主域控损坏Active Directory转移
手工删除Active Directory 数据
三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。
使用“metadata cleanup”清理不使用的服务器的对象
使用“connections”连接到一个特定域控制器
使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。
使用“select operation target”选择站点
使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。
使用“select site 0”就是选中站点了。
使用“list domains in site”列出所选站点中的域,只有https://www.360docs.net/doc/2c16067085.html, 一个域,还是用0代表。
使用“select domain 0”选中https://www.360docs.net/doc/2c16067085.html,这个域。
使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。
使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。
使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。
最后使用“quit”命令退出就可以了。
我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
出现一个对话框,选择“是”
现在“DENVER”已经没有了,展开site->default-first-site-name->servers,展开FIRENZE,右击“NTDS Settings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:
现在把“全局编录”也转到FIRENZE上了。
四、打开“AD用户和计算机”找到“DENVER”也就是原来的主域控制器,右击“删除”。
选择“是”删除此对象
选择“这台域控制器永远为脱机”单击“删除
选择“是”就把DENVER删除掉了
已经删除了“DENVER”
现在已经把“Active Directory”中的数据删除完成。
指定五个操作主机角色
五、在上篇博文我们删除了“Active Directory”中的数据,现在把额外域控制器(FIRENZE)指定为主域控制器。如下图所示:在命令行中输入“ntdsutil”
如果不知道下面的命令是什么,还是在这里输入一个?,就会显示你需要的命令。因为我们是要指定角色,所以我们选择“管理NTDS角色所有者令牌”对应的命令“roles”。
选择“连接到一个特定域控制器”输入对应的命令“connections”。
选择连接到服务器,因为要指定给自己,所以在这里的服务器就是自己,输入“connect to server firenze”就连接到自己了。
连接到自己后,我们使用“quit”命令返回到上一个菜单,就是下图所显示的,执行白框中的五条命令,就可以把操作主机角色指定到额外域控制器上,也就是指定给FIRENZE。
我们先执行第一条命令,按回车键就会出现下面的对话框,选择“是”。
我们看到下面的图上出现了“传送失败”这时候千万别放弃,在执行一次同样的命令,就会“传送成功”。
依次执行五条命令现在额外域控制器(FIRENZE)占有了五个操作主机角色,也就变成主域控制器。
转移五个操作主机角色
六、做到现在我们的实验也快要成功了,我们最终目的是要让原来的主域控制器修好后,继续做主域控制器。也就是和
拓扑中的一样,让DENVER做主域控制器,FIRNEZE做额外域控制器。下面我们就开始做打开DENVER,当然现在的
DENVER已经什么都没有了。配好和原来一样的IP地址,我们首先,在DENVER上安装额外域控制器,安装好以后使用另外一种方法“转移”,最后把FIRENZE的五个角色转移到DENVER上面。
给DENVER安装额外域控制器我就不详细介绍了,前面已经详细介绍过。下面就是要让FIRENZE把五个角色转移给DENVER,在FIRENZE上使用前面已经介绍过的工具“ntdsutil”。
使用“roles”命令,打开“管理NTDS角色所有者令牌”。
使用“connections”命令,连接到一个特定域控制器。使用“connect to server denver”命令连接到DENVER这台服务器,使用“quit”命令退出到上一级菜单。
使用下面框中的五条命令把五个角色转移给DENVER
执行下面命令的时候会出现一个对话框,选择“是”。依次执行五条命令,就可以把五个操作主机角色转移给DENVER。
如下图所示:如果没有出现错误信息,就是做成功了。
打开“DENVER”的“Active Directory站点和服务”,展开site下的default-first-site-name下的servers,展开FIRENZE,右击“NTDS Settings”点“属性”。
把“全局编录”前面的勾去掉,因为现在FIRENZE已经不是主域控制器。
展开DENVER,右击“NTDS Settings”点“属性”。
勾上“全局编录”
现在我们检查一下是否把五个角色转移到DENVER服务器,打开windows2003光盘,安装一个SUPTOOLS.MSI工具。
打开“windows support tools”工具,使用“netdom query fsmo”命令,就可以查看,如图中所示:五个角色已经全部转移到DENVER,实验终于做完了,现在就如拓扑中一样BERLIN是DNS服务器,DENVER是主域控制器,FIRENZE是额外域控制器。如果有写的不对之错希望大家能够多多指点。
主域控挂掉后的方法
主域控挂掉后的方法.txt婚姻是键盘,太多秩序和规则;爱情是鼠标,一点就通。男人自比主机,内存最重要;女人好似显示器,一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/2c16067085.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
域名添加ICP备案操作流程精修订
域名添加I C P备案操作 流程 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
