主域故障的解决方法

主域控制器损坏后，备份域控制器抢夺五种角色

在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

________________________________________

Active Directory操作主机角色概述

环境分析

从AD中清除主域控制器https://www.360docs.net/doc/d61781928.html, 对象

在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作

设置额外域控制器为ＧＣ（全局编录）

重新安装并恢复损坏主域控制器

附:用于检测AD中五种操作主机角色的脚本

________________________________________

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：

架构主机schema master、

域命名主机domain naming master

相对标识号(RID) 主机RID master

主域控制器模拟器(PDCE)

基础结构主机infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机

具有域命名主机角色的DC 是可以执行以下任务的唯一DC：

向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID) 主机

此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、

组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。每一个

Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。RID 主机通过分配不同的池来确保这

些ID 在每一个DC 上都是唯一的。通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机

PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。本机Windows 2000 环境将密码更改转发到PDCE。每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

时间同步—目录林中各个域的PDCE 都会与目录林的根域中的PDCE 进行同步。PDCE是基于域的，目录林中的每个域都有自己的PDCE。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符(GUID)、安全标识符(SID) 和可分辨的名称(DN)。如果被引用的对象移动，则在域中担

当结构主机角色的DC 会负责更新该域中跨域对象引用中的SID 和DN。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

________________________________________

二、环境分析

公司https://www.360docs.net/doc/d61781928.html,（虚拟）有一台主域控制器https://www.360docs.net/doc/d61781928.html,，还有一台额外域控制器https://www.360docs.net/doc/d61781928.html,。现主域控制器（https://www.360docs.net/doc/d61781928.html,）由于硬件故障突然损坏，事先又没有https://www.360docs.net/doc/d61781928.html,的系统状态备份，没办法通过备份修复主域控制器（https://www.360docs.net/doc/d61781928.html,），我们怎么让额外域控制器（https://www.360docs.net/doc/d61781928.html,）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

________________________________________

三、从AD中清除主域控制器https://www.360docs.net/doc/d61781928.html,对象

3.1在额外域控制器(https://www.360docs.net/doc/d61781928.html,)上通过ntdsutil.exe工具把主域控制器(https://www.360docs.net/doc/d61781928.html,)从ＡＤ中删除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain https://www.360docs.net/doc/d61781928.html,

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server ０

select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000 support tool，安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具，展开Domain NC[https://www.360docs.net/doc/d61781928.html,]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1：

3.3 在Active Directory Sites and Service中删除DC-01服务器对象

打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击Yes按钮，如图2：________________________________________

四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain https://www.360docs.net/doc/d61781928.html,

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 1 server(s)

0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server ０

select operation target: quit

fsmo maintenance:Seize domain naming master

出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master

出现对话框，按“确定“

fsmo maintenance:Seize PDC

出现对话框，按“确定“

fsmo maintenance:Seize RID master

出现对话框，按“确定“

fsmo maintenance:Seize schema master

出现对话框，按“确定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）________________________________________

五、设置额外控制(https://www.360docs.net/doc/d61781928.html,)为ＧＣ（全局编录）

打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开https://www.360docs.net/doc/d61781928.html,(额外控制器)，右击NTDS Settings 选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。________________________________________

六、重新安装并恢复损坏主域控制器

修理好https://www.360docs.net/doc/d61781928.html,损坏的硬件之后，在https://www.360docs.net/doc/d61781928.html,服务器重新安装Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使https://www.360docs.net/doc/d61781928.html,担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer 操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置https://www.360docs.net/doc/d61781928.html,为GC，取消https://www.360docs.net/doc/d61781928.html,的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。

________________________________________

附:用于检测AD中五种操作主机角色的脚本

给大家一个脚本,用于检测AD中五种FSMO角色,把下面的代码,保存为FSMO.VBS,然后执

行它.

