后单击“删除”。

Ntdsutil.exe SP1 版本中的高级可选语法

Windows Server 2003 SP1 引入了新的可用语法。通过使用新语法，不再需要绑定到 DS 以及选择操作目标。要使用新语法，您必须知道或获取要降级的服务器的“NTDS 设置”对象的 DN。若要为元数据清除使用新的语法，请按照下列步骤操作：运行 ntdsutil。

切换到清除元数据提示符。

运行以下命令

remove selected server <配置容器中的服务器对象的 DN>

下面给出了此命令的一个示例。

注意：下面的示例仅为一行，只是此处已经过换行。

Remove selected server

cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=

如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，键入 adsiedit.msc，然后单击“确定”。

展开“域NC”容器。

展开“DC=<您的域名>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

右键单击“Trust Domain”对象，然后单击“删除”。

使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：

启动“Active Directory 站点和服务”。

展开“站点”。

展开服务器的站点。默认站点为“Default-First-Site-Name”。展开“服务器”。

右键单击域控制器，然后单击“删除”。

辅助域控及dns设置

主域控制器 https://www.360docs.net/doc/8614893954.html,+DNS 操作系统：Microsoft Windows Server 2003 网卡信息：IP：192.168.1.10/24 首选DNS：192.168.1.10 备用DNS：192.168.1.11 额外域控制器 https://www.360docs.net/doc/8614893954.html,+DNS 操作系统：Microsoft Windows Server 2003 网卡信息：IP：192.168.1.11/24 首选DNS：192.168.1.11 备用DNS：192.168.1.10 安装步骤： 1 安装前，额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成，额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。一、额外域控制器安装及相关设置在做额外域控的机器上运行DCPROMO，安装额外域控制器。安装完毕后，重启。 1、在dcserver主域控器DNS管理界面里 1）选中正向区域的“_https://www.360docs.net/doc/8614893954.html,“，点右键属性，确认区域类型: “Active Director 集成区域”；更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2）再“名称服务器”标签中，将额外域控制器全域名及IP添加进来 3）在“区域复制”标签中，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4）依次在“https://www.360docs.net/doc/8614893954.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履，在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务（升级额外域控时未配置DNS服务）安装完毕，打开DNS管理器界面（相关设定应该自动复制完毕），再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP，备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”，点选DCBAK ->NTDS右击属性，将“全局编录”打勾，点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址（可通过组策略中登陆脚本实现客户端DNS地址添加）至此，主域控与额外域控可负载均衡（应该是这么叫吧），若一个域控损坏，客户端登陆不受影响。二、主域控制器FSMO角色的迁移

实训二：windows server 2008 额外域控制器配置

实训二配置额外域控制器一、知识点：额外域控制器：如果域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD。部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory数据库。只读域控制器：RODC只能单向的从其他可读写域控制器请求信息，而不会把任何修改传送给其他可写域控制器，这样做不仅可以降低主域服务器的工作负载及监控负载的工作量，还可以提高分支机构网络的安全性，同时便于管理。二、动手实验：实验目的：利用windows server 2008搭建辅助域环境，了解辅助域控制器的作用，不仅学会安装辅助域控制器，而且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。实验内容： 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器（RODC） 3、测试辅助控制器是否搭建成功实验要求： 1、完成实训内容，并做成实验报告。实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境

（2）与主域的IP地址要互Ping的通（3）根据拓扑图要求，将额外控制器的名称改为“BDC1”

输入域https://www.360docs.net/doc/8614893954.html, 点击确定（4）安装额外域控制器开始------运行---输入dcpromo

输入dcpromo 点击确定之后会弹出如下向导对话框，点击下一步在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”

下一步，输入主域名“https://www.360docs.net/doc/8614893954.html,” 点击“设置”

输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.360docs.net/doc/8614893954.html,”

