域控制器修复过程

域控制器修复过程

第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象

通过重新安装进行恢复的步骤和创建新DC的步骤相同。要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory站点中；

清理操作如下所述。步骤2和步骤3是在阅读本文时假设您已具备的知识。有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：

1.在命令行中，键入ntdsutil。

2.在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。

3.现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

4.在metadata cleanup提示符下键入connections，然后按Enter键。

5.键入connect to server <服务器名>，然后按Enter键。其中<服务器名>是从其上清除元数据的DC（同一域中的任

何工作正常的DC）。

6.键入quit，然后按Enter键。将返回元数据清除菜单。

7.键入select operation target，然后按Enter键。

8.键入list domains，然后按Enter键。将列出目录林中所有的域，其中每一个域都和一个编号相关联。

9.键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。

10.键入list sites，然后按Enter键。

11.键入select site <编号>，然后按Enter键，其中<编号> 是指该DC 所在站点的编号。

12.键入list servers in site，然后按Enter键。将列出该站点中所有的服务器，其中每一个服务器都有一个对应的编号。

13.键入select server <编号>，然后按Enter键，其中<编号> 是指要删除的DC。

14.键入quit，然后按Enter键。将显示元数据清除菜单。

15.键入remove selected server，然后按Enter键。

此时，应出现一条说明该DC已成功删除的确认信息。如果接收到一个错误，指出没有找到该对象，则可能该对象已经从Active Directory中删除了。

16.键入quit，然后重复按Enter键，以返回到命令提示符。

注意由于此过程需要修改配置命名上下文，所以此操作需要企业管理员权限。

如果新的DC名称与故障DC的名称不同，则应该执行以下附加步骤：

从站点和服务管理单元中删除故障服务器对象：

1.打开站点和服务管理单元。

2.选择适当的站点。

3.删除与故障DC 相关联的服务器对象。

从用户和计算机管理单元中删除故障计算机的帐户：

4.打开用户和计算机管理单元。

5.选择域控制器容器。

6.删除与故障DC相关联的计算机对象。

警告如果新计算机的名称与故障计算机的名称相同，请不要执行上述附加步骤。确保问题不是由硬件故障引起的。如果不更换故障硬件，则通过重新安装进行还原的方法会无济于事。

第二步，从站点和服务管理单元中删除故障服务器对象时，出现无法删除DSA对象处理

症状

如果您尝试在“Active Directory 用户和计算机”中删除域控制器的计算机帐户，您可能会收到以下错误消息：

Error:DSA object cannot be deleted（错误：无法删除DSA对象）

如果在您通过在域控制器上运行dcpromo 进程以将其降级之后删除该计算机帐户，就会发生此问题。

原因

若UserAccountControl 的值设置为8192，则会发生此问题。

解决方案

要解决此问题，请把UserAccountControl 值更改为4096。

备注：只有在下列任一情况属实时才可以使用此解决办法：

您已在域控制器上运行dcpromo 工具将其降级。

计算机硬件发生故障，您使用ntdsutil 进程清除了帐户元数据，然后从“Active Directory 站点和服务”中删除了帐户，但您仍不能删除该计算机帐户。

