主域和备域

域控制器是活动⽬录域AD中的⼀个基本元素，很多刚接触活动⽬录域AD的朋友，不知道该从哪⾥下⼿，活动⽬录域控制器到底是什么意思？有什么⽤？如何新建⽴域控制器？主域控制器、额外域控制器有什么区别？域控制器的设备配置备份还原⼜该如何做？⼀⼤堆的问题，都困扰了活动⽬录域AD的初学者，《域控制器》这篇⽂章源⾃微软活动⽬录域AD操作指南教程，⼤家通过它可以对如何开始建⽴活动⽬录域AD域控制器有⼀个⼤致的了解。

域控制器 当您在组织中创建第⼀个域控制器时，同时也创建了第⼀个域、第⼀个林、第⼀个站点，并安装了 Active Directory。

运⾏ Windows Server 2003 的域控制器存储着⽬录数据，并管理⽤户和域的交互，包括⽤户登录进程、⾝份验证和⽬录搜索。

域控制器是使⽤“Active Directory 安装向导”创建的。

详细信息，请参阅使⽤ Active Directory 安装向导。

注意 Examda提⽰: 不能在运⾏ Windows Server 2003, Web Edition 的计算机上安装 Active Directory，但可以将该计算机作为成员服务器加⼊到 Active Directory 域中。

有关 Windows Server 2003, Web Edition 的详细信息，请参阅 Windows Server 2003 Web Edition 概述。

在组织中使⽤域控制器时，需要考虑需要多少个域控制器、这些域控制器的物理安全性，以及备份域数据和升级域控制器的计划。

确定所需的域控制器数 为了获得⾼可⽤性和容错能⼒，使⽤单个局域 (LAN) 的⼩型组织可能只需要⼀个具有两个域控制器的域。

具有多个络位置的⼤型组织在每个站点都需要⼀个或多个域控制器以提供⾼可⽤性和容错能⼒。

如果您的络划分为多个站点，那么通常⼀种较好的做法是在每个站点中⾄少配置⼀台域控制器以提⾼络性能。

当⽤户登录络时，作为登录进程的⼀部分必须联系域控制器。

域控详解范文域控详解域控(Domain Controller)是指Windows Server操作系统上运行的一种服务，用来管理网络中的用户、计算机和其他资源。

域控是一个基于Active Directory(AD)的服务器，它提供了集中管理和控制用户身份验证、权限分配和其他安全特性的功能。

域控的主要作用是创建和管理AD域，AD域是一个逻辑组织结构，用来集中管理网络中的用户、计算机、资源对象等。

域控充当了这个组织结构的核心，负责存储和管理域中的所有对象以及相关的策略和权限。

域控的功能主要包括以下几个方面：1.用户管理：域控可以创建和管理域中的用户账户，包括配置用户的登录名、密码和其他属性。

通过域控，管理员可以集中管理和控制用户的访问权限和资源分配。

2.计算机管理：域控可以创建和管理域中的计算机账户，包括配置计算机的名称、IP地址、操作系统等信息。

通过域控，管理员可以集中管理和控制计算机的访问权限和配置设置。

3.安全策略和权限管理：域控可以配置和管理域中的安全策略，例如密码策略、账户锁定策略等。

管理员可以通过域控对用户和计算机的权限进行精细控制，确保网络的安全性。

4.资源共享和访问控制：域控可以创建和管理域中的文件夹共享和打印机共享，并对用户和计算机的访问进行权限控制。

管理员可以通过域控对资源的共享和权限进行集中管理。

5.单点登录：域控可以提供单点登录功能，用户只需要在登录域中的一台计算机上进行身份验证，就可以访问域中的其他计算机和资源，无需多次输入用户名和密码。

6.备份和恢复：域控可以进行备份和恢复，以保证域中的数据安全和可靠性。

管理员可以定期备份域控的数据库和配置文件，以防止数据丢失或损坏。

域控的实现是基于Active Directory(AD)的，AD是一种分布式数据库，用来存储和管理域中所有的对象和相关信息。

域控负责管理和维护AD数据库，并提供与客户端的通信和交互接口。

域控的部署通常采用至少两台服务器的方式，其中一台充当主域控制器(Primary Domain Controller, PDC)，另一台充当备域控制器(Backup Domain Controller, BDC)。

