主域控损坏Active Directory转移
删除WindowsAD域控制器的三种方法
删除WindowsAD域控制器的三种方法一、域控可以正常工作1、删除辅助域控:单击“开始”,单击“运行”,然后键入以下命令:dcpromo /forceremoval然后按提示操作。
2、删除主域控:1)打开Active Directory 用户和计算机->Domain Controllers,右键点击所要删除的辅助域控,在菜单上选择删除.确定删除这台域控制器永远为脱机并且不再能用,运行Active Directory 安装向导(dcpromo)将其降级确定删除然后到控制面板-->管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除;他会有3种选择:1.域控制器降级,继续当计算机使用2.重新开启AD复制3.这台域控制器永远为脱机并且不再能用Active Directory 安装向导(dcpromo)将其降级。
删除NTDS Settings以后就可以把辅助域服务器删除掉了。
二、某台辅助域控已经不可用:在主域控上使用ntdsutil来清除无效的域控,具体操作方法可以参考下面的链接:/kb/216498/zh-cn三、上面使用的是Microsoft推荐的标准方法,但我发现使用图形界面也能彻底删除已经彻底损坏的域控。
到管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除;再删除DNS服务器中所有记录并重启,也能够彻底删除掉废弃的域控。
但如果不重启主域控,则不能使用原域控的主机名作为新域控来重新加入。
ActiveDirectory域控制器安装手册
ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式,⽤于管理组成组织⽹络的标识和关系。
Active Directory与Windows Server 2008 R2的集成,为我们带来了开箱即⽤的功能,通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。
Active Directory域服务(AD DS,Active Directory Domain Services)存储⽬录数据,管理⽤户和域之间的通信,包括⽤户登录过程、⾝份验证,以及⽬录搜索。
此外还集成其它⾓⾊,为我们带来了标识和访问控制特性和技术,这些特性提供了⼀种集中管理⾝份信息的⽅式,以及只允许合法⽤户访问设备、程序和数据的技术。
1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。
利⽤Active Directory,我们可以在⼀个安全集中的位置中,⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。
*审查。
对Active Directory对象的修改可以记录下来,这样我们就可以知道这个对象做了哪些修改,以及被修改属性的历史值和当前值。
*粒度更细的密码。
密码策略可以针对域中单独的组进⾏配置。
不需要每个帐户都使⽤域中相同的密码策略了。
*只读的域控制器。
当域控制器的安全⽆法得到保障时,我们可以部署⼀台只有只读版本Active Directory数据库的域控制器,例如在分⽀办公室,这种环境下域控制器的物理安全都是个问题,⼜如承载了其他⾓⾊的域控制器,其他⽤户也需要登录和管理这台服务器。
只读域控制器(RODC,Read-Only Domain Controllers)的使⽤,可以防⽌在分⽀机构对它潜在的意外修改,然后通过复制导致AD森林数据的损坏。
Active Directory 备份与还原
Active Directory 备份与还原在域的环境中,要定期的备份AD数据库,当AD数据库出现问题时,可以通过备份的数据还原AD数据库。
备份文件和文件夹的用户必须具有特定权限和权利的用户才可以,如果是本地组中的管理员或Backup Operator,则只能备份本地计算机上本地组所适用的所有文件和文件夹。
同样,如果是域控制器上的管理员或备份操作员,可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。
活动目录的备份第一步:依次打开命令提示符,输入【Ntbackup】回车第二步:选择【高级模式】,显示备份工具界面,也可以下一步通过向导第四步:选择备份选项卡,选中需要备份的磁盘或者System Status。
选择保存的路径注:如果只想备份活动目录的话,那么只需要备份一下系统状态就可以了。
但在这里建立最好是将整个系统盘做一个完整的备份,以防止丢失一些其他的数据。
第五步:开始备份,在选择备份方式时,需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡,这里可以选择你想备份的类型,第六步:单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步:进入目录服务还原模式。
重新启动计算机,在进入Windows Server 2003 的初始画面前,按F8键进入Window高级选项菜单界面。
通过键盘上的方向键选择【目录服务还原模式】第二步:进入还原向导操作。
运行【ntbackup】选择高级模式,选中要还原的数据第三步:点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息,应该妥善保护。
为了安全起见,应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。
如果想进行更深入的保护,可以把AD数据库文件转移到一个有冗余或者镜像的卷,以便磁盘发生错误的时候可以恢复。
第一步:进入【目录服务还原模式】第二步:进入命令提示符:输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车(选择数据库移动的盘符)完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见,还原目录数据库时需设置密码保护步骤如下:首先必须进入【目录服务还原模式】进入命令提示符,输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码,确认密码完成。
主域控挂掉后的方法
四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
________________________________________
三、从AD中清除主域控制器对象
3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从AD中删除;
主域控制器损坏后
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~本贴说明:....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!!AD、DC说明:.域名:..主域:DC-ISA-NLB-1..副域:DC-ISA-NLB-2.系统:2003企业版故障情况:(真实环境跑完全过程..)..主域崩溃,副域无法正常工作,如:....无法浏览 中 Active Directory用户和计算机,提示无法连接错误;....AD管理项目均报错,组策略.....等;....域用户无法登录;解决方法:(以上是在副域上操作)..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录;..使用命令:ntdsutil.....AD工具..过程:(大概6-8分钟).登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。
建議您登入要指派FSMO 角色的網域控制站。
登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
.按一下[開始],按一下[執行],在[開啟]方塊中輸入ntdsutil,然後按一下[確定]。
.輸入roles,再按下ENTER。
.輸入connections,再按下ENTER。
.輸入connect to server servername,然後按ENTER,其中servername是您要指派FSMO 角色的網域控制站之名稱。
.在server connections提示字元中輸入q,然後按下ENTER。
.輸入seize role,其中role是您要抓取的角色。
Active Directory域服务、域名服务和复制问题的故障排除
• 域控制器性能下降 • 监视系统生成警报 • 域控制器之间没有复制数据
事件排查
• 事件日志报告的事件 • 监视系统(如scom 2007)生产的警报 • 用户报告的问题 • IT人员注意到的问题
• 最佳做法:scom 2007和active directory management pack)
服务器或服务不可用 资源访问控制列表限制 配置问题
组策略
Gpresult.exe gpupdate /force
Netdiag命令
测试名称 Autonet 绑定 浏览器 DcList DefGw DNS 说明 检查网络适配器是否在使用APIPA(自动专用IP地址)。 列出网络绑定,包括接口名称、下面和上面模块名称,指出这个绑定目前是否启用 并且报告这个绑定的拥有者。 列出浏览器服务和重新定向器的全部网络协议。 获得一个这个域名的域名控制器列表。 用每一个配置的默认网关验证连接。 验证配置的DNS服务器的可用性并且验证客户端的DND注册。 从目录服务中获得任何域名控制器的名称,然后获得PDC仿真器的名称。验证存储 在本地安全认证中的域名GUID与存储在DC中的域名GUID是否一致。 逐个列出每一个网络适配器的TCP/IP设置。 查验每一个适配器的回送地址127.0.0.1 。 检查Ipsec是否启用。如果启用,列出这台计算机的所有现用的IPsec 政策。 列出IPX统计(如果安装的话) 验证Kerberos身份识别软件包是否是最新的。 联系所有可用的域名控制器并且确定哪一个LDAP身份识别协议正在使用。
时间同步nettime域控制器可用性netdiagset组成员身份问题故障排除物理网络问题ipconfigping名称解析问题pingnslookupipconfig登录问题netdiagdsamsc验证选择了正确的域名或本地计算机名验证令牌智能卡证书或配置gpresultnettimerepadmin服务器或服务不可用服务或事件查看器资源访问控制列表限制acladds权限组成员身份配置问题防火墙组策略gpresultexegpupdateforcenetdiag命令测试名称说明autonet检查网络适配器是否在使用apipa自动专用ip地址
解决Active Directory域服务当前不可用问题的教程
解决Active Directory域服务当前不可用问题的教程
要是有重要文件需要打印,可是打印机却罢工并且提示Active Directory域服务当前不可用,肯定会给用户(雨林木风U盘启动盘)带来很多困扰。
因此我们给大家(雨林木风U盘启动盘)介绍解决Active Directory域服务当前不可用的操作步骤。
1、点击电脑(雨林木风U盘启动盘)左下方“windows”图标,然后选择“控制面板”选项。
2、将控制面板选择窗口的查看方式更改成“大图标”,接着找到“设备和打印机”选项,如图所示:
3、进行选择需要添加的打印机类型,添加打印机
完成后,将打印机设成共享,如图所示:
4、按下“win键+r键”组合键打开“运行”窗口,输入“services.msc”命令,按“确定”按钮,如图所示:
5、从打开的服务窗口找到“print spooler”属性并且双击打开,如图所示:
6、将弹出的属性窗口中启动类型设置成“自动”,然后把服务状态设置成启动(启动状态可以先停止后再启动),接着按下“确定”按键,如图所示:
上述就是关于Active Directory域服务当前不可用的解决方法(雨林木风U盘启动盘),大家记得要给连接打印机的电脑(雨林木风U盘启动盘)帐户设置密码,还有记住要将打印机设置成共享和关闭防火墙。
希望可以帮到大家。
(Active Directory)域故障解决实例(一)
这部分内容将以实例的形式,介绍活动目录(Active Directory)的域故障排除,基本上遵循由易到难,由简到繁的顺序来讲解讨论。
Q1、客户机无法加入到域?一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。
普通用户登录进来,更改按钮为灰色不可用。
并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。
”吗?这时如何在这台计算机上登录到域呀!显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。
也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。
这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。
再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。
注意:域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。
解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP地址,然后开始进行网络身份验证。
DNS不可用时,也可以利用浏览服务,但会比较慢。
2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工删除Active Directory 数据
三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。
如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。
使用“metadata cleanup”清理不使用的服务器的对象
使用“connections”连接到一个特定域控制器
使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。
使用“select operation target”选择站点
使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。
使用“select site 0”就是选中站点了。
使用“list domains in site”列出所选站点中的域,只有 一个域,还是用0代表。
使用“select domain 0”选中这个域。
使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。
使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。
使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。
最后使用“quit”命令退出就可以了。
我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
出现一个对话框,选择“是”
现在“DENVER”已经没有了,展开site->default-first-site-name->servers,展开FIRENZE,右击“NTDS Settings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:
现在把“全局编录”也转到FIRENZE上了。
四、打开“AD用户和计算机”找到“DENVER”也就是原来的主域控制器,右击“删除”。
选择“是”删除此对象
选择“这台域控制器永远为脱机”单击“删除
选择“是”就把DENVER删除掉了
已经删除了“DENVER”
现在已经把“Active Directory”中的数据删除完成。
指定五个操作主机角色
五、在上篇博文我们删除了“Active Directory”中的数据,现在把额外域控制器(FIRENZE)指定为主域控制器。
如下图所示:在命令行中输入“ntdsutil”
如果不知道下面的命令是什么,还是在这里输入一个?,就会显示你需要的命令。
因为我们是要指定角色,所以我们选择“管理NTDS角色所有者令牌”对应的命令“roles”。
选择“连接到一个特定域控制器”输入对应的命令“connections”。
选择连接到服务器,因为要指定给自己,所以在这里的服务器就是自己,输入“connect to server firenze”就连接到自己了。
连接到自己后,我们使用“quit”命令返回到上一个菜单,就是下图所显示的,执行白框中的五条命令,就可以把操作主机角色指定到额外域控制器上,也就是指定给FIRENZE。
我们先执行第一条命令,按回车键就会出现下面的对话框,选择“是”。
我们看到下面的图上出现了“传送失败”这时候千万别放弃,在执行一次同样的命令,就会“传送成功”。
依次执行五条命令现在额外域控制器(FIRENZE)占有了五个操作主机角色,也就变成主域控制器。
转移五个操作主机角色
六、做到现在我们的实验也快要成功了,我们最终目的是要让原来的主域控制器修好后,继续做主域控制器。
也就是和
拓扑中的一样,让DENVER做主域控制器,FIRNEZE做额外域控制器。
下面我们就开始做打开DENVER,当然现在的
DENVER已经什么都没有了。
配好和原来一样的IP地址,我们首先,在DENVER上安装额外域控制器,安装好以后使用另外一种方法“转移”,最后把FIRENZE的五个角色转移到DENVER上面。
给DENVER安装额外域控制器我就不详细介绍了,前面已经详细介绍过。
下面就是要让FIRENZE把五个角色转移给DENVER,在FIRENZE上使用前面已经介绍过的工具“ntdsutil”。
使用“roles”命令,打开“管理NTDS角色所有者令牌”。
使用“connections”命令,连接到一个特定域控制器。
使用“connect to server denver”命令连接到DENVER这台服务器,使用“quit”命令退出到上一级菜单。
使用下面框中的五条命令把五个角色转移给DENVER
执行下面命令的时候会出现一个对话框,选择“是”。
依次执行五条命令,就可以把五个操作主机角色转移给DENVER。
如下图所示:如果没有出现错误信息,就是做成功了。
打开“DENVER”的“Active Directory站点和服务”,展开site下的default-first-site-name下的servers,展开FIRENZE,右击“NTDS Settings”点“属性”。
把“全局编录”前面的勾去掉,因为现在FIRENZE已经不是主域控制器。
展开DENVER,右击“NTDS Settings”点“属性”。
勾上“全局编录”
现在我们检查一下是否把五个角色转移到DENVER服务器,打开windows2003光盘,安装一个SUPTOOLS.MSI工具。
打开“windows support tools”工具,使用“netdom query fsmo”命令,就可以查看,如图中所示:五个角色已经全部转移到DENVER,实验终于做完了,现在就如拓扑中一样BERLIN是DNS服务器,DENVER是主域控制器,FIRENZE是额外域控制器。
如果有写的不对之错希望大家能够多多指点。