单击开始，指向程序，指向Windows 2000 支持工具，指向工具，然后单击ADSI 编辑。

展开Domain NC，展开dc=domain,dc=com，然后展开ou=domain controllers。

右键单击此计算机域控制器的名称，然后单击属性。

在属性选项卡上，将“Select which properties to view”（选择查看哪些属性）列表框中的两个属性都选中。

在“Select a property to view”（选择一个要查看的属性）列表框中，选择UserAccountControl。

在属性值下，查看其值。使其值为4096 以向该计算机帐户赋予成员服务器身份，以便能够删除它。

在编辑属性框中键入4096。单击设置按钮。单击应用，然后单击确定。退出“ADSI 编辑”。

注：上述处理后如果还不能删除，就直接用ADSI 编辑器删除相应对象

第三步，在另一台服务器上安装全新操作系统，运行DCpromo.exe（AD 安装工具），以将此计算机提升为域控制器角色

验证另一台服务器上的DNS 名称解析

验证第一个域控制器后，请使用下列步骤来验证第二个服务器上的DNS 名称解析。

1.以“管理员”身份登录另一台服务器。

2.在另一台服务器上打开一个命令提示符。

3.键入nslookup https://www.360docs.net/doc/9211212752.html, 然后按ENTER 键。您将看到下面的结果：

4.C:\>nslookup https://www.360docs.net/doc/9211212752.html,

5.Server:swpp-1. https://www.360docs.net/doc/9211212752.html,

6.Address: xxx.xxx.xxx.xxx

7.

https://www.360docs.net/doc/9211212752.html,: https://www.360docs.net/doc/9211212752.html,

9.Address: xxx.xxx.xxx.xxx

如果没有看到成功的名称解析（即响应中的第二个信息集），则请检查另一台服务器上的IP 设置，以确认它的首选DNS 服务器是原域控制器服务器的IP。Nslookup 首先告诉您哪个服务器在提供Nslookup 响应，然后再提供找到的信息。通过检查DNS MMC 正向搜索区域中的https://www.360docs.net/doc/9211212752.html,记录，验证原域控制器服务器的DNS 服务器上的DNS 记录。直到DNS 能正常运行后，才可继续。

在另一台服务器上运行DCPROMO

完成验证DNS 名称解析后，请使用下列步骤，将服务器提升为域控制器：

1.单击“开始”、“运行”，键入dcpromo，然后按ENTER 键。

2.单击“下一步”。

3.选择“现存域的其他域控制器”，然后单击“下一步”。

4.输入https://www.360docs.net/doc/9211212752.html, 域的Enterprise Administrator 凭据，并输入https://www.360docs.net/doc/9211212752.html, 作为域名，然后单击“下一步”。

5.输入https://www.360docs.net/doc/9211212752.html, 作为“域名”，然后单击“下一步”。

6.按如果您只有一个物理磁盘，请单击“下一步”以接受数据库和日志文件的默认位置。否则，请指定想要的文件位置。

7.单击“下一步”以接受默认的SYSVOL 文件夹位置。

8.输入此服务器的“目录服务还原模式管理员密码”，然后单击“下一步”。

9.查看设置，然后单击“下一步”以开始Active Directory 安装向导(Dcpromo.exe) 配置过程。

10.单击“完成”。

11.出现提示后单击“立即重新启动”。

验证另一台服务器名称注册

若要验证另一台服务器，请按下列步骤操作：

1.重新启动后，请以“管理员”身份登录。

2.单击“开始”、“程序”、“管理工具”、“DNS”。展开https://www.360docs.net/doc/9211212752.html,域，并验证新域控制器的记录在https://www.360docs.net/doc/9211212752.html,“正

向搜索区域”中注册的_msdcs、_sites、_tcp、_udp子域中可见。如果它们在DNS控制台中不可见，重新启动

NETLOGON 将启动记录注册。

3.验证“反向搜索区域”已经复制。

将域操作主机角色移到另一台服务器

原域控制器服务器是全局编录服务器，建议不要让此服务器上同时具有RID 主机、PDC 模拟器或基础结构主机操作主机角色。因此，此过程提供将这些角色移到另一台服务器所需的必要步骤。

若要将操作主机角色移到另一台服务器，请按下列步骤操作：

1.启动“Active Directory 用户和计算机”。

2.用鼠标右键单击“Active Directory 用户和计算机”树的顶层。

3.选择“连接到域控制器”。

4.从列表上选择“另一台服务器”，然后单击“确定”。

5.用鼠标右键单击https://www.360docs.net/doc/9211212752.html,域，然后选择“操作主机”。默认情况下会显示RID主机角色，请选择“更改”。