主副域控工作机制主副域控工作机制引言：在计算机网络中，域控制器是一种重要的服务器角色，用于管理和控制域内的计算机和用户。

主副域控制工作机制是一种常见的配置方式，用于提高域控制器的可用性和容错性。

本文将详细介绍主副域控制工作机制的原理和实施方法。

一、主副域控制工作机制的概述主副域控制工作机制是指在一个域中同时配置一个主域控制器和一个副域控制器的方式。

主域控制器负责处理域内的所有操作，而副域控制器则作为备份，以确保在主域控制器故障时能够无缝切换并继续提供服务。

这种工作机制可以提高域控制器的可用性和容错性，确保网络的稳定运行。

二、主副域控制工作机制的原理主副域控制工作机制的原理是通过域同步和故障切换来实现的。

主域控制器和副域控制器之间通过域同步机制保持数据的一致性。

主域控制器将域内的所有更改记录下来，并将这些更改传输给副域控制器，以确保副域控制器上的数据与主域控制器上的数据保持同步。

当主域控制器发生故障时，副域控制器会自动接管主域控制器的工作，并继续提供服务，从而实现故障切换。

三、主副域控制工作机制的实施方法1. 配置主域控制器：首先，需要选择一台服务器作为主域控制器，并安装相应的操作系统和域控制器软件。

然后，进行域控制器的配置和设置，包括域名、管理员账户、安全策略等。

最后，将主域控制器添加到域中，并进行必要的测试和验证。

2. 配置副域控制器：选择一台服务器作为副域控制器，并按照相同的步骤进行操作系统和域控制器软件的安装。

在配置过程中，需要指定主域控制器的名称和地址，以便副域控制器能够与主域控制器进行域同步。

完成配置后，将副域控制器添加到域中，并进行测试和验证。

3. 配置域同步：在主副域控制器之间配置域同步，以确保数据的一致性。

域同步可以通过多种方式实现，如使用文件复制、数据库复制或日志复制等。

根据实际情况选择合适的同步方式，并进行相应的配置和测试。

4. 测试和验证：完成主副域控制器的配置后，需要进行测试和验证，以确保主副域控制工作机制的正常运行。

计算机网络域服务器类型
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

1．主域控制器（PDC，Primary Domain Controller）
主域控制器是域命名的第一台Windows Server 2008计算机。

每个域都有一个主域控制器，并且只能有一个主域控制器，它是整个域的控制中心。

主域控制器为域保存主账户数据库和安全性政策，账户库中的所有改动都必须在主域控制器上进行，同时它负责对一个域中用户合法性检验。

2．后备域控制器（BDC，Backup Domain Controller）
后备域控制器是用于保存PDC目录数据库副本的服务器，在一个域可以有多个BDC。

BDC周期性地、自动地与PDC保持同步。

BDC也可以协助PDC对用户登录操作进行身份验证，分担PDC的工作，减轻PDC的工作负担。

此外，当PDC关机或出了故障时，BDC可以升级为PDC，但如果一个BDC升级为PDC，则在最后一次从原来的PDC拷贝目录数据库之后，用户对目录数据库所进行的更改都将会丢失。

主域控制器、后备域控制器都可作为文件、打印和应用程序的服务器。

3．独立的服务器（Stand Alone Server）
在域中不作为主域控制器和后备域控制器的域服务器称为独立的服务器，它可以用做专用文件、打印和应用程序的服务器。

它保存自身的数据库，域中的账户可被授权访问服务器上的资源。

1、确认额外域控制域已经关闭。

顺序开启磁盘阵列柜、主域控制器。

2、检查网络适配器的DNS是否配置正确，因为域控制器创建后，DNS会被重新配。

3、点击“开始”—“程序”—“管理工具”—“群集管理器”，开始配置第一台群集管理器；3、在“打开连接”的欢迎框中，要选择“创建新群集”，创建第一台群集管理器而言；4、在“向导”中，直接“下一步”；5、配置“群集名称和域”时，域名不要改动，群集名可以根据个人喜好填写；6、选择计算机名时，默认的为本机名称，可以“下一步”继续；7、在群集配置时，计算机自动搜索并配置磁盘阵列柜，挑选磁盘阵列柜中一个最小的磁盘来作为仲裁磁盘（如果之前划分过1G大小的磁盘，此时会将该盘作为仲裁磁盘。

仲裁磁盘故障可能导致整个群集失效；所以，除了进行群集管理外，不要使用仲裁磁盘执行其它任务。

），此处，如有错误可以点击日志察看，非红色警告可以继续“下一步”；8、群集的IP地址，必须是网络中没有被使用的IP地址，可以是临时的IP地址，在群集创建完成后可以变更的；9、群集服务帐户的用户名为创建域控制器时配置的域用户名称和密码，本文配置用户为LM；10、在提示推荐配置时，可以详细察看配置明细，如需要可以保存配置日志；11、创建群集时，如果存在严重错误，会有红色进度条警示，非红色警示可以“下一步”；12、恭喜“完成”；13、群集管理器创建完成后，系统自动登录群集，在群集管理器中可以看到本机的名称已经登录；在右侧的栏中为“运行”状态；14、配置管理群集：右键点击左栏群集的根目录，点击“属性”；15、需要察看配置的是“网络优先级”内容，将私网服务（心跳服务）的网卡（Private）排在第一位，公网网卡（Public）服务排在后；16、右键察看两块网卡的属性，公网网卡的角色为“所有通讯（混合网络）”，私网网卡的角色为“只用于内部群集通讯（专用网络）”；至此，群集创建完毕，双机热备的第一台服务器系统部分已经完成，可以进行其他的服务安装了。