Set objRootDSE = GetObject("LDAP://rootDSE")

Dim text

' Schema Master

Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext")) strSchemaMaster = objSchema.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strSchemaMaster)

Set objComputer = GetObject(objNtds.Parent)

text="Forest-wide Schema Master FSMO: " & https://www.360docs.net/doc/d61781928.html, & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

' Domain Naming Master

Set objPartitions = GetObject("LDAP://CN=Partitions," & _

objRootDSE.Get("configurationNamingContext"))

strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Forest-wide Domain Naming Master FSMO: " & https://www.360docs.net/doc/d61781928.html, & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

' PDC Emulator

Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext")) strPdcEmulator = objDomain.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strPdcEmulator)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain's PDC Emulator FSMO: " & https://www.360docs.net/doc/d61781928.html, & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

' RID Master

Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _ objRootDSE.Get("defaultNamingContext"))

strRidMaster = objRidManager.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strRidMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain's RID Master FSMO: " & https://www.360docs.net/doc/d61781928.html, & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

' Infrastructure Master

Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _ objRootDSE.Get("defaultNamingContext"))

strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain's Infrastructure Master FSMO: " & https://www.360docs.net/doc/d61781928.html, & vbCrLf

text=text & vbCrLf &" Design by coolnetboy(coolnetboy@https://www.360docs.net/doc/d61781928.html,)" WScript.Echo text

运营商IT系统网络架构的安全域划分

运营商IT系统网络架构的安全域划分京移通信设计院有限公司李玮众所周知，网络安全框架一般可以分为安全管理框架和安全技术框架两大部分。安全管理框架的核心是制定安全策略，它是安全工作的标准和依据;安全技术框架的核心是积极防御，安全体系中的认证与授权、加密与完整性保护以及抗击与响应都应该围绕积极防御这一核心来组织的。对拥有众多IT系统的电信运营商而言，以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署，更应该是一个全面、立体、构架化的安全体系。安全体系的健康与否，关系到认证与授权是否能够做到对访问的主动控制，关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失，关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题。 IT系统安全体系具体是由解决方案和安全设备部署构成的，二者都与运营商自身内部的IT系统局域网架构有关:安全解决方案需要根据IT系统局域网架构来具体定制;安全设备则需要部署在IT系统局域网上由其来承载。进一步而言，按照网络安全框架的要求，IT系统安全体系的基础工作就是搭建一个结构清晰、可靠实用、扩展灵活的内部局域网环境。只有基础的内部网络架构是科学合理的，才能够最终保证所部署的安全设备充分发挥作用，才能够保证安全技术框架的顺利实施，进而保证安全策略的有效贯彻。一、传统IT系统局域网架构的不足和安全威胁传统IT系统整体网络建设方案中往往很少从宏观的角度关注IT安全体系的建立，经常采用如物理隔离的方式来达到安全的目的，甚至建设两套网络，即所谓的内网、外网。这种以物理隔离为主的消极防御手段使得某一IT系统只能做到针对自身的操作应用，而无法实现与其他相关系统之间、与Internet之间的信息交互和共享，不但禁止了有用数据交换，造成信息化工作无法开展，还进一步增加了投资，这与积极防御的理念是背道而驰的。另外，物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。其次，由于IT系统所在的内部网络的建设方案缺乏宏观的安全规划，同时常规的安全系统经常是分别随着各自网络或者应用系统进行建设的，虽然在一定程度上能够起到安全防护作用，但是由于各套IT系统的安全建设自成体系、分散单一，缺乏统筹考虑和宏观把握，造成系统中安全防御的主动权没有办法集中起来。因而带来IT系统的安全防护能力、隐患发现能力、应急反应能力、信息对抗能力的整体效能下降等一系列问题。同时也带来

主域控挂掉后的方法

主域控挂掉后的方法.txt婚姻是键盘，太多秩序和规则；爱情是鼠标，一点就通。男人自比主机，内存最重要；女人好似显示器，一切都看得出来。Active Directory操作主机角色概述环境分析从AD中清除主域控制器https://www.360docs.net/doc/d61781928.html, 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）：架构主机 schema master、域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

域控服务器迁移步骤(精)

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server 192.168.1.20 （连接到额外域控制器）提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