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

WnowServer R 创建D域详细教程

Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。环境网络子网掩码网关域名创建域的必备条件 DNS域名：先要想好一个符合dns格式的域名，如 DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。创建网络中的第一台域控制器修改机器名和ip 先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。选择林功能级别，域功能级别。、此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称，可以更改。不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信数据库文件夹：用了存储AD数据库日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用了存储域共享文件（例如组策略）

win2003额外域控制器升级为主域控制器

win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签：控制器 win2003额外域控制器升级为主域控制器公司https://www.360docs.net/doc/8614893954.html,（虚拟）有一台主域控制器https://www.360docs.net/doc/8614893954.html,，还有一台额外域控制器https://www.360docs.net/doc/8614893954.html,。现主域控制器（https://www.360docs.net/doc/8614893954.html,）由于硬件故障突然损坏，事先又没有https://www.360docs.net/doc/8614893954.html,的系统状态备份，没办法通过备份修复主域控制器（https://www.360docs.net/doc/8614893954.html,），我们怎么让额外域控制器（https://www.360docs.net/doc/8614893954.html,）替代主域控制器，使Activate Directory 继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.360docs.net/doc/8614893954.html,对象 3.1在额外域控制器(https://www.360docs.net/doc/8614893954.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.360docs.net/doc/8614893954.html,)从ＡＤ中删除； c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.360docs.net/doc/8614893954.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)

如何建立域

如何建立域下面是一篇是如何建立域，如何加入域的分配域成员的教程，希望对大家有所帮助。目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

如图1 向下搬运右边的滚动条，找到“网络服务”，选中: 如图2

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 如图3 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”: 这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

额外域控制升级为主域控制器

额外域控制升级为主域控制器（一）额外域控制升级为主域控制器（一）一、实验环境：域名为test. 1、原主域控制器 System: windows 20003 Server FQDN: PDC.test. IP：192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、辅助域控制器 System: windows 2003 Server FQDN：BDC.test. IP： 192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、Exchange 2003 Server FQDN:mail.test. IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1 也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。三、实验步骤 1、安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装 DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

域控制器建立完整教程

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】

[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”

AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法

AD 域DNS 分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS 集成安装，而且集成安装的方法好处有：使DNS 也得到AD 的安全保护，DNS 的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS 服务器，并且即将安装的DC 控制器负载预计会很重，如果觉得DC 本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。这里我们设计的环境是一台DNS 服务器（DNS-srv ）+主域控制器（AD-zhu ）+额外域控制器（AD-fu 点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。（其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址） huanjing.png 对于DC 和DNS 分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话，需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录，Cname 记录，NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤： 1.DNS 服务器的安装； 2.DC 主控制器的安装； 3.DC 额外控制器的安装。接下来我们分步实现······ 为了更加了解DC 和DNS 的关系，安装前请先参阅：(v=ws.10) 安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。Active https://www.360docs.net/doc/8614893954.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30

如何设置域控制器(图文介绍)

目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:

然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

最全的域控教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

将额外域控制器提升为主域控

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；

三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：https://www.360docs.net/doc/8614893954.html,）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：

在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器； 1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

域服务器的配置(详尽版)

域服务器的配置与实现（Windows Server2003）法一： 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器（默认） 2、域控制器设置法二：一、域服务器的配置： 1.步骤： 1.0：计算机必须安装TCP/IP协议且IP地址最好为静态IP地址，配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址，如下图：

1.1：点击开始?运行cmd，输入dcpromo命令，运行，出现【Acrive Directory安装向导】对话框； 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框： 1.2.1域控制类型：

选中【新域的域控制器】，下一步。 1.2.2创建一个新域：选中【在新林中的域】，下一步。

1.2.3新的域名：指定新域的DNS名称，一般应为公用的DNS域名，也可是部网使用的专用域名。例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左