域名添加ICP备案号操作流程 一、分公司预注册系统提交工单及要求 1、原备案用户名:密码: 2、原备案主办单位名称: 3、原备案的网站域名: 4、原备案取得的备案号: 5、新添加的域名: 6、新添加域名的网站名称(注明:写单位名称): 7、新添加域名指向的IP(无需分公司填写): 8、网站负责人姓名: 9、网站负责人有效证件类型:身份证 10、网站负责人有效证件号码: 11、网站负责人办公电话: 12、网站负责人中国移动手机号码: 13、网站负责人电子邮箱: 14、请注明新添加的域名有无涉及前置审批(从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务) 二、需要客户出具的具体资料(相关表格模板见附件) 广东省内客户资料无变化(即仍为以下7点电子版) 1、企业:清晰有效的企业营业执照原件扫描上传至扫描系统。(副本、年检)事业单位:清晰有效的组织机构代码证原件扫描上传至扫描系统。 2、主办单位负责人(即网站负责人)身份证原件扫描件(正反两面,扫描至同一张纸)以及《法人授权书》签字加盖红色公章,原件扫描件上传至扫描系统。 备注:如果负责人姓名与法人代表姓名相同,则只需要提供法人代表人的身份证原件扫描件(正反两面,扫描至同一张纸)即可,无需提供《法人授权书》。
3、《信息安全管理协议书》甲方处签名加盖红色公章,原件扫描件上传至扫描系统。 4、《网站备案信息真实性核验单》网站负责人签字处签字,单位盖章处加盖红色公章。原件扫描件上传至扫描系统。 备注:核验人处为接入商填写信息,无需客户填写盖章。 5、域名证书原件扫描件上传至扫描系统。(多个域名至提供一份证书即可) 6、主办单位负责人(即网站负责人)彩色半身有肩纯底色照片一张。像素为:800*600。扫描至扫描系统。 7、《域名授权书》:当域名所有人与备案单位名称不一致时,需要出具该授权书。要求授权人和被授权人签字盖章,原件扫描至扫描系统。 广东省外客户(以下需要邮寄的资料需等总部审核通过之后方可) 1、企业:清晰有效的企业营业执照原件扫描上传至扫描系统。(副本、年检)事业单位:清晰有效的组织机构代码证原件扫描上传至扫描系统。 复印件加盖红色公章2份邮寄至总部。 2、主办单位负责人(即网站负责人)身份证原件扫描件(正反两面,扫描至同一张纸)以及《法人授权书》签字加盖红色公章,原件扫描件上传至扫描系统。 备注:如果负责人姓名与法人代表姓名相同,则只需要提供法人代表人的身份证原件扫描件(正反两面,扫描至同一张纸)即可,无需提供《法人授权书》。 身份证复印件及《法人授权书》原件加盖红色公章各2份邮寄至总部。 3、《信息安全管理协议书》甲方处签名加盖红色公章,原件扫描件上传至扫描系统。 签订2份原件加盖红色公章,邮寄至总部。 4、《网站备案信息真实性核验单》网站负责人签字处签字,单位盖章处加盖红色公章。原件扫描件上传至扫描系统。 备注:核验人处为接入商填写信息,无需客户填写盖章。 签订2份原件加盖红色公章,邮寄至总部。 5、域名证书原件扫描件上传至扫描系统。(多个域名至提供一份证书即可)
升级新域控后,手动删除旧主域控服务器
添加新域控后,手动删除旧主域控制器 如何手动删除/清除遗留的DC?我有一个DC,由于硬件损坏导致系统无法正常使用,DC的名字为DC02。 我重新安装了一台新的DC,取名为DC03。 我的问题是: 1 当类似有DC损坏,我重新安装新的DC时,是否可以将新的DC取名为DC02,这样会有问题么? 2 如果向我上面那些安装新的DC03,原有的DC02的信息还在AD的数据库中,因为DC02已经无法降级,我该如何正确的将DC02从AD中清除掉 回答:根据您的描述,我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验,针对我们现在所遇到的情况,我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02,则在提升域控操作之前,我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法,我们可以参照 (KB216498)https://www.360docs.net/doc/2c16067085.html,/kb/216498/zh-cn 1. 单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。 2. 在命令提示符处,键入 ntdsutil,然后按 Enter。 3. 键入 metadata cleanup,然后按 Enter。根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4. 键入 connections,然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。为此,请键入 set credsDomainNameUserNamePassword,然后按 Enter。如果密码为空,则键入 null 作为密码参数。 5. 键入 connect to server servername,然后按 Enter。然后出现一条确认消息,说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit,然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target,然后按 Enter。 8. 键入 list domains,然后按 Enter。将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。 9. 键入 select domain number,然后按 Enter;其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites,然后按 Enter。将出现一个站点列表,其中每个站点都带有一个关联的编号。 11. 键入 select site number,然后按 Enter;其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。 12. 键入 list servers in site,然后按 Enter。将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。 13. 键入 select server number,其中 number 是与要删除的服务器关联的编号。将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除
多域控制器环境下A D灾难恢复
多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/2c16067085.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
电脑加入域步骤
前言 为何要加入域? 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,加入域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员可以基于域的“目录服务数据库”来进行集中管理、共享资源。如用户、组、计算机帐号、权限设置、组策略设置等。目录服务为用户提供唯一的用户和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户和密码登录。在Windows 2000/XP/2003工作站加入到域后,更可以接受域控制器的补丁更新和安全防护。
1我的电脑如何加入域 1.1 加入域的步骤 以WindowsXP为例。 1、首先需要将“本地连接”中的DNS服务器地址指向具体的ip。 2、右键点击“我的电脑”,选择“属性”,在“系统属性”中选择“计算机 名”中的“更改”后: 3、在“隶属于”中点选“域”,并输入域名:*https://www.360docs.net/doc/2c16067085.html,,后点击确定,如果 之前的DNS没有配置刚才设定的ip时,这一步会提示错误。 4、点击“确定”后,会提示要求域管理员用户和密码验证; 5、成功的话出现欢迎对话框,随后系统会要求重启,按照要求操作才能将域 生效。 1.2 重新登录后的操作 重启动后在登录时,点击选项,出现“登录到”的选择栏,选择域名; 用户名输入各自拼音的全称;初始密码为先输入拼音的简拼即第一个字母。 系统登录后会出现全新的界面,桌面都和原来不一样了。不要着急,没关系,只是保存在另一个地方,等会考过来就复原了。 这个等下做,我们先进入“控制面板”,点击“用户帐户”,会提示您不是本
机管理员,要先输入本机之前的密码后,点击确定就可以进入查看“用户帐户” 点击“添加”,如下图 在上图中,输入域用户的帐号与密码 输入后,点下一步,选择“其他”中的Administrators后,点击完成。 成功后根据系统提示注销,再进入系统你的用户将会具有管理员权限。
如何将备用的域控制器升级到主域控制器111
如前面一片文章所提到的。比较麻烦的是,Exchange 2003的邮件服务器是安装在主域控制器上的,所以,主域控制器也被干掉了。 型号,做文件服务器的那台服务器也是域控制器,就要将这台文件服务器,升级到主域控制器了。 如果你没有执行过这样的动作,会觉得这是个很麻烦的事情。当我们操作过之后,你就会发现,其实这个不难。 首先,我们执行【netdom query fsmo】命令,来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.360docs.net/doc/2c16067085.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样,我们这台域控制器,就成为了主域了。 最后,我们还要将这台服务器成为全局编目服务器。方法如下: 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目,把空格勾上就好 本文转自☆★黑白前线★☆- https://www.360docs.net/doc/2c16067085.html, 转载请注明出处,侵权必究! 原文链接:https://www.360docs.net/doc/2c16067085.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]
域用户无法登录域故障处理(AD问题)
域用户无法登录域故障处理(AD 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。 使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上,但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。 额外数据 错误值: 1355 指定的域不存在,或无法联系。 内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录,并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。 目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.360docs.net/doc/2c16067085.html, 站点间传输(如果有): 其他数据 错误值: 1753 终结点映射器中没有更多的终结点可用。 [此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过]当前状态为[] ekin.liu
域控服务器备份和恢复
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系
统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:
如何降域(主域控挂掉后的方法)
Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/2c16067085.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的,目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机 默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析
runas应用,普通域用户的管理员权限
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.360docs.net/doc/2c16067085.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复,最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考,在狗狗搜索NNN编,但为何还是要写这篇呢,‘听不如看,看不如做,做不如写’嘿嘿,反正写写没多难,最紧要入脑袋!! 其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~ 本贴说明: ....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!! AD、DC说明: .域名:https://www.360docs.net/doc/2c16067085.html, ..主域:DC-ISA-NLB-1 ..副域:DC-ISA-NLB-2 .系统:2003企业版 故障情况:(真实环境跑完全过程..) ..主域崩溃,副域无法正常工作,如: ....