[解决方案]AD域、DNS分离 额外域控制器安装_及主域控制器损坏解决方法
![[解决方案]AD域、DNS分离 额外域控制器安装_及主域控制器损坏解决方法](https://img.360docs.net/imgf1/1s985pfd0cp8mg509t61valik3037hef-11.webp)
![[解决方案]AD域、DNS分离 额外域控制器安装_及主域控制器损坏解决方法](https://img.360docs.net/imgf1/1s985pfd0cp8mg509t61valik3037hef-e2.webp)
AD 域DNS 分离+额外域控制器安装
及主域控制器损坏解决方法
对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址)
huanjing.png
对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤:
1.DNS 服务器的安装;
2.DC 主控制器的安装;
3.DC 额外控制器的安装。
接下来我们分步实现······
为了更加了解DC 和DNS 的关系,安装前请先参阅:
https://www.360docs.net/doc/f02291132.html,/zh-cn/library/cc739159(v=ws.10)
安装 Active Directory 的 DNS 要求
https://www.360docs.net/doc/f02291132.html, AD-zhu DC 192.168.23.20 Client-0
客户端
192.168.23.40
DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
在成员服务器上安装Active Directory 时,可将成员服务器升级为域控制器。Active Directory 将DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的IP 地址。
在Active Directory 安装期间,在DNS 中动态注册服务(SRV) 和地址(A) 资源记录,这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。
要在域或林中查找域控制器,客户端将在DNS 中查询域控制器的SRV 和A DNS 资源记录,这些资源记录为客户端提供域控制器的名称和IP 地址。在这种环境中,SRV 和A 资源记录被称为定位程序DNS 资源记录。(这里说明需要DNS支持)
向林中添加域控制器时,将使用定位程序DNS 资源记录更新DNS 服务器上主持的DNS 区域,同时标识域控制器。为此,DNS 区域必须允许动态更新(RFC 2136),同时,主持该区域的DNS 服务器必须支持SRV 资源记录(RFC 2782) 才能公布Active Directory 目录服务。(这在安装DNS过程中是需要注意的一点)
如果主持权威DNS 区域的DNS 服务器不是运行Windows 2000 或Windows Server 2003 的服务器,请与您的DNS 管理员联系,确定该DNS 服务器是否支持所需的标准。如果服务器不支持所需标准,或者权威DNS 区域不能被配置为允许动态更新,则需要对现有DNS 结构进行修改。(这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”,这在接下来会提到)
要点
用来支持Active Directory 的DNS 服务器必须支持SRV 资源记录,定位器机制才能运行。
建议安装Active Directory 之前DNS 结构应允许动态更新定位程序DNS 资源记录(SRV 和A),但是,您的DNS 管理员可以在安装后手动添加这些资源记录。
安装Active Directory 后,可在下列位置中的域控制器上找到这些记录:systemroot\System32\Config\Netlogon.dns(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”)另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”:
图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。
DNS服务器的安装
1.安装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv 服务器本身IP,默认网关可以不用填写。
DNS-setup0.png
2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,按照下边菜单选择“添加或删除应用程序”
DNS-setup1.png
3.按照下图指向,选择“域名系统(DNS)”服务,点击确定。
DNS-setup2.png
4.完成后,可在“管理工具”中看见DNS服务了。
DNS-setup3.png 5.打开DNS服务,右键选择“配置DNS服务器”。
DNS-setup4.png
6.下一步
DNS-setup5.png
7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。这里我们选择第二项,正反向解析都做一下。
DNS-setup6.png
DNS-setup7.png
DNS-setup8.png 8.区域名称就是你想要定义的域名
DNS-setup9.png
DNS-setup10.png
9.这里需要注意一下,请选择“允许非安全和安全动态更新”,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动态更新”,我将会在接下的安装中更改更新设置。(这在之前的参阅里边有提到过)
DNS-setup11.png
10.接下来创建反向解析
DNS-setup12.png
DNS-setup13.png
11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。
DNS-setup14.png
DNS-setup15.png
12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新”
DNS-setup16.png
13.在弹出的窗口中设置NDS的转发器,在转发器中输入“180.168.255.118”和“8.8.8.8(谷歌提供的DNS)”(在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进行解析,如向ISP(互联网服务提供商)的DNS服务器转发)
DNS-setup17.png
DNS-setup18.png
14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况
DNS-setup18-0.png
DNS-setup19.png
15.右键“正向查找区域”,新建主机(A记录)
DNS-setup20.png
16.名称可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针(PTR)记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析
DNS-setup21.png
17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览”以查看并指定我们需要的正向解析主机名
DNS-setup22.png
DNS-setup23.png
DNS-setup24.png
DNS-setup25.png 18.选择好了,确定
DNS-setup26.png
19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS解析的正确性
DNS-setup27.png
20.如下情况说明我们创建成功
DNS-setup28.png
21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。这在声明中也有提到过。
DNS-setup29
22.在https://www.360docs.net/doc/f02291132.html,域属性中浏览指定的SOA也就是主授权机构,名称服务器也做相应的指
定。
DNS-AD-zhu-setup1.png
DNS-AD-zhu-setup2.png
主域控挂掉后的方法