加入域工具常见问题

加入域工具常见问题 1、未知省份错误工具出现如上图所示提示框的原因是由于用户没有归属省份，请与工程师联系修正此错误。 2、终端加入域问题及解决 01、终端加入域报2698错误故障处理： 2698错误基础信息是：此版本的Windows不能加入到域。一般此错误是由于用户尝试在WinXP HOME版上执行加入域造成。目前无法加入域。请重新安装商业版的操作系统，有关商业版的安装介质和使用许可请与系统管理员联系。 02、终端加入域报1231错误故障处理： 1231错误基础信息是：无法访问网络。一般此错误是由某个必须启动的服务没有成功启动造成的。终端加入域前应检查TCP/IP NetBIOS Helper服务是否启动, TCP/IP NetBIOS Helper服务必须启动。 03、终端加入域后无法在桌面创建文件故障处理：由于终端的Profile权限没有被赋予完全控制权限。请重新配置用户Profile 的权限，将权限配置为完全控制权限。然后退出域，重新加入域。 04、终端加入域后，域帐号登录无法看到原用户桌面图标等用户配置文件项故障处理：由于终端的Profile权限没有被赋予完全控制权限。请浏览到C:\document and

settings\，右键点选当前本机用户profile的文件夹，选择“属性”，在文件夹属性对话框中选择“安全”标签页，将本机administrators组添加为完全控制权限。 05、终端加入域后，终端用户帐号被锁定，无法登录域故障处理：由于终端帐号被服务器锁定，所以无法登录到域请终端部署人员联系终端部署管理人员通过工具修改，或在服务器上解除相应帐号的被锁定状态。 06、终端加入域时报系统不支持加入商业网络故障处理：这是产品的本身功能限制问题，WindowsXP Home版与Windows Me这部分操作系统属于家庭版，目前无法加入商业网络。重新安装商业版的操作系统，有关商业版的安装介质和使用许可请与系统管理员联系。 07、终端加入域时报不能定位域控制器，请更新DnsHostName和ServicePrincipalName 故障处理：由于DNS解析有误，请检查计算机的DNS配置和WINS配置是否正确，如果是DHCP的客户端，请在控制台窗口（在运行栏中输入cmd命令）中运行ipconfig/all命令，查看结果是否正确: DNS： WINS：如果配置正确，但问题则可能因为暂时的网络条件恶化，请换时间重新尝试。如果以上两个方法都无法排除问题，请联系信息员或IT支持人员。 08、终端加入域后，原先安装的一些软件无法正常运行故障处理：由于部分软件采用安装时绑定计算机名或Netbios更换计算机名称后需要重新安装该软件。否则无法正常运行如果重新安装有困难，则建议不要更改计算机名称，直接加入域。如果加入域对该应用软件有影响，则建议不要加入域，不将此终端包含在本次工程范围内。

中海达RTK故障及解决方法

精心整理中海达RTK故障及解决方法 1.主机不锁星。主机不锁星，请从以下几个方面排查处理：（1）在远离电磁波干扰源（如变电站、雷达站）的无遮挡区域重新设站；（2）把主机调成静态模式采集静态数据3-5分钟后，调回之前的模式；（3）长按功能键复位主板，关机重启。 2.基站不发射差分信号。（1 （2 闪红灯。 a. b. 站，直至解状态变成“已知点”。（3）中央子午线设置错误。如果是自定义中央子午线，投影方式要选择“高斯自定义”，修改后保存，再重新平滑基站。（4）复位主板，关机重启。 3.外挂电台模式，距离移动站很近但接收不到信号。外挂电台模式下移动台单点（移动台离基准站不远的情况下）：

（1）基准站指示灯闪烁不正常。（请参考故障2）。（2）发射电台RX/TX信号灯不正常（一秒闪烁一次为正常）。 a.检查线缆是否插好； b.连接线损坏，更换连接线测试； c.电瓶电量过低，更换电瓶；（3）基准站和外挂电台发射都正常，移动站信号灯不闪。 a. 致； b. （4 a. b. 新设站。 4.电台作用距离短。（1 （2 （3）外挂电台不正常。 a.功率未设置为最大； b.发射天线未垂直安装在脚架或对中杆上； c.电缆线接头未拧紧接触不良； d.接收天线是否正确安装或有断裂等情况；（4）基准站架设的附近及周边环境有干扰源（同频干扰或大功率设备），可尝试

更换频道、更换基准站位置。 5.内置网络模式下连不上网络。处理步骤：（1）网络设置不正确。（IP地址、端口、运营商、通讯方式、分组号、小组号、源节点、VRS用户名、密码等；如果使用iRTK2必须外接GPRS天线）；（2）手机卡问题。 a.未正确安装手机卡（或松动）； b.手机卡欠费或损坏； c.手机卡网络不兼容，更换手机卡尝试；（3 （4）CORS （5）按功能键复位主板。 6.ZHD 处理步骤：（1 （2 （3）账号冲突。点击解状态查看基站的距离与实际是否有差别，如果该小组里有其他基站造成账号冲突，可更换分组号、小组号解决。（4）服务器不正常。可致电CORS服务方确认服务器是否正常。 7.移动台连CORS收不到差分信号。处理步骤：根据信号灯判断主机的状态：（1）绿灯闪烁，但连接不上服务器：