6.单击“是”以确认转移。

7.单击“确定”。

重复上述步骤，完成PDC 模拟器和基础结构主机操作主机转移。

第四步，在升级域控制器过程中提示“未能修改机器帐户XXXX$ 的必需属性,访问被拒绝。”处理

解决方案

要解决该问题，可以使用Administrators 组中的帐户，或者将合适的帐户添加到Administrators 组中。要将该权利授予其它用户或组：

在组策略对象中设置委派权限

1.在Active Directory 用户和计算机管理单元中，编辑域控制器组织单元上的默认域控制器策略。

2.双击计算机配置、Windows 设置、安全设置、本地策略，然后是用户权利指派。

3.在使用计算机和用户帐户能够被信任进行委派操作下，添加合适的帐户或组。

4.使用如下某种方法应用策略：

?在提示符下，键入secedit/refreshpolicy machine_policy /enforce。

?在站点和服务管理单元(Dssite.msc) 中，使用立即复制副本功能，强制在域中执行从更改策略的域控制器到其它域控制器的复制操作。

AD域服务器管理规范(修正版)

AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全，保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括：服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配，用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统（如Windows server2008等）系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员，负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份；Ineternet对外接口安全以及计算机系统病毒防范管理；各种软件的用户密码及权限管理；协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度，严守企业商业机密；

5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视，并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象，网络管理员应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员，并跟踪检查处理结果。 3.定时维护域服务器，及时组织清理磁盘（如：系统垃圾文件、各类文档临时储存文件等），保证服务器有充足空间，保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施，及时下载、更新最新的病毒库，防止服务器受病毒的侵害。 1.5、使用 1.帐号管理：所有网络管理员在使用或维护完域控服务器后，应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统，确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码，并定期更换密码，以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时，应由网络管理员统一调整，并及时修改。

主域控挂掉后的方法

主域控挂掉后的方法.txt婚姻是键盘，太多秩序和规则；爱情是鼠标，一点就通。男人自比主机，内存最重要；女人好似显示器，一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/9211212752.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

域控服务器迁移步骤(精)

域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车， 再输入:roles 回车， 再输入connections 回车， 再输入connect to server 192.168.1.20 （连接到额外域控制器） 提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20， 右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。 然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

公司域管理实施方案

域管理实施方案 一、目的 ●加强公司IT系统及网络系统的有效管控 ●提升公司电脑系统技术支持的服务效率 ●为公司移动办公提供安全支撑平台 前期已经搭建模拟网络测试环境，对域管理的各项技术及有关方案进行了初步测试。在域服务器建立后，将对公司内部电脑系统，实施域管理。 二、域管理的好处 ●用户集中管理，在办公环境，用户需要验证和授权，才能进入公司内部网络 ●加入了域管理的电脑，未经授权，不能安装非办公需要的软件，有效预防由于 私自安装第三方的软件而引起的各种系统、网络和资源占用等方面的问题 ●提升公司电脑系统的维护效率。用户电脑系统补丁和升级（如Windows补丁 升级、杀毒软件升级、其他办公软件升级等），域服务器将统一自动分发、安 装到域内各桌面电脑。节省网络带宽资源，防止重要的系统补丁没有及时安装 引起的安全隐患 ●对公司用户分类管理，根据实际情况，可对不同用户组提供不同的服务（包括 下载、软件安装、系统升级、授权等） ●集中化资源管理，公司各部门的工作文档、软件工具等统一归档在服务器上， 各部门同事根据被授予了访问权限才能查阅 ●域服务器统一管理网络打印机等公共设备，每台桌面电脑不需要安装打印机就 可打印文件资料 ●每个同事登陆和退出公司网络都有详细的跟踪记录，可以监控非法用户的访问 ●根据需要，有效管理相关同事使用公司网络的时间范围