侧的名称，也可指定不同的名称。下一步。 1.2.5志文件文件夹：默认指定这两种文件的文件夹位置，保留默认值即可。下一步。 1.2.6共享的系统卷：默认

指定存储域公用文件的文件夹，保持默认即可。下一步。 1.2.7DNS注册诊断提示建立DNS服务器。因为我们此前没有安装配置过DNS，所以诊断失败。这不是问题，我们让它自动安装配置。选中第2个，下一步。 1.2.8权限：默认

windows域控制器配置教程

域控制服务器教程把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

主域控制器系统安装及域配置

主域控制器系统安装及配置一、W2K Server安装（请参考《Windwos 2000 Advanced Server安装手册》）注意事项： 1、将W2K Ad Server安装盘放入光驱，安装光盘自动检测运行。 2、创建C盘，空间建议在10G左右，用NTFS格式（如果已装过系统，建议重新分区） 3、每服务器同时连接数字，建议输入999，（或者根据网络站点情况输入相应站点） 4、输入规划的计算机名：DBSERVER 5、在选择安装程序组件中，去掉IIS 6、正常安装系统 7、系统安装完毕后，启动进入系统，放入服务器导航盘安装驱动，把有问号的设备全部重新安装驱动程序，详见下图

8、进入W2K Server 界面，装SP4，装完重启 9、配置IP地址，第一个域控不用设DNS，默认为127.0.0.1，以后配置的域控DNS指向第一个域控二、服务器配置在服务器配置选项中，选择“网络中已有一个或多个服务器在运行”，见下图

三、Active Directory和 DNS安装确定操作系统安装完全、网卡驱动安装正确、IP设置正确、网络已有连接后，才可以开始Active Directory和 DNS安装在服务器配置中，点击Active Directory，选择启动，见下图 DBSERVER作为全网第一个域控，因此采用如下方法进行配置：

1、选择新的域控制器 2、创建一个新的域目录树 3、创建一个新的域目录林

4、输入新域的DNS全名，如 https://www.360docs.net/doc/8614893954.html, 5、输入新域的NetBIOS名，如 sztv 6、数据库与日志位置，选择默认 7、sysvol文件夹位置，选择默认

域控制器建立完整教程

[中国网管联盟群：50873277] [制作人：NET] [群邮件：116368070@https://www.360docs.net/doc/8614893954.html,] [群口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法

实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。接下来我们分步实现······ 为了更加了解DC和DNS的关系，安装前请先参阅：安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。Active Directory 将 DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的 IP 地址。在 Active Directory 安装期间，在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录，这些记录是域控制器定位程序 (Locator) 机制功能成功实现所必需的。要在域或林中查找域控制器，客户端将在 DNS 中查询域控制器的 SRV 和 A DNS 资源记录，这些资源记录为客户端提供域控制器的名称和 IP 地址。在这种环境中，SRV 和 A 资源记录被称为定位程序 DNS 资源记录。(这里说明需要DNS支持) 向林中添加域控制器时，将使用定位程序 DNS 资源记录更新 DNS 服务器上主持的 DNS 区域，同时标识域控制器。为此，DNS 区域必须允许动态更新 (RFC 2136)，同时，主持该区域的 DNS 服务器必须支持 SRV 资源记录 (RFC 2782) 才能公布 Active Directory 目录服务。（这在安装DNS过程中是需要注意的一点）如果主持权威 DNS 区域的 DNS 服务器不是运行 Windows 2000 或 Windows Server 2003 的服务器，请与您的 DNS 管理员联系，确定该 DNS 服务器是否支持所需的标准。如果服务器不支持所需标准，或者权威 DNS 区域不能被配置为允许动态更新，则需要对现有DNS 结构进行修改。（这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”，这在接下来会提到）要点用来支持 Active Directory 的 DNS 服务器必须支持 SRV 资源记录，定位器机制才能

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册目录安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件：硬件需求硬件需求处理器最低：1.4 GHz（x64处理器）注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。内存最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版）可用磁盘空间最低：32 GB或以上基础版：10 GB或以上注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。显示器 VGA（800 × 600）或更高分辨率的显示器其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备）软件需求软件需求安装权限安装着必须具有本地管理员权限操作系统操作系统必须满足条件（除web版以外）文件系统本地磁盘至少有一个分区是NTFS文件系统 IP设置有TCP/IP设置 DNS设置有DNS服务器的支持磁盘空间有足够的可用磁盘空间