Windows2003域控制服务器(详解)

Windows2003R2架设域控制服务器（详解）目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

挺好用的自动改名加域工具

MAIN.bat 中的内容 @echo OFF cls title 歡迎使用FIS加域軟件加入FIS域... :menu cls color 0A echo. echo ===================================================== echo ******** 請輸入您即將進行的操作******** echo ===================================================== echo. echo 1.分配計算機名稱加入FIS echo. echo 2.將計算機退出FIS域 echo. echo 3. echo. echo 4. echo. echo 5. echo. echo 6.修改計算機主頁 echo. echo 7.添加IE信任站點、設置安全選項 echo. echo Q. echo. echo. :cho set choice= set /p choice= 請輸入: IF NOT "%choice%"=="" SET choice=%choice:~0,1% if /i "%choice%"=="1" goto changeName if /i "%choice%"=="2" goto UNJOINDOMAIN

if /i "%choice%"=="3" goto AddGROUP if /i "%choice%"=="4" goto INI if /i "%choice%"=="5" goto clearall if /i "%choice%"=="6" goto changeindex if /i "%choice%"=="7" goto changeietest if /i "%choice%"=="Q" goto endd echo 輸入有誤, echo. goto cho :changeName CALL changeName.bat pause GOTO menu ::SHUTDOWN -t 0 -r :UNJOINDOMAIN CALL UNJOINDOMAIN.BAT GOTO menu :AddGROUP CALL AddGROUP.BAT GOTO menu :INI CALL changepasswd.bat GOTO menu :clearall CALL clear.bat GOTO menu :changeindex CALL changeindex.bat goto menu

安全域划分和等级保护

近年来，随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作，为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁，间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等；安全保障要求的内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。国内的政策及发展面对严峻的形势和严重的问题，如何解决大型信息系统的信息安全问题，是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。 2003 年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发

域管理常见故障维护手册

域管理常见故障维护手册北京昆仑联通发展科技有限公司2013-02-20

目录 1 域常见问题 (4) 1.1 无法正常加入到域 (4) 1.2 加入域时提示“不能访问网络位置”的错误解决方法 (4) 1.3 加入域“找不到网络路径”解决方法 (4) 1.4 重装系统之后加入域提示已经存在的解决方法 (5) 1.5 在域用户下，打开IE浏览器出现“Windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目” (5) 1.6 域用户中，无法打开硬盘分区 (5) 1.7 加入域时报错，输入完帐户管理员用户和密码后报告“RPC出错”？ (6) 1.8 加入域时报错，输入完帐户管理员用户和密码后报告“帐户锁定”？ (6) 1.9 加入域时报错，输入完帐户管理员用户和密码后报告“连接超时”？ (6) 1.10加入域时报错，输入完帐户管理员用户和密码后报告“系统错误”？ (7) 1.11第一次登陆域的时候，机器长时间停留在“创建域列表”？ (7) 1.12拷贝配置文件时发现配置文件十分大（> 1G）？ (7) 1.13拷贝配置文件时显示“无法删除XX配置文件”？ (7) 1.14拷贝配置文件时，出现WINDOW提示框“XX文件无法正常拷贝至XXX文件夹中”？ (7) 1.15拷贝配置文件时，WINDOWS报错“无法访问”？ (7) 1.16加入域后，域用户无法在本地登陆，WINDOWS报错“不允许交互式登陆”？ (8) 1.17加入域后，域用户无法查看本地时间，WINDOWS报错“您没有权限查看和修改本地时间”？ (8) 1.18加入域后用户报告Autocad无法使用？ (8) 1.19第一次更改域用户密码的时候报错？ (10) 1.20加入域后导致某些系统无法使用？ (10) 1.21 Isass.exe系统错误—系统资源不够，无法完成API (10) 1.22 xp_sp2关机菜单弹出超慢 (11) 1.23 在登录界面，输入密码后提示“安全日志已满，请用管理员帐号登陆”，无法进入系统 (11)