有效支持公司未来移动办公的需求 三、域管理的具体方法 （1）域规划 1、建立AD域，命名为https://www.360docs.net/doc/9211212752.html, 2、计划建立单域的方式建立域控服务器，活动目录的逻辑结构由域和组织单元（OU）组成。 3、组织单元（OU）是一个用来在域中创建分层管理单位的单元，在域控中将会按照部门划分，暂时分为：总经办，财务部，运营部，销售部，研发部等，以后如有调整，可以适时修改。 4、用户名命名规则，两个字采用全拼，如张三，用户名为zhangsan；三个字及以上采用首字全拼加后面拼音首字母，如冯志强，用户名为fengzq；另可以根据用户自己需要采用英文名命名。 5、为保证域控稳定安装实施，将采用分布式逐个部门进行推广。 （2）DNS的规划实施 1. 首先我们要在DNS服务器上创建出一个区域，区域的名称和域名相同，域内计算机 的DNS记录都创建在这个区域中。 2. 区域创建完成后，建立正向反向查找，确保PC能够加入域。 （3）域管理实施 1.只能域登陆 IT部门会为公司各成员依照命名规则，在服务器上建立用户，账号会在服务器搭建完成后以邮件的形式发送给各位。

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

升级新域控后,手动删除旧主域控服务器

添加新域控后，手动删除旧主域控制器 如何手动删除/清除遗留的DC？我有一个DC，由于硬件损坏导致系统无法正常使用，DC的名字为DC02。 我重新安装了一台新的DC，取名为DC03。 我的问题是： 1 当类似有DC损坏，我重新安装新的DC时，是否可以将新的DC取名为DC02，这样会有问题么？ 2 如果向我上面那些安装新的DC03，原有的DC02的信息还在AD的数据库中，因为DC02已经无法降级，我该如何正确的将DC02从AD中清除掉 回答：根据您的描述，我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验，针对我们现在所遇到的情况，我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02，则在提升域控操作之前，我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法，我们可以参照 (KB216498)https://www.360docs.net/doc/9211212752.html,/kb/216498/zh-cn 1. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。 2. 在命令提示符处，键入 ntdsutil，然后按 Enter。 3. 键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

4. 键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set credsDomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。 5. 键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit，然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target，然后按 Enter。 8. 键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。 9. 键入 select domain number，然后按 Enter；其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。 11. 键入 select site number，然后按 Enter；其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。 12. 键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。 13. 键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除

Windows server 域控制器 迁移 操作主机

Windows域迁移方法 1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色（又称FSMO）： 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向“所有任务”，然后单击“操作主机”。 5. 单击其中要改的选项卡，然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中，右键单击“Active Directory 架构”，然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中，右键单击“Active Directory 架构”，然后单击“操作主机”。

AD域控规划方案

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

WnowServer R 创建D域详细教程

Windows Server 2012 R2 创建AD域 前言 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。 环境 网络子网掩码网关 域名 创建域的必备条件 DNS域名：先要想好一个符合dns格式的域名，如 DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器） 注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。创建网络中的第一台域控制器 修改机器名和ip 先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成 安装域功能 选择服务器 选择域服务 提升为域控制器 添加新林 此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。 选择林功能级别，域功能级别。、 此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别 默认会直接在此服务器上安装DNS服务器 第一台域控制器必须是全局编录服务器的角色 第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。 目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码 出现此警告无需理会 系统会自动创建一个netbios名称，可以更改。 不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信 数据库文件夹：用了存储AD数据库 日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用了存储域共享文件（例如组策略）

如何将备用的域控制器升级到主域控制器111

如前面一片文章所提到的。比较麻烦的是，Exchange 2003的邮件服务器是安装在主域控制器上的，所以，主域控制器也被干掉了。 型号，做文件服务器的那台服务器也是域控制器，就要将这台文件服务器，升级到主域控制器了。 如果你没有执行过这样的动作，会觉得这是个很麻烦的事情。当我们操作过之后，你就会发现，其实这个不难。 首先，我们执行【netdom query fsmo】命令，来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.360docs.net/doc/9211212752.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样，我们这台域控制器，就成为了主域了。 最后，我们还要将这台服务器成为全局编目服务器。方法如下： 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目，把空格勾上就好 本文转自☆★黑白前线★☆- https://www.360docs.net/doc/9211212752.html, 转载请注明出处，侵权必究！ 原文链接：https://www.360docs.net/doc/9211212752.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]

如何建立域

如何建立域 下面是一篇是如何建立域，如何加入域的分配域成员的教程，希望对大家有所帮助。 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

如图1 向下搬运右边的滚动条，找到“网络服务”，选中: 如图2

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 如图3 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”: 这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

AD域服务器管理制度

集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全，保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括：服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称，IP地址分配，用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统（如 Windows server 2008等）系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门，负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作； 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份；internet对外接口安全以及计算机系统防病 毒管理；各种软件的用户密码及权限管理；协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度，严守企业商业机密； 6.其他员工执行服务器安装管理制度，遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4．管理 1.系统管理员每日定时对域控服务器进行日常巡视，并填写《网络运行日志》。

2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析，制定处理方案，采取积极 措施，并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器，及时组织清理磁盘，保证服务器有充足空间，网络系统能够正常运行。 4.制定域控服务器的防病毒措施，及时下载最新的防病毒补丁，防止服务器受病毒的侵害。 5.公司新IT员工（或外包人员）需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销：所有IT员工（或外包人员）在使用或维护完域控服务器后，应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统，确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码，并三个月更换一次密码，以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时，应 由计算机管理人员统一调整，并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况，将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片，也可根据需要从档案借出原始盘片，复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载，并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》，就软件技术问题与软件商联系，并负责软件的 升级，升级程序执行。 1.7、系统保密制度

域控制器建立完整教程

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】

[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添 加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在 这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位 了。 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车 就可以看到“Active Directory安装向导”

如何降域(主域控挂掉后的方法)

Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/9211212752.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机

此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的，目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机 默认，这五种FMSO存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析

简述Win 2003域控制器的迁移

简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一，由于域控制器的种种优势，当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时，种种问题也相应出现，对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生，网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几，我们在此便讨论一下这个问题。 说明：根据上图可知A为B的主域控，在此我们只给大家作了一个模拟环境，实际当中，主域和子域可以不在一个网段内，也可以分布在用VPN相连的Intranet内，其原理是一样的。我们在此仅对A域控下的B域控做迁移工作，迁移过程为：首先B域控迁移到准备替换DC的PC上，down掉B域控，使得客户端工作无影响，再次对B主机作重灌windows 2003 server ，并替换PC的DC，这个过程中要求对客户端无任何影响。以下为操作步骤： 步骤1.备份DC的安装

(1)选用一台PC，安装windows 2003 server，设置IP为192.168.10.2;主机名为adbak，重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择：现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码，权限为管理级，域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上，用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS：解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2，以及各个主机记录是否解析正常 (5)Active Directory站点和服务，设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下，键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入：ntdsutil-roles-connections-connections to server https://www.360docs.net/doc/9211212752.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明)：[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize

主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复，最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！ 其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～ 本贴说明： ....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！ AD、DC说明： .域名：https://www.360docs.net/doc/9211212752.html, ..主域：DC-ISA-NLB-1 ..副域：DC-ISA-NLB-2 .系统：2003企业版 故障情况：（真实环境跑完全过程..） ..主域崩溃，副域无法正常工作，如： ....无法浏览https://www.360docs.net/doc/9211212752.html, 中 Active Directory用户和计算机，提示无法连接错误； ....AD管理项目均报错，组策略.....等； ....域用户无法登录； 解决方法：（以上是在副域上操作） ..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录； ..使用命令：ntdsutil.....AD工具 ..过程：（大概6-8分钟） C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...～～ 以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧： ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’； .....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’； ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA－NLB-1’； ...........a.选中分支‘NTDS Settings’； ...........b.点击‘删除’，对话框‘选择第三项’； .....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’； .....3.点击‘DC-ISA－NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’，全局编录前打上勾； 完工....以上搞点后，余下就可以慢慢修复你的主域了。