无法浏览https://www.360docs.net/doc/2c16067085.html, 中 Active Directory用户和计算机,提示无法连接错误; ....AD管理项目均报错,组策略.....等; ....域用户无法登录; 解决方法:(以上是在副域上操作) ..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录; ..使用命令:ntdsutil.....AD工具 ..过程:(大概6-8分钟) C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...~~ 以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧: ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’; .....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’; ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA-NLB-1’; ...........a.选中分支‘NTDS Settings’; ...........b.点击‘删除’,对话框‘选择第三项’; .....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’; .....3.点击‘DC-ISA-NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’,全局编录前打上勾; 完工....以上搞点后,余下就可以慢慢修复你的主域了。
客户端不能加入域的解决方法和步骤
客户端不能加入域?解决资料整合 加入域出现以下错误,windows无法找到网络路径,请确认网络路径正确并且目标计算机不忙或已关闭?核心提示: 在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 故障现象:单位有一台运行Windows XP系统的办公用计算机,由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置,在“系统属性”的“计算机名”选项卡中加入域的时候,系统要求输入有权限将计算机加入域的用户名和密码(这表示已经找到域控制器)。然而,在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 解决方法: 由于客户端计算机能够找到域控制,因此可以确定网络的物理连接和各种协议没有问题。此外,由于可以在该计算机上找到域控制器,说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢?这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中,确保“Microsoft网络客户端”处于选中状态,然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一,利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项,则本地计算机没有访问Microsoft网络的可用工具,从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户,为系统安装常用的组件和协议可以避免很多网络故障的发生, 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端(域控制器):Microsoft网络文件和打印共享和网络负载平衡没选择上去, 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始:
域用户无法登录域故障处理(AD问题)
(AD 域用户无法登录域故障处理 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP :FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003 系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致 2.246 无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory 数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin 用户登陆FSBDC,打开运行,输入“ CMD”进入命令行状态使用Ntdsutil 工具,将FSMO中PDC角色抢夺过来。
ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” [此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过]当前状态为[已登记]ekin?IiU 2010-01-14 20:18:51其他问题: 在升级GC的时候,碰到一个问题,因原有Xin. Xingfa. Cn的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
详细操作步骤
详细操作步骤 一、供应商注册信息填写(企业) 1、进入注册界面:通过登录网址https://www.360docs.net/doc/2c16067085.html,进入采购平台门户首页,在页面右下方点击“供应商注册”按钮进行填写注册信息; (图1:注册按钮) 2、注册须知阅读:为所有供应商提供一个公正、公平、公开的平等互利的采购平台,需要严格遵守宁夏建材采购平台的规定的各项规章制度,同时,也是为了保护每位供应商的自身利益和系统的可持续发展,请详细阅读注册须知。 (图2) 3、注册信息填写:如果同意宁夏建材采购平台的注册须知,点击页面最下方的“开始注册”按钮进行填写注册信息。
目前供应商注册性质分为企业和个人两种,一种的是以企业名誉进行注册的,填写企业的相关信息;企业信息主要分两部分信息:基本信息和联系人信息,页面中带* 号的是必输信息,请按企业的实际情况进行填写:以下具体详细介绍: 基本信息 *性质:选择企业; *公司名称:填写真实的公司名称,以营业执照上的公司名称进行填写; 注册地址:根据企业实际情况填写,此项不是必填项; 工厂地址:根据企业实际情况填写,此项不是必填项; *经营地址:按企业实际经营地址进行填写,越详细越好,便于以后业务往来; *公司邮箱:按实际情况进行填写; 公司电话:按实际企业联系电话填写,需要能联系到业务联系人的座机,具体填写格式如: *法人代表:按企业营业执照上的法定代表人姓名进行填写; *经营范围:按企业营业执照上的经营范围内容填写; *是否统一社会信用代码证:根据实际情况进行选择; *社会信用代码证号:根据实际情况进行填写; *组织机构代码证号:根据实际情况进行填写。