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

《域管理》教程

?域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来

建立域服务器时候遇到问题的解决方法

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。一个运行XP SP3英文版，单网卡，连接LAN1。这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。 VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。 1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。反正就是没有设置DNS就过去了。后来也证明，DNS服务器没有正常启动。打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有https://www.360docs.net/doc/d61781928.html, -->192.168.0.1的项，应该正常吧。网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^

打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。提示： Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt. The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain https://www.360docs.net/doc/d61781928.html,: The error was: "DNS name does not exist." (error code 0x0000232B RCODE_NAME_ERROR) The query was for the SRV record for _ldap._tcp.dc._https://www.360docs.net/doc/d61781928.html, Common causes of this error include the following: - The DNS SRV record is not registered in DNS. - One or more of the following zones do not include delegation to its

数据中心安全域隔离解决方案

数据中心安全域隔离解决方案数据中心安全建设的基本原则：按照不同安全等级进行区域划分，进行层次化、有重点的保护，通过传统防火墙分级分域的进行有针对性的访问控制、安全防护。数据中心安全域隔离存在的问题防火墙基于五元组部署访问控制策略，但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题：传统防火墙仍面临新的安全挑战 70%的攻击来自应用层，防火墙防护存在短板

APT、0day、欺诈等威胁出现，使边界防御失陷深信服数据中心安全域隔离解决方案本方案采用技术上先进的下一代防火墙作为数据中心安全域隔离的主要载体。既可以解决传统安全域隔离可视性和管理便利性上的问题，同时还能够通过开启应用层防护的模块和失陷主机检测的模块加固数据中心的安全。有效的补数据中心存在的安全短板，提升数据中心安全防护与检测的能力。 ?数据中心安全域设计建议将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护，有效地增加了重要应用系统的安全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。

接入区:安全等级中，包含三个子区，互联网接入区、分支机构接入区和第三方接入区；办公区:安全等级低，包含两个子区，内网办公区和无线办公区；业务区:安全等级高，包含三个子区，对外业务区、核心业务区、内部应用区。方案特点 ?精细到应用的访问控制粒度不仅具备五元组访问控制策略，还可以通过结合应用识别与用户识别技术制定的L3-L7 一体化应用控制策略,提高了策略控制的准确度，提升数据中心管理的效率。如访问数据中心的常见应用 OA、ERP、Web、邮箱等；或外部运维人员访问数据库等场景，通过应用层访问控制策略，解决传统 ACL 的无法对端口逃逸、端口跳跃等（如使用 Oracle 建立连接 1521，连接后为随机端口）技术的应用进行控制的问题。 ?向导式可视化的策略管理上线部署：简单易懂的 IT 向导配置，无需管理员掌握复杂的安全知识，也可以完成策略的快速部署上线，轻松掌握对数据中心安全策略的部署。新增业务：数据中心新增业务时，能主动发现新增资产，防止安全策略疏漏。管理员无需手动查找新增资产，只需要对新增资产进行一键策略的关联部署就可以快速添加策略。策略管理：可视化的策略管理，提升了访问控制策略管理的可视性，使管理员可以更容易的看清楚策略部署的情况；同时提供策略命中数量，便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展：本方案采用深信

解决GPS模块的一般故障

鑫图科技人员分享最全最简单最实用的一套方法********************************************************** *需要学习解决GPS模块的一般故障第一部分：GPS模块模块的一般故障（一）主机相关故障 1．GPS模块长时间不能定位； 2．不能打电话，无网络，； 3．长时间显示“请稍候。。。”； 4．长时间显示“正在初始化。。。”； 5．主机插上手柄或者显示屏无反应，但是GSM模块指示灯却正常； 6．主机插上手柄或者显示屏无反应，GSM模块指示灯都不亮； 7．经常烧保险丝，个别主机内部短路； 8．24V主机使用一段时间后就烧坏了； 9．新主机不认卡； 10．我不知道怎样测试一台主机是好的还是坏的（二）显示屏（LCD）相关故障 1．LCD蜂鸣器不响； 2．LCD显示蓝屏； 3．LCD显示“请稍候。。。”； 4．LCD密码被更改；