主域控挂掉后的方法.txt婚姻是键盘,太多秩序和规则;爱情是鼠标,一点就通。男人自比主机,内存最重要;女人好似显示器,一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/f02291132.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
WIN2008 R2 域控服务器安装过程
WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环
境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
实战环境下的主域控制器系统重装方案
用户环境描述: 用户现有Windows2003域控制器两台,两台域控制器上分别安装有DNS服务器,共同维护现有活动目录集成区域。 现在存在的问题和要求: 问题:用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定,现在需要对主域控制器进行重新安装系统以解决这个问题。 要求:因为域控制器上存储有大量用户帐号信息,所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产 生影响。 解决方案: 主要步骤: 1.备份现有主域控制器和备份域控制器系统 2.检查和配置活动目录集成的DNS区域 3.把GC(全局编录)移置到额外域控制器上 4.转移域里的5种角色 5.在主域控制器上运行DCPROMO删除AD,额外域控制器被提升为主域控制器 6.删除AD成功后,重新安装Windows2003,再运行DCPROMO安装AD,将该计算机配置成为本域中的额外域控制器。 7.在新安装的服务器上安装并配置DNS服务器
8.测试系统 详细步骤: 1.备份现有主域控制器和备份域控制器操作系统 1)准备一张包含GHOST8.3程序的可引导光盘 2)进入服务器BIOS更改服务器引导顺序,将光盘放在启动设备的第一位。 3)启动电脑到DOS状态 4)启动ghost,如下图,依次点击local\Partition\ToImage 5)下面是选择要备份的分区,保存的位置和文件名 选择镜像文件保存的位置 6)选择压缩压缩方式(如下图): 2.检查和配置活动目录集成的DNS区域 1)检查主域控制器DNS配置 首选DNS应该设置为辅助域控制器安装的DNS服务器 点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示: 类型:应该为“ActiveDirectory集成区域” 复制:应该为“ActiveDirectory域中的所有域控制器” 动态更新为:安全 2)检查辅助域控制器DNS配置 首选DNS应该设置为主域控制器安装的DNS服务器
升级新域控后,手动删除旧主域控服务器
添加新域控后,手动删除旧主域控制器 如何手动删除/清除遗留的DC?我有一个DC,由于硬件损坏导致系统无法正常使用,DC的名字为DC02。 我重新安装了一台新的DC,取名为DC03。 我的问题是: 1 当类似有DC损坏,我重新安装新的DC时,是否可以将新的DC取名为DC02,这样会有问题么? 2 如果向我上面那些安装新的DC03,原有的DC02的信息还在AD的数据库中,因为DC02已经无法降级,我该如何正确的将DC02从AD中清除掉 回答:根据您的描述,我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验,针对我们现在所遇到的情况,我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02,则在提升域控操作之前,我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法,我们可以参照 (KB216498)https://www.360docs.net/doc/f02291132.html,/kb/216498/zh-cn 1. 单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。 2. 在命令提示符处,键入 ntdsutil,然后按 Enter。 3. 键入 metadata cleanup,然后按 Enter。根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4. 键入 connections,然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。为此,请键入 set credsDomainNameUserNamePassword,然后按 Enter。如果密码为空,则键入 null 作为密码参数。 5. 键入 connect to server servername,然后按 Enter。然后出现一条确认消息,说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit,然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target,然后按 Enter。 8. 键入 list domains,然后按 Enter。将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。 9. 键入 select domain number,然后按 Enter;其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites,然后按 Enter。将出现一个站点列表,其中每个站点都带有一个关联的编号。 11. 键入 select site number,然后按 Enter;其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。 12. 键入 list servers in site,然后按 Enter。将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。 13. 键入 select server number,其中 number 是与要删除的服务器关联的编号。将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除
多域控制器环境下A D灾难恢复
多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/f02291132.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
如何将备用的域控制器升级到主域控制器111
如前面一片文章所提到的。比较麻烦的是,Exchange 2003的邮件服务器是安装在主域控制器上的,所以,主域控制器也被干掉了。 型号,做文件服务器的那台服务器也是域控制器,就要将这台文件服务器,升级到主域控制器了。 如果你没有执行过这样的动作,会觉得这是个很麻烦的事情。当我们操作过之后,你就会发现,其实这个不难。 首先,我们执行【netdom query fsmo】命令,来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.360docs.net/doc/f02291132.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样,我们这台域控制器,就成为了主域了。 最后,我们还要将这台服务器成为全局编目服务器。方法如下: 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目,把空格勾上就好 本文转自☆★黑白前线★☆- https://www.360docs.net/doc/f02291132.html, 转载请注明出处,侵权必究! 原文链接:https://www.360docs.net/doc/f02291132.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]
域控服务器备份和恢复
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系
统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:
如何降域(主域控挂掉后的方法)
Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/f02291132.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的,目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机 默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.360docs.net/doc/f02291132.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复,最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考,在狗狗搜索NNN编,但为何还是要写这篇呢,‘听不如看,看不如做,做不如写’嘿嘿,反正写写没多难,最紧要入脑袋!! 其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~ 本贴说明: ....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!! AD、DC说明: .域名:https://www.360docs.net/doc/f02291132.html, ..主域:DC-ISA-NLB-1 ..副域:DC-ISA-NLB-2 .系统:2003企业版 故障情况:(真实环境跑完全过程..) ..主域崩溃,副域无法正常工作,如: ....无法浏览https://www.360docs.net/doc/f02291132.html, 中 Active Directory用户和计算机,提示无法连接错误; ....AD管理项目均报错,组策略.....等; ....域用户无法登录; 解决方法:(以上是在副域上操作) ..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录; ..使用命令:ntdsutil.....AD工具 ..过程:(大概6-8分钟) C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...~~ 以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧: ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’; .....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’; ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA-NLB-1’; ...........a.选中分支‘NTDS Settings’; ...........b.点击‘删除’,对话框‘选择第三项’; .....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’; .....3.点击‘DC-ISA-NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’,全局编录前打上勾; 完工....以上搞点后,余下就可以慢慢修复你的主域了。
win2003额外域控制器升级为主域控制器
win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签:控制器 win2003额外域控制器升级为主域控制器 公司https://www.360docs.net/doc/f02291132.html,(虚拟)有一台主域控制器https://www.360docs.net/doc/f02291132.html,,还有一台额外域控制器https://www.360docs.net/doc/f02291132.html,。现主域控制器(https://www.360docs.net/doc/f02291132.html,)由于硬件故障突然损坏,事先又没有https://www.360docs.net/doc/f02291132.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.360docs.net/doc/f02291132.html,),我们怎么让额外域控制器(https://www.360docs.net/doc/f02291132.html,)替代主域控制器,使Activate Directory 继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.360docs.net/doc/f02291132.html,对象 3.1在额外域控制器(https://www.360docs.net/doc/f02291132.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.360docs.net/doc/f02291132.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.360docs.net/doc/f02291132.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)
安装部署域控制器
安装部署域控制器 本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件,并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面,因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统,则同样可以完成加域操作,并和有盘系统一样接受活动目录(ActiveDirectory)的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录(ActiveDirectory)? 活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问,管理和控制,这个数据库叫做活动目录数据库。 b)关于目录与目录服务 要想理解什么是活动目录(ActiveDirectory),必须先理解什么是目录(Directory)和目录服务(DirectoryService)。在计算机中使用的“目录”和现实生活中使用的“目录”很相似,都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码,还可能包括关于该用户的的地址或其他信息。 目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源,使用户和应用程序能够访问这些资源,并将这些资源集中存储,使用和管理这些资源的全部信息,因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务? 域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器(DomainControler)就是安装了活动目录服务的一台计算机,简称DC。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。 域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者复制这样一种更新。 2.创建活动目录服务——部署域控制器 域控制器,DomainController,是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务,域控的安装部署以及管理至关重要。 部署网络中的第一台域控制器 实验环境
主域控制器系统安装及域配置
主域控制器系统安装及配置 一、W2K Server安装(请参考《Windwos 2000 Advanced Server安装手册》) 注意事项: 1、将W2K Ad Server安装盘放入光驱,安装光盘自动检测运行。 2、创建C盘,空间建议在10G左右,用NTFS格式(如果已装过系统,建议重新分区) 3、每服务器同时连接数字,建议输入999,(或者根据网络站点情况输入相应站点) 4、输入规划的计算机名:DBSERVER 5、在选择安装程序组件中,去掉IIS 6、正常安装系统 7、系统安装完毕后,启动进入系统,放入服务器导航盘安装驱动,把有问号的设备全部重 新安装驱动程序,详见下图
8、进入W2K Server 界面,装SP4,装完重启 9、配置IP地址,第一个域控不用设DNS,默认为127.0.0.1,以后配置的域控DNS指向第 一个域控 二、服务器配置 在服务器配置选项中,选择“网络中已有一个或多个服务器在运行”,见下图
三、Active Directory和 DNS安装 确定操作系统安装完全、网卡驱动安装正确、IP设置正确、网络已有连接后,才可以开始Active Directory和 DNS安装 在服务器配置中,点击Active Directory,选择启动,见下图 DBSERVER作为全网第一个域控,因此采用如下方法进行配置:
1、选择新的域控制器 2、创建一个新的域目录树 3、创建一个新的域目录林
4、输入新域的DNS全名,如 https://www.360docs.net/doc/f02291132.html, 5、输入新域的NetBIOS名,如 sztv 6、数据库与日志位置,选择默认 7、sysvol文件夹位置,选择默认
主域控损坏Active Directory转移
手工删除Active Directory 数据 三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。 使用“metadata cleanup”清理不使用的服务器的对象 使用“connections”连接到一个特定域控制器
使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。 使用“select operation target”选择站点
使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。 使用“select site 0”就是选中站点了。 使用“list domains in site”列出所选站点中的域,只有https://www.360docs.net/doc/f02291132.html, 一个域,还是用0代表。
使用“select domain 0”选中https://www.360docs.net/doc/f02291132.html,这个域。 使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。 使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。 使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。 最后使用“quit”命令退出就可以了。 我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
Windows Server 2003环境下域控制器挂掉后的处理步骤
Windows Server 2003环境下域控制器挂掉后的处理步骤 前提 必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。 实验环境: ●域名:https://www.360docs.net/doc/f02291132.html, ●第一台域控制器: ?计算机名:https://www.360docs.net/doc/f02291132.html, ?IP:192.168.5.1 ?子网掩码:255.255.255.0 ?DNS:192.168.5.1 ?并且FSMO五种角色及GC全部在第一台域控上。 ●第二台域控制器: ?计算机名:https://www.360docs.net/doc/f02291132.html, ?IP:192.168.5.2 ?子网掩码:255.255.255.0 ?DNS:192.168.5.2 灾难情况 第一台域控制器由于硬件原因,导致无法启动。客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的 让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。操作步骤 首先,要把第一台域控制器的所有信息从活动目录里面删除。 点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。 选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令: 显示一下Site中的域: 结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”: 选中后,按“q”退出到上一层菜单: 接下去删除服务器信息,出现提示后点是。 在上图中点击“是”:
如何在主域控制器删除备份域控制器
产生主域控制器与备份与控制器不同步的充要条件: 1、在备份域控制器中日志中会出现组策略失败:处理组策略失败。Windows 尝试从 域控制器读取文件 \\https://www.360docs.net/doc/f02291132.html,\sysvol\https://www.360docs.net/doc/f02291132.html,\Policies\{81B2F340-016D- 19D2-945F-01C04FB987F9}\gpt.ini,但是没有成功。只有解决此事件后才会应用 组策略设置。该问题可能是暂时的,并可能由下列一个或多个原因引起: a) 到当前域控制器的名称解析/网络连接。 b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。 c) 分布式文件系统(DFS)客户端已被禁用。 2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。 产生主域控制器与备份与控制器不同步的必要不充分条件:复制出现错误 产生主域控制器与备份与控制器不同步的充分不必要条件:在主域中新建用户,但在备份域中不存在该用户。 解决方法一: 1、在主域控制器中删除备份域控制器 (1)查看该主域控制器是否为全局编录服务器 查看:3:通过命令行方式查看全局编录服务器 在Supprot Tools和Resource Tools工具中,有多个命令行工具可以查看全局编录服务器,这里只列出两个最常见的命令行工具 使用dsquery命令查看当前域中的GC dsquery server -domain https://www.360docs.net/doc/f02291132.html, -isgc 使用nltest命令查看当前域中的GC nltest /dsgetdc:https://www.360docs.net/doc/f02291132.html,
(2)彻底清除备份域服务器数据元的方法 Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator>cd\ C:\>ntdsutil ntdsutil: ? ? - Show this help information Authoritative restore - Authoritatively restore the DIT database Configurable Settings - Manage configurable settings Domain management - Prepare for new domain creation Files - Manage NTDS database files Help - Show
图解WINDOWS SERVER 2008 R2 域控制器安装过程
图解WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC 时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络
环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
备份域升为主域控制器
备份域升为主域控制器 [日期:2007-10-01] 来源:作者:[字体:大中小] AD恢复主域控制器 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 ---------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/f02291132.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本 ---------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC:向目录林中添加新域。从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、组或计算机)时,需要将RID 与域范围内的标识符相结合,以创建唯一的安全标识符(SID)。每一个Windows 2000 DC 都会收到用于创建对象的RID 池(默认为512)。RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。通过RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。本机Windows 2000 环境将密码更改转发到PDCE。每当DC 验