(社会信用代码证号或组织机构代码证号,是校验注册的唯一标识,同一编号不能重复注册) (图3:基本信息填写,数据为虚拟演示数据)联系人信息 *联系人:填写业务往来的主要联系人姓名; *证件类型:证件类型主要四种类型,二代身份证,港澳通行证、台湾通行证、护照,默认是的二代身份证,请按实际证件类型选择; 联系人证件号:根据选择的证件类型填写对应的证件号; *手机号:根据实际联系人的手机号进行填写,供日后业务往来与重要信息接收; *联系人邮箱:根据实际情况填写联系人邮箱,如有企业邮箱,需填写企业邮箱地址,供以后业务信息接收。
主域控损坏Active Directory转移
手工删除Active Directory 数据 三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。 使用“metadata cleanup”清理不使用的服务器的对象 使用“connections”连接到一个特定域控制器
使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。 使用“select operation target”选择站点
使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。 使用“select site 0”就是选中站点了。 使用“list domains in site”列出所选站点中的域,只有https://www.360docs.net/doc/2c16067085.html, 一个域,还是用0代表。
使用“select domain 0”选中https://www.360docs.net/doc/2c16067085.html,这个域。 使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。 使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。 使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。 最后使用“quit”命令退出就可以了。 我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
Windows Server 2003环境下域控制器挂掉后的处理步骤
Windows Server 2003环境下域控制器挂掉后的处理步骤 前提 必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。 实验环境: ●域名:https://www.360docs.net/doc/2c16067085.html, ●第一台域控制器: ?计算机名:https://www.360docs.net/doc/2c16067085.html, ?IP:192.168.5.1 ?子网掩码:255.255.255.0 ?DNS:192.168.5.1 ?并且FSMO五种角色及GC全部在第一台域控上。 ●第二台域控制器: ?计算机名:https://www.360docs.net/doc/2c16067085.html, ?IP:192.168.5.2 ?子网掩码:255.255.255.0 ?DNS:192.168.5.2 灾难情况 第一台域控制器由于硬件原因,导致无法启动。客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的 让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。操作步骤 首先,要把第一台域控制器的所有信息从活动目录里面删除。 点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。 选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令: 显示一下Site中的域: 结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”: 选中后,按“q”退出到上一层菜单: 接下去删除服务器信息,出现提示后点是。 在上图中点击“是”:
Win2008 R2管理一:创建和加入域
Win2008 R2管理一:创建和加入域 最近微软放出了Windows Server 2008 R2和Windows 7的中文版,呵呵,符合国人的习惯,Windows Server 2008 R2最好玩的功能虚拟化高可用群集中的快速迁移和实时迁移我们在前面已经玩过了,高深的我们已经玩过了,没有玩过的也跟着我的博文一起玩过了,呵呵,本系列玩玩Windows Server 2008 R2的基础功能和配套Windows 7管理,例如域和一些其他管理上的新亮点和特性。 为什么要配套管理和做系列呢,因为相应的服务器版本是对应相应的客户端,例如windows 2000 server对windows 2000和windows server 2003对windows xp以及windows server 2008对windows vista。本年度微软发布的windwos server 2008 R2则是为windows 7量身定做的。 为什么要分版本对应呢,这里描述个简单的例子,假如域控使用windows server 2008构建,客户端使用windows xp来构建,某些组策略可能会无法套用,需要到微软下载专用的补丁才能正常套用,就像office2003要打开office2007创建的文档需要office兼容包,但是office兼容包不是随更新提供的,只是单独到微软网站下载的。如果网络上没有先例,可能只能将问题提到微软,如果是盗版用户,则无法获得微软的解答,到微软中文论坛提问则另当别论,呵呵,微软中文论坛的大牛多,运气好某个大牛在就给解答了。所以目前我公司的架构还没升级,域控为2003网域,其他服务器为2008,Windows Server 2008 R2只是个人测试中。 不说废话了,先描述我的环境, OS1安装windows server 2008 R2企业版 OS2安装windows 7 旗舰版 过程为创建域和用户以及加入域(图1) 1。创建Windows Server 2008 R2网域和创建域用户 首先在server使用dcpromo开始安装网域操作,步骤跟2003和2008都没什么太大的差异,基本上一样,因此也就不截图了 有一点不一样而已-林功能级别!(图2)