产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。

b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

c) 分布式文件系统(DFS)客户端已被禁用。

2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。

第1章主备域控配置（win2003）1.1. 设置主域控：设置IP地址域控服务器的IP地址与首选DNS服务器必须一致，网关可不配置，如图1-1-1、图1-1-2：图1-1-1图1-1-21.2. 安装DNS组件由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以需要手动添加，添加方法为：【开始】—【设置】—【控制面板】—【添加删除程序】，然后再点击【添加/删除Windows组件】，则会显示如图1-2-1：图1-2-1鼠标向下拖动右边的滚动条，找到【网络服务】并选中，如图1-2-2：图1-2-2默认情况下所有的网络服务都会被添加，此时需点击下面的【详细信息】进行自定义安装，由于在这里只需要安装域名系统（DNS）一项，所以把其它的默认安装项全部去掉，以后需要的时候再另行安装，如图1-2-3：图1-2-3点击【确定】，然后一路点击【下一步】就可以完成域名系统（DNS）的安装。

在整个安装过程中务必保证Windows Server 2003的安装光盘位于光驱中，否则会出现找不到文件的提示。

1.3. 配置域控服务安装完域名系统（DNS）以后，需进行相关的配置操作，首先点击【开始】—【运行】，输入【dcpromo】，如图1-3-1：图1-3-1然后回车或点击确定按钮就可以看到Active Directory安装向导，此时直接点击【下一步】即可，如图1-3-2：图1-3-2当显示如图1-3-3，此处为提醒部署人员尽量采用Windows 2000及以上的操作系统来做为客户端，直接点击【下一步】即可：图1-3-3当显示如图1-3-1，如果确认当前是在进行第一台域控制器的配置，保持默认选择项：【新域的域控制器】，然后点击【下一步】即可：图1-3-1当显示如图1-3-5，选择【在新林中的域】，然后点击【下一步】：图1-3-5当显示如图1-3-6，需手动为其指定一个域名，此处以为例，输入完毕点【下一步】：图1-3-6当显示如图1-3-7，需要为新域指定NetBIOS名，此处保持默认，然后点击【下一步】：图1-3-7当显示如图1-3-8，是要进行AD数据库文件夹和AD日志文件夹的存放位置的指定，此处均以放置在D盘为例，指定完毕点击【下一步】：图1-3-8当显示如图1-3-9，是要指定SYSVOL文件夹的存放位置，此处同样以放置在D盘为例，指定完毕点击【下一步】：图1-3-9当操作者第一次部署域控时总会出现如图1-3-10所示的DNS注册诊断失败的画面，主要原因是：虽然刚刚安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以会出现诊断失败的现象，所以此时要选择“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS 服务器”一项，然后点击【下一步】：图1-3-10当显示如图1-3-11，是要进行权限的选择，此处选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，然后点击【下一步】：图1-3-11当显示如图1-3-12，是要为目录服务还原模式的管理员进行密码的设置（该密码须妥善保管），设置完毕后点击【下一步】：图1-3-12当显示如图1-3-13，部署人员需仔细检查刚刚执行过的所有步骤中输入的信息是否有误，如果确认有误可以点上一步进行检查和修改，如果确认无误的话，直接点击【下一步】开始AD的正式安装：图1-3-13安装配置过程如图1-3-11：图1-3-11安装配置结束显示如图1-3-15，点击完成按钮：图1-3-15当显示如图1-3-16，点击【立即重新启动】按钮图1-3-161.4. 修订DNS地址域控服务器重新启动后，查看网络配置，会发现首选DNS服务器变成“127.0.0.1”,如图1-1-1：图1-1-1此时，须修改首选DNS服务器地址为“192.168.5.167”。

主域控制器和额外域控制器问题讨论字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。

不知有没有人会？我也来说两句查看全部回复最新回复∙tomdoctor (2005-1-08 14:41:09)运行ntdsutil 把操作角色seize过来∙qjping (2005-1-11 21:41:08)请问楼上有没有操作过?∙tutuit (2005-1-17 08:36:32)往上搜索一下，有关seize的资料一大堆∙tutuit (2005-1-17 08:36:45)网上搜索一下，有关seize的资料一大堆∙xwbest (2005-1-17 13:37:41)把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的∙housten (2005-1-28 14:15:57)QUOTE:最初由xwbest 发布[B]把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]你成功过！太好了，能讲讲具体步骤吗！因为我试验过几次，都不成功。

关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。

不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)为什么要重新建立DNS我做的时候额外域控制器上的DNS与主域一样是起额外域控制器时自动建立没必要重建如果重建会有问题的∙xwbest (2005-1-28 17:16:50)而且客户机不用做任何的改动连额外域控制器上也不必该原来的DNS回自动转过来的我讲的是客户机的DNS不动也可以用∙stevenxia (2005-1-29 09:21:05)看看这篇文章，希望对你有所帮助：AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。