5．行使中LCD反复重启； 6．LCD开机时一直显示“HQ6006移动数据终端”； 5，显示屏没电，没任何反应。（三）手柄相关故障 1．我看到手柄曲线断了； 2．背光灯不亮； 3．耳机无声，我听不见； 4．对方听不到我讲话 5．显示屏显示一半或者乱码；（四）综合故障 1．劫警不上传或者无法解除； 2．断油断电后无法解除导致汽车不能工作； 3．半夜LCD重启并上传“密码输入错误”； 4．频繁上传超速报警； 5．某台车这个月短信费用很高。（五）彻底排除软件故障的3个步骤。（六）用手柄或者显示屏对主机的参数设置；（七）利用监控中心软件对主机特殊参数设置；以上故障将在第三部分给出故障分析与解决方法。第二部分：学习的计划和思路我们先并不急于分析遇到的故障，先了解一下华强GPS模块产品的一些特点。（一）系统的灵活组合：主机、手柄、显示屏；我们经常使用的华强GPS模块终端系统主要由3个部件组成：主机、手柄、显示屏。这三种部件可以任意组合：主机+ ：称为安防型，又叫简易型。主要用于定位报警不能打电话。主机＋手柄：称为社会型，定位报警之外，带车载电话，打电话方便。主机＋显示屏：称为调度型，可以显示48个汉字，由于字体比较大，司机很远就能看清楚。

客户端不能加入域的解决方法和步骤

客户端不能加入域？解决资料整合加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示：在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。解决方法：由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生，计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去，一定要选择上Microsoft网络文件和打印共享和网络负载平衡。客户端要加入域,相关的服务要开始：

数据中心安全域的设计和划分

数据中心安全域的设计和划分安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础，也是保障业务信息安全的基础。一、安全域设计方法安全域模型设计采用"同构性简化"方法，基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元以拼接、递归等方式构造出一个大的网络。一般来讲，对信息系统安全域(保护对象)的设计应主要考虑如下方面因素： 1.业务和功能特性。 ①业务系统逻辑和应用关联性。 ②业务系统对外连接。对外业务、支撑、内部管理。 2.安全特性的要求。 ①安全要求相似性。可用性、保密性和完整性的要求。 ②威胁相似性。威胁来源、威胁方式和强度。 ③资产价值相近性。重要与非重要资产分离。 3.参照现有状况。 ①现有网络结构的状况。现有网络结构、地域和机房等。 ②参照现有的管理部门职权划分。二、安全域设计步骤一个数据中心内部安全域的划分主要有如下步骤： 1.查看网络上承载的业务系统的访问终端与业务主机的访问关系及业务主机之间的访问关系，若业务主机之间没有任何访问关系，则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分。 2.划分安全计算域。根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台

处理设备归人核心处理域，前台直接面对用户的应用服务器归人访问域；局域网访问域可以有多种类型，包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接人区等；局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。 3.划分安全用户域。根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域。 4.划分安全网络域。安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。一般同一网络内化分三种安全域:外部域、接人域、内部域。三、安全域模型该模型包含安全服务域、有线接人域、无线接入域、安全支撑域和安全互联域等五个安全区域。同一安全区域内的资产实施统一的保护，如进出信息保护机制、访问控制、物理安全特性等。 1.安全服务域。安全服务域是指由各信息系统的主机/服务器经局域网连接组成的存储和处理数据信息的区域。 2.有线接人域。有线接人域是指由有线用户终端及有线网络接人基础设施组成的区域。终端安全是信息安全防护的瓶颈和重点。 3.无线接人域。无线接人域是指由无线用户终端、无线集线器、无线访问节点、无线网桥和无线网卡等无线接人基础设施组成的区域。 4.安全支撑域。安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域，实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级，各类安全事件的收集、整理、关联分析，安全审计，人侵检测，漏洞扫描等。 5.安全互联域。安全互联域是指由连接安全服务域、有线接人域、无线接入域、安全支撑域和外联网(Extranet)的互联基础设施构成的区域。

如何降域(主域控挂掉后的方法)

Active Directory操作主机角色概述环境分析从AD中清除主域控制器https://www.360docs.net/doc/d61781928.html, 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）：架构主机 schema master、域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。相对标识号 (RID) 主机

此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的，目录林中的每个域都有自己的PDCE。基础结构主机基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机默认，这五种FMSO存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析

最全的域控教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中: