域控制器的强制卸载

域控制器的强制卸载

上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。例如我曾见过一个单位有10个域控制器，居然有7个不能相互复制，主要是管理员误以为域控制器越多越好….类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。域控制器强行卸载的原理也很简单，那就是卸载时不再通知复制伙伴，直接把AD删除就好。这样的卸载方式是要相对简单一些，但其实后续的操作很麻烦，例如我们需要在Active Directory中手工清除被强制卸载的域控制器，手工清除DNS中的SRV记录等。因此，如果不是万不得已，还是用常规卸载比较好。

如下图所示，我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载，我们进行强制卸载的目标是shanghai站点的Firenze。

一强制卸载域控制器

首先我们在被卸载的域控制器Firenze上打开cmd命令提示符，执行

dcpromo/forceremoval，forceremoval参数的作用就是执行强制卸载，如下图所示，卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更新。

接下来我们需要设置Firenze本地管理员的口令。

强制卸载域控制器后，Firenze将不再成为域内的成员服务器，而是会从域中脱离出去成为工作组中的独立服务器。

如下图所示，点击完成结束了域控制器的强制卸载。

二手工清除Active Directory数据

Firenze被强制卸载后，域内的其他域控制器并不知道这件事情，它们仍然认为Firenze

是域控制器的一员，因此我们必须手工将Firenze从Active Directory中清除出去。我们准备在Berlin上对Active Directory进行手工清理，然后Berlin再把清理后的Active Directory复制到其他域控制器就可以了。

在Berlin上运行NTDSUTIL，如下图所示，选择“Metadata Cleanup”，准备清除不使用的服务器对象。

然后使用“connections”准备连接到指定的域控制器执行删除操作，输入“connect to server berlin”连接到Berlin，然后输入“quit”返回上级菜单。

接下来我们需要使用“Select operation target”来选择被删除的服务器对象，选择服务器时，我们需要指定服务器所在的域和站点。我们可以先用list指令列出站点和域，然后再进行选择。Firenze隶属于shanghai站点，Firenze所在的域是https://www.360docs.net/doc/c910278842.html,。

如下图所示，我们首先用“list sites”列出了当前站点，然后用“select site 1”选定了shanghai站点，我们可以看到对站点的描述用的是数字而不是字符。选择了站点之后，我们接下来使用“list domains in site”列出了站点中的域，当前只有一个域https://www.360docs.net/doc/c910278842.html,，编号是0，因此我们接下来使用“select domain 0”就可以把域也选定了。域和站点都选定了，我们就可以进行服务器的选择了，使用“list servers for domain in site”可以列出所有的服务器，当前shanghai站点只有Firenze 一个域控制器，因此我们使用“select server 0”选定服务器Firenze。至此，被手工清理的目标已被我们锁定了。

用“quit”命令退出选择操作对象的环境，返回到上级菜单，然后我们使用“Remove selected Server”删除被选定的服务器对象Firenze。

NTDSUTIL提示我们对删除Firenze服务器的行为进行确认，我们选择“Y”确定操作。

这样Firenze被我们从Berlin的Active Directory中清除了，然后我们在Berlin上打开Active Directory用户和计算机，如下图所示，删除域控制器Firenze。

我们需要对删除Firenze的原因进行描述，如下图所示，Firenze是被我们强制卸载的。

确定要进行删除Firenze的操作，选择“Y“。

至此，我们在Berlin上基本完成了对Firenze的手工清除，完成操作后还需要注意以下几点：

1手工清除DNS中Firenze的SRV记录

2如果Firenze承担了操作主机角色，把操作主机角色转移到其他域控制器

3如果Firenze是全局编录服务器，选择其他的域控制器负责全局编录

4把Berlin的Active Directory复制到其他域控制器上

综上所述，我们发现其实对域控制器进行强制卸载是很麻烦的事，我们不应该把它当成一种常态行为，只有当域控制器确实没有希望进行常规卸载时，我们才考虑使用强制卸载，而且使用强制卸载后一定要注意后续对Active Directory的手工清理！

需要注意的域控制器五种错误操作

需要注意的域控制器五种错误操作 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时，如果没有安装DNS，系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试，不装DNS，而用WINS是可以的，但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机，但其实是无法使用域资源的。这是因为在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个资源定位的作用，大家对于DNS的A记录应该有很深的了解，实际上，在A记录之外，还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问，也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的，所以一台域控制器的高可能性是必须的，但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件，甚至包括一些网络游戏之类的软件，如边锋、传奇等，还有一些MP3播放器，VCD播放器等。这样直接导致的结果就是软件冲突加重，而且即使是软件卸载，也会在注册表中存有大量无用信息，这些信息完全无法用手工方法卸载。于是，借助第三方软件，比如超级兔子、优化大师的，虽然这些软件都有清理注册表和提速的功能，但是域控制器毕竟不是个人PC，重装一次之后，很多网络的计算机名和域名都有可能更改，影响相当大。对于服务器而言，稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者，所以对于自己机器的设置往往更加“个性化”。比如，有的网管一时兴起，增加一台额外域控制器，然后再增加一个子域，而哪天因为系统问题或者心情不爽，往往也不降级，直接把那些子域域控制器，额外域控制器等统统格式化，然后重装。这样反复操作，往往会导致活动目录出错，直到无法添加为止。笔者曾帮助一个网管修复域控制器，在检查中发现里面莫明其妙的有很多的域控制器，但是网络上却又没有这些域控制器，而且活动目录经常出错。查过日志却发现全是报错信息，都是一些无法复制，找不到相应的域控制器等。最终，笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的，如果用Ntdsutil清除活动目录还是不正常时，那基本没有什么解决方法，无论多么费时，都只能“重建”。 四、FSMO角色的任意分配 一般来说，FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话，那么无非就是两种情况：一是服务器的正常维护；二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 但是目前很多网管碰到上述两种情况，会采取很极端的作法，就是只要原来的FSMO角色所在的域控制器一旦离线，就一定要把FSMO角色转移到其它的域控制器上，能传送就传送，不能传送就夺取。但是笔者在这儿要建议大家一个字：等！除了PDC仿真器这个角色以外，其它角

域控服务器迁移步骤(精)

域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车， 再输入:roles 回车， 再输入connections 回车， 再输入connect to server 192.168.1.20 （连接到额外域控制器） 提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20， 右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。 然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

破解极域电子教室

?任务管理器/cmd ?ntsd.exe 以上工具windows电脑里基本上都有。 1. 打开“运行”对话框，输入cmd，按回车进入。 2. 输入tasklist，敲回车。变成了这个样子： 3. 找到一个名为studentmain.exe的进程，记下它的PID.如图： 4. 输入命令：/p PID 将PID改为刚才的值，这里为3144，如以下图：

5. 看到一些白字滚动一番就说明成功了。 6. 关闭所有窗口，完成！ 7.可用任务管理器查找PID，单击“查看-选择列”，打上 PID的勾即可。记下PID之后可直接跳至第四步。 第二种 安装有同方易教的联想或清华同方机器的BIOS默认密码有可能是：thtfpc 可以开启USB 功能，某些机器只使用PS/2的外设。 通过注册表查看极域电子教室管理系统卸载/管理密码：WIN+R 输入regedit.exe 回车。 找到:[HKEY_LOCAL_MACHINE\SOFTWARE\TopDomain\极域电子教室V4.1 基教2006豪华版教师机\1.00] 其下“UninstallPasswd”就是明文的卸载密码 极域电子教室新版改为：[HKEY_LOCAL_MACHINE\SOFTWARE\TopDomain\e-learning Class Standard\1.00] 其下UninstallPasswd=Passwd后面的就是明文的密码例如：UninstallPasswd=Passwd123456 则123456就是明文密码. 第三种 一、起因 今天上电脑课，屏幕又被老师广播了，于是便有了下面一番故事。我们学校

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

Windows server 域控制器 迁移 操作主机

Windows域迁移方法 1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色（又称FSMO）： 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向“所有任务”，然后单击“操作主机”。 5. 单击其中要改的选项卡，然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中，右键单击“Active Directory 架构”，然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中，右键单击“Active Directory 架构”，然后单击“操作主机”。

极域电子教室跨网段设置方法

典型应用-关于极域软件在多网段搭建的说明 刚入这个论坛，自己积分不够，就发了个2009豪华版极域，以为很多老师会需要，但现在老师反馈论坛上早有了，真不好意思，那就来点经验性的技术吧，现在老师可能只限于一个机房控制，其实多网段广播极域也支持的，这其实是一个非常典型的应用。 1.学校活动，一个机房容纳不下，可能需要在多个不同网段机房同时直播画面用。 2.可能有老师在上网络技术应用选修用到。当时我上网络技术课，学生是多网段实验的，这样教师就不能控制学生机了，这样必须打开多网段广播控制功能 其实只要相关网络设备，打开组播路由功能就可以了，但大家可能没有路由器或者三层交换配置的经验，我现在用每个机房的双网卡服务器来实现跨网段广播。 下面介绍启用并配置路由器的步骤： 1.服务器端配置（双网卡的机器）： 1）右键“网上邻居”，调出“网络连接”对话框，设置该机器和子网络IP地址。 注意：默认的网关都不用设置，即为空。 2）点击：开始\ 程序\ 管理工具\ 路由和远程访问,弹出“路由和远程访问”对话框，右键单击“服务器状态”，在弹出的下拉菜单中点击“添加服务器”，使用默认设置，直接点击“确定”。此时在服务器状态下新增了一个服务器。 3）右键单击新添加的服务器，在弹出的下拉菜单中点击“配置并启用路由和远程访问”，弹出“路由和远程访问服务器安装向导”，点击“下一步”进入“设置”对话框，选择“自定义配置”，点下一步，选择“LAN路由”，点击“下一步”——>“完成”。 4）在“IP路由选择”，下的“常规”上右击，选择“新增路由协议”，在出现的对话框中，选择“IGMP路由器以及代理服务器”和“用于Internet协议的RIP版本2” 确定。 5）单击“IGMP”，在右测窗口中，右键单击选择“新增接口”，进行添加接口。添加的接口为：大网和子网段接口。 注意：此时，对于大网段的网络连接，在所有的2003服务器中，只需要设置一个2003服务器为“IGMP路由器”，其余的2003服务器均设置为：“IGMP代理”。切记！！对于各2003服务器的子网接口的添加，均设置为“IGMP路由器”； 6）单击“RIP”，在右测窗口中，右键单击选择“新增接口”，进行添加接口,各步骤采用默认设置。添加的接口为：大网和子网段接口。 2. 子网段机器的配置： 右键“网上邻居”，调出“网络连接”对话框 1）在“IP地址”栏，输入该机器的网端地址。例如：A机器连接的服务器的地址为192.168.20.1，可以设置A的地址为192.168.20.2； 2）在子网掩码内输入掩码； 3）在“默认网关”中输入该机器连入的服务器的地址。例如：A机器连接的服务器的地址为192.168.20.1，可以设置A的地址为192.168.20.1。 4）各子网内机器设置可参照步骤1至3即可。

WnowServer R 创建D域详细教程

Windows Server 2012 R2 创建AD域 前言 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。 环境 网络子网掩码网关 域名 创建域的必备条件 DNS域名：先要想好一个符合dns格式的域名，如 DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器） 注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。创建网络中的第一台域控制器 修改机器名和ip 先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成 安装域功能 选择服务器 选择域服务 提升为域控制器 添加新林 此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。 选择林功能级别，域功能级别。、 此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别 默认会直接在此服务器上安装DNS服务器 第一台域控制器必须是全局编录服务器的角色 第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。 目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码 出现此警告无需理会 系统会自动创建一个netbios名称，可以更改。 不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信 数据库文件夹：用了存储AD数据库 日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用了存储域共享文件（例如组策略）

极域2010使用教程

极域电子教室软件快速上手指南 本文档适用于本软件的初学者。阅读该文档，将有助于他们快速掌握本软件的基本使用方法和操作步骤，他包括如下三个部分： 1.检查和配置网络连接。 2.教师机的使用。 3.学生机的使用。 有关本软件的更详细的介绍，请参考用户手册或在线帮助。

1.检查和配置网络连接 本软件需要 TCP/IP 协议的支持。如果网络中有 Windows 服务器，并且服务器上安装有 DHCP 服务，此时教师机和学生机网卡所绑定的 TCP/IP 协议的设置上可以设为自动获取 IP 地址。如果网络中没有服务器或服务器上没有安装 DHCP 服务，此时网络中所有计算机的网卡所绑定的 TCP/IP 协议的设置上必须指定一个固定的 IP 地址。 1.1.检查教师机和学生的 IP 地址 1.打开 Windows 的“开始”菜单，选择“运行”。在“运行”对话框中，输入“cmd”命 令后，按“确定”按钮。如下图所示： 图 - “运行”对话框 2.在 Windows的“命令提示符”窗口中，输入“ipconfig”命令后，按回车键。如下图 所示： 图 - “命令提示符”窗口 3.“命令提示符”窗口中显示的教师机和学生的 “IP Address”应该为在同一网段，一 般为“192.168.0.xxx”。教师机和学生的“IP Address”的前三段应该相同。最后一

段应该不同。“Subnet Mask”一般都为“255.255.255.0”。 1.2.手工指定教师和学生 IP 地址 如果教师和学生没有正确的 IP 地址，可以参考下面的步骤，手工指定一个IP地址： 1.打开Windows 的“控制面板”，双击选择“网络连接”。出现如下对话框： 图 - “网络链接”对话框 2.在“网络连接”中，右键单击“本地连接”图标，在弹出菜单中，选择“属性”。如下 图所示： 图 - “本地连接”右键菜单 3.在弹出的“本地连接属性”对话框中，双击“Internet 协议（TCP/IP）”。如下图所示：

如何建立域

如何建立域 下面是一篇是如何建立域，如何加入域的分配域成员的教程，希望对大家有所帮助。 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

如图1 向下搬运右边的滚动条，找到“网络服务”，选中: 如图2

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 如图3 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”: 这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

如何降域(主域控挂掉后的方法)

Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/c910278842.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机

此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的，目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机 默认，这五种FMSO存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析

轻松破解极域电子教室

轻松破解极域电子教室 一、起因 今天上电脑课，屏幕又被老师广播了，于是便有了下面一番故事。我们学校用的是极域电子教室豪华版，貌似功能很强大，我有一次在破解成功之后打开设置界面，没想到看到了个“进程防杀”功能，号称可以防住大部分杀进程工具。如果这个功能真的没吹牛的话，那就没有本文了！ 二、剑指面门 第一次是正面交锋，当即把“极域”拿下。 首先打开我们的“老朋友”任务管理器，看到如下所示的图片 如图所示，进程列表里有一个叫StudentMain.exe的进程，一看就知道是电子教室主程序。初步做了一个实验，证明上文提到的“进程防杀”功能还勉强对那些只会用任务管理器管理进程的人有些用处，但对咱小菜就没啥用场咯！ 在任务管理器中选中那个进程，点一下“结束进程”按钮。当然了，结果不出大家所料，根本没反应。也是，否则那个进程保护功能还真是吃素的！这招不行，退而求其次，打开CMD，输入一句命令“taskkill /im studentmain.exe /f”。现在我来为大家讲解一下： “taskkill”是一个cmd外部命令，是一个与“任务管理器”的“结束进程”按钮权限差不多的命令，作用也一样。这个命令有许多参数，但最常用的是两个参数：/f 和 /im。/f 表示强制结束进程（不过貌似没什么用^__^）；/im 表示

通过进程名称来识别。 可能众小菜要问了，既然无法用任务管理器结束，用这个命令没用的了。不是的，那是因为我们学校的任务管理器是无法执行查看PID的功能，只能用这个命令的回显来查它的PID。有了PID，就用“ntsd /p PID”这种格式的命令干掉他。我为什么没有用NTSD的通过进程名识别来干掉它呢？因为这个命令识别进程名的时候老出错，所以我对这个命令一直不太放心。 得到了PID是5268，输入命令“ntsd /p 5268”，屏幕上一个窗口被打开了，白色的字一阵乱滚，等到不滚了，把窗口关闭。破解至此成功。 三、旁敲侧击 这样一番事情，也太麻烦了，如果能实现傻瓜式操作，岂不是更好？ 我想起了Windows的一个漏洞，即关机时的一票否决权漏洞。 什么是一票否决权漏洞呢？是这样的，如果一个程序接收到系统的关机指令，只要它是“良民”，发送同意的消息，并关闭自己。可如果有一个“刁民”，愣是不发送同意的消息，还对系统说“我不同意！”那么关机的行为被它一票否决了，但其他“良民”都关闭了自己，可系统没关，那么我们就可以逃脱老师的监控了？极域电子教室当然属于“良民”。 再来实践一下,果然成功了. 拔网线让自己能控制机器（不需要网络），不行就等老师解除控制的时候，只要你能然电脑5分钟受你控制就行，不用USB、注册表、任务管理器、组策略、命令提示符、安全模式、控制面板、其他任何软件，也无所谓系统还原，适用大多数电子教室或者控制软件。而且摆脱控制仍然能上网！绝对原创！！！ 1、先找到电子教室的安装目录（一般在C盘Program Files里，找不到就图标点右键-属性-查找目标，再找不到用搜索文件吧）。 2、然后把安装目录中能删的东西都删掉，建议一个一个删。 3、将文件夹选项中显示所有隐藏文件和系统文件，然后显示文件扩展名（这个很重要）。 4、然后是重点！！！把不能删掉的文件（大多数是“xxx.dll”）全部改扩展名为“xxx.txt”（文件名不改，只改扩展名）。再新建多个空txt文件，将这些新的空txt文件改名为上面改掉扩展名的文件的文件名，并同时把这些文件的扩展改为原来文件的扩展名。 举个例子：如原来一个文件“xx.dll”，先改为“xx.txt”,再新建一个空txt文件，将其改名为“xx.dll”。“xx.exe”文件雷同。搞定！

域控制器建立完整教程

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】

[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添 加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在 这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位 了。 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车 就可以看到“Active Directory安装向导”

网络管理员需注意的域控制器五种错误操作

管好域控制器对于一个网络管理员来说，是专业性的技术体现。笔者通过多年经验，以及论坛上朋友们的种种方案，总结了域控制器的常见五种错误操作，希望能够与广大技术爱好者共享。 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时，如果没有安装DNS，系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试，不装DNS，而用WINS是可以的，但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机，但其实是无法使用域资源的。这是因为在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个资源定位的作用，大家对于DNS的A记录应该有很深的了解，实际上，在A记录之外，还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问，也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的，所以一台域控制器的高可能性是必须的，但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件，甚至包括一些网络游戏之类的软件，如边锋、传奇等，还有一些MP3播放器，VCD播放器等。这样直接导致的结果就是软件冲突加重，而且即使是软件卸载，也会在注册表中存有大量无用信息，这些信息完全无法用手工方法卸载。于是，借助第三方软件，比如超级兔子、优化大师的，虽然这些软件都有清理注册表和提速的功能，但是域控制器毕竟不是个人PC，重装一次之后，很多网络的计算机名和域名都有可能更改，影响相当大。所以，笔者认为“预防永远大于急救”。笔者的域控制器上除了活动目录和DNS，只安装了一个SUS服务器，运行已经有一年半了，没有发生过任何软件问题。毕竟，对于服务器而言，稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者，所以对于自己机器的设置往往更加“个性化”。比如，有的网管一时兴起，增加一台额外域控制器，然后再增加一个子域，而哪天因为系统问题或者心情不爽，往往也不降级，直接把那些子域域控制器，额外域控制器等统统格式化，然后重装。这样反复操作，往往会导致活动目录出错，直到无法添加为止。笔者曾帮助一个网管修复域控制器，在检查中发现里面莫明其妙的有很多的域控制器，但是网络上却又没有这些域控制器，而且活动目录经常出错。查过日志却发现全是报错信息，都是一些无法复制，找不到相应的域控制器等。最终，笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的，如果用Ntdsutil清除活动目录还是不正常时，那基本没有什么解决方法，无论多么费时，都只能“重建”。 四、FSMO角色的任意分配 一般来说，FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话，那么无非就是两种情况：一是服务器的正常维护；二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。

简述Win 2003域控制器的迁移

简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一，由于域控制器的种种优势，当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时，种种问题也相应出现，对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生，网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几，我们在此便讨论一下这个问题。 说明：根据上图可知A为B的主域控，在此我们只给大家作了一个模拟环境，实际当中，主域和子域可以不在一个网段内，也可以分布在用VPN相连的Intranet内，其原理是一样的。我们在此仅对A域控下的B域控做迁移工作，迁移过程为：首先B域控迁移到准备替换DC的PC上，down掉B域控，使得客户端工作无影响，再次对B主机作重灌windows 2003 server ，并替换PC的DC，这个过程中要求对客户端无任何影响。以下为操作步骤： 步骤1.备份DC的安装

(1)选用一台PC，安装windows 2003 server，设置IP为192.168.10.2;主机名为adbak，重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择：现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码，权限为管理级，域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上，用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS：解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2，以及各个主机记录是否解析正常 (5)Active Directory站点和服务，设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下，键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入：ntdsutil-roles-connections-connections to server https://www.360docs.net/doc/c910278842.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明)：[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize

安装极域电子教室蓝屏原因分析与解决

【软件应用】安装极域电子教室蓝屏原因分析与解决【软件应用】安装极域电子教室蓝屏原因分析与解决极域电子教室是功能非常强大的电子教室软件，很受大家欢迎！但不少人在安装极域电子教室时却遇到一个问题，就是安装时蓝屏或安装后重启就蓝屏。有的不得不放弃安装极域。本人长期使用极域电子教室，也曾遇到过这样的问题，将我的经验与大家分享。蓝屏原因一：安全杀毒类软件限制极域运行。这种情况在学生机上较多，极域的学生端为了实现对学生的控制，必然要获得系统的控制权，不允许Windows 的热键得以运行，控制键盘与鼠标的操作等。这些行为容易被杀毒软件判定为对系统的攻击行为，从而禁用或清除这些文件，造成极域非正常运行，而蓝屏。解决办法：一、将极域所在的目录在杀毒软件添加为信任；将极域的虚拟驱动也要添加为信任；二、换杀毒软件，使用对极域无影响的安全类软件。【软件应用】安装极域电子教室蓝屏原因分析与解决蓝屏原因二：与系统文件发生冲突。这种情况比较普遍，在教师机和学生机上都存在这种情况，其主要原因是由于Windows的“文件保护”功能造成。对这种情况网上提出的解决方法是去掉Windows的文件保护，即更改boot.ini 文件，将其中的参数/noexecute=optin更改成 /noexecute=ALWAYSOFF。这样就彻底关闭了系统文件保护了。这种方法的确可以解决一些问题，但却有极大的安

全隐患，系统很容易遭到病毒的破坏，很多时候得不偿失，而且有时还是要蓝屏的。仔细分析我们会发现，其实这种情况往往是在使用较低版本的极域，或破解不好的极域时造成的。原因是随着系统的补丁的升级，新的补丁文件与原极域的文件不再兼容，或是原来极域控制系统的后门被新的补丁堵住了。解决方法：换用更新版本的极域电子教室软件。笔者就曾经用极域4.0安装蓝屏。想了很多解决方法，勉强能用，但效果并不好，后改用极域4.2豪华版，无需任何改动，安装使用正常。【软件应用】安装极域电子教室蓝屏原因分析与解决蓝屏原因三：与其它应用软件存在冲突。这种情况在极域的使用中，也经常遇到，主要是网络类软件，当然也包括远程控制类的，特别是安装虚拟网卡之类的软件，这种软件非常容易造成与极域的冲突。笔者在使用天锐网关时，就是这种情况，不得不卸掉天锐网关。解决办法：如果原来使用正常，安装某个软件后造成不正常，则肯定是此软件造成了，鱼与熊掌当有所取舍了。蓝屏原因四：安装的系统有问题。这种情况我也遇到多次，其原因是系统在精简时做了删减或更换。我在安装学生机时，为了方便快捷，一般用网上的精简Ghost装机版，多次安装极域蓝屏，怎么都无法解决。后换一种Ghost版，极域安装一切正常。解决办法：找一种适用的Ghost版，或干脆安装原版。【软件应用】安装极域电子教室蓝屏原因分析

win2003域控制器 升级 迁移到win2008R2详细步骤

win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下： 计算机名： whdgap01.WHDG.local IP地址： 192.168.2.31/24 （DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24） 操作系统： Windows Server 2003 Enterprise Edition SP1 提供服务： Domain Control、DNS 完成升级后，增加 Server2008为域控制器 计算机名： whdgap01.WHDG.local IP地址： 192.168.2.31/24 （DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24） 操作系统： Windows Server 2008 R2 enterprise 提供服务： Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中

3、对Forest（林）、 Domian（域）和RODC（域控制器）进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具，该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下，复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意：扩展操作在DC2003（域控制器）上进行操作。 开始－运行－CMD，进入D分区的ADPREP目录输入 adprep /forestprep 根据提示，选择”C “，并按下 Enter键继续。（林拓展）

最全的域控教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了

域控制器降级操作指南

域控制器降级操作指南 1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”，单击“运行”，然后键入以下命令： dcpromo /forceremoval 2. 单击“确定”。 3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。 4. 在“强制删除Active Directory”页中，单击“下一步”。 5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。 6. 在“摘要”中，单击“下一步”。 7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。 如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。 如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。 将域控制器强制降级后，您必须完成以下任务（如果适用）： 1. 从域中删除计算机帐户。 2. 验证DNS 记录（例如A 记录、CNAME 记录和SRV 记录）是否已删除；如果它们仍然存在，则将它们删除。 3. 验证FRS 成员对象（FRS 和DFS）是否已删除；如果它们仍然存在，则将它们删除。 4. 如果被降级的计算机是任何安全组的成员，请将其从这些组中删除。 5. 删除对被降级的服务器的任何DFS 引用（例如，链接或根副本）。 6. 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色（也称为灵活的单主机操作或FSMO）。有关更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章： 使用Ntdsutil.exe 占用FSMO 角色或将其转移到域控制器 7. 如果您要降级的域控制器是DNS 服务器或全局编录服务器，则必须创建一个新的GC 或DNS 服务器，以满足林中的负载平衡、容错和配置设置。[专业建EXCHANGE服务器找plumlee] 8. 当您使用NTDSUTIL 中的删除选定服务器命令时，NTDSDSA 对象（该对象是到您强制降级的域控制器的入站连接的父对象）将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中，请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器