怎样建立额外域控制器

两台win2k server,配置如下 1：计算机名：server1 IP: 192.168.0.1 2: 计算机名：server2 IP: 192.168.0.2 －－－－－－－－－－－－－－－－－－－－－－－－情况一：单域，单域控制器－－－－－－－－－－－－－－目标：将server1做成域控制器，域名为https://www.360docs.net/doc/8614893954.html,，server2作为member server AD需要DNS的支持，DNS可以在安装AD的前中后装，建议在AD安装之前装，并手动配置 (1A) 安装DNS(server1上) 1:安装DNS服务。（如果是给forestroot做DNS，建议先将机器上原来的DNS卸干净，包括system32下DNS目录也删掉。再安装服务） 2：创建forward lookup zone,为https://www.360docs.net/doc/8614893954.html,。reverse lookup zone填网络号192.168.0 3：设置两个zone允许dynamic update 4：在本地连接中将DNS地址指向192.168.0.1 5:设置primary dns suffix为https://www.360docs.net/doc/8614893954.html, 6：按照提示，restart，建议一定重起。 7: 重起后发现https://www.360docs.net/doc/8614893954.html,中有server1的A记录，说明一切正常。反向zone中有ptr记录 (需要注意的是，域名第一片和计算机名不要一样，如果在计算机abc上不要做https://www.360docs.net/doc/8614893954.html,，否则默认情况下domain的netbios名和计算机的netbios名会一样) (1B) 按照正常情况Dcpromo，选择安装成新域的域控制器，新树，新森林。

安装过程中应不会提示任何诸如“DNS找不到”的信息，这就正常了。装完AD后看看DNS的的https://www.360docs.net/doc/8614893954.html,内是否有放置SRV记录的四个目录，目录名为TCP,UDP,MSDCS,Sites。如果一个也没有，重新启动Net logon服务，如果还是没有，那装得有问题。一般应该都是正常的。同时查看事件查看器中是否有任何关于directory service的错误日志。 (1C) 将server2设置成member server 在server2上将dns指向server1，修改primary dns suffix为https://www.360docs.net/doc/8614893954.html,，重起，然后将server2加入domian，在server1上打开ad user andcomputer，其中computer容器内可以看到server2的计算机帐号。DNS中也会有server2的A记录。查看事件查看器，确保无任何不良记录。－－－－－－－－－－－－－－－－情况2，单域，两个域控制器－－－－－－－－－目标：server1作为第一台域控制器，server2作为第二台域控制器，域名https://www.360docs.net/doc/8614893954.html, server1的安装同1a，1b。对于server2。（2a） 1：安装前，此机器属于domain或者工作组没有关系。 2：将dns指向server1（192.168.0.1） 3:修改primary suffix为https://www.360docs.net/doc/8614893954.html, （suffix是可以自动改，但是手动改总是放心些） 4：重起机器，建议一定重起。 5：检查server1上的dns，在https://www.360docs.net/doc/8614893954.html,这个zone内会发现server2的a记录。如果没有，那配置有问题，可以用ipconfig/registerdns手动注册，再看有没有，如果还是没有，那就有问题了（dns没有按照1a设置好）。（2b） 1：dcpromo，启动向导 2：选择，安装成一个已经存在的域的另外一台域控制器 3：按照提示，输入身份，这个身份是enterprise admins的身份，也就是现在https://www.360docs.net/doc/8614893954.html,的administrator以及其密码 4：选择要加入的domain，这里是https://www.360docs.net/doc/8614893954.html, 5：完成其他选项

域控制器证书配置

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置 1．安装DNS服务器。首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。在此不再赘述。 2．配置AD。安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：

选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“https://www.360docs.net/doc/8614893954.html,”，特别提示，一定要有后缀”.com”且不能和计算机重名）。然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：

输入还原模式密码，。点击“下一步”，剩下的就是等win 自动安装完成就可以了。然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。二．证书服务器的配制 1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即https://www.360docs.net/doc/8614893954.html,中。 2．安装IIS。点击“配置你的服务器向导”，安装IIS 服务器。以上两步皆为常规配制，在此不再赘述。 3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，

选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：