主域控制器的恢复
主域控制器故障,有两种状况:主域控制器故障仍可用和主域控制器故障彻底玩完,看看两种故障的处理方式咯
1、主域控制器故障但仍可用
主域控制器=服务器A;额外域控制器=服务器B
在服务器B上安装Windows server 2003的管理工具,将服务器B升级为新主域控制器,A 将自动降级成额外的域控制器,然后再原主域控制器服务器A上运行dcpromo命令将其本身从AD中删除
—-转移操作主机角色
–连接额外域控制器
A、在主域控制器[管理工具]–[AD用户和计算机]
B、右键单击选中[https://www.doczj.com/doc/0816348682.html,]域,选择[连接到域控制器]
C、在[连接到域控制器]属性对话框中[选择一个可用的域控制器]列表中选择当前域的额外控制器[https://www.doczj.com/doc/0816348682.html,],点击确定。
–转移RID主机角色
A、用鼠标右键单击[https://www.doczj.com/doc/0816348682.html,],选择[操作主机]
B、在[操作主机]属性对话框,在“操作主机”列出的是原主域控制器的计算机名称;在要传送操作主机角色到下列计算机,请单击“更改”,单击[更改]按钮,将更改RID主机角色到下面列出的额外域控制器的计算机上,单击[更改],在AD对话框中的“你确定要传送操作主机角色?”点击是。
–转移PDC主机角色
A、在[操作主机]属性对话框,单击[PDC]选项卡,在“操作主机”列出的是原主域控制器的计算机名称;在要传送操作主机角色到下列计算机,请单击“更改”,单击[更改]按钮,将更改PDC主机角色到下面列出的额外域控制器的计算机上,单击[更改],在更改过程中弹出的对话框,单击是
–转移结构主机角色
A、在[操作主机]属性对话框,单击[结构]选项卡,在“操作主机”列出的是原主域控制器的计算机名称;在要传送操作主机角色到下列计算机,请单击“更改”,单击[更改]按钮,将更改结构主机角色到下面列出的额外域控制器的计算机上,单击[更改],在更改过程中弹出的对话框,单击是
–转移域命名主机角色
A、在[管理工具]中运行[AD域和信任关系]
B、右键单击[AD域和信任关系],从菜单中选择[连接到域控制器],将弹出[连接到域控制器]对话框,选中[原额外域控制器的计算机名称]单击确定。
C、右键单击[AD域和信任关系],选择[操作主机],在弹出的[更改操作主机]对话框,选择[更改]单击是确认转移。
–转移架构主机角色
A、打开[AD架构管理],右键单击“AD架构”然后点击“更改域控制器”
B、在[改变域控制器]属性对话框,在弹出的对话框中选中[指定名称],在右侧编辑框中输入额外域控制器的名称,单击确定。
—-提升额外域控制器为全局编录服务器
原有主控BookAD 192.168.0.1 https://www.doczj.com/doc/0816348682.html,
额外域控BookBDC 192.168.0.2
在原有额外域控制器上
A、安装windows server 2003的管理工具support tools
B、[管理工具]-[AD站点和服务]程序,单击[s、Sites->Default-First-Site-Name->Servers],选中BookBDC,右击单击[NTDS Settings],选择菜单中[属性]
C、在[NTDS Settings]属性中,选择[查询策略]为[Default Query Policy],选中[全局编录]
—-安装DNS集成区域
原额外域控制器将成为新的主域控制器,原主控控制器将自动降级为额外域控制器。
—-原主控控制器的恢复
A、运行dcpromo卸载AD
2、主域控制器已经彻底玩完,整个网络不能正常使用
只能将额外域控制器升级为主域控制器
转移一个域控制器的角色,转移RID主机角色、转移PDC模拟器角色、转移结构主机角色、转移域命名操作主机角色和转移架构主机角色
—-占用操作主角角色
将网络中的另一台额外的域控制器[强行]升级到AD主控
A、命令提示符,输入ntdsutil
roles
在fsmo maintenance命令提示符输入:connections
在server connections命令提示符输入:connect to server https://www.doczj.com/doc/0816348682.html,
在server connections命令提示符输入:quit
B、占用RID主机角色
在fsmo maintenance命令提示符输入:seize RID master
在弹出的确认对话框中单击是,更改RID主机命令完成,返回到fsmo maintenance提示符C、占用主机角色,在提示符后输入:seize infrastructure master
在弹出的确认对话框中单击是,更改结构主机命令完成,返回到fsmo maintenance提示符D、占用域命名主机角色,在提示符后输入:seize domain naming master
在弹出的确认对话框中单击是,更改域命名主机命令完成,返回到fsmo maintenance提示符E、占用架构主机角色,在提示符后输入:seize schema master
—-提升额外域控制器为全局编录服务器
—-安装DNS集成区域
主域控挂掉后的方法.txt婚姻是键盘,太多秩序和规则;爱情是鼠标,一点就通。男人自比主机,内存最重要;女人好似显示器,一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/0816348682.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
需要注意的域控制器五种错误操作 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是笔者在这儿要建议大家一个字:等!除了PDC仿真器这个角色以外,其它角
添加新域控后,手动删除旧主域控制器 如何手动删除/清除遗留的DC?我有一个DC,由于硬件损坏导致系统无法正常使用,DC的名字为DC02。 我重新安装了一台新的DC,取名为DC03。 我的问题是: 1 当类似有DC损坏,我重新安装新的DC时,是否可以将新的DC取名为DC02,这样会有问题么? 2 如果向我上面那些安装新的DC03,原有的DC02的信息还在AD的数据库中,因为DC02已经无法降级,我该如何正确的将DC02从AD中清除掉 回答:根据您的描述,我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验,针对我们现在所遇到的情况,我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02,则在提升域控操作之前,我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法,我们可以参照 (KB216498)https://www.doczj.com/doc/0816348682.html,/kb/216498/zh-cn 1. 单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。 2. 在命令提示符处,键入 ntdsutil,然后按 Enter。 3. 键入 metadata cleanup,然后按 Enter。根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4. 键入 connections,然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。为此,请键入 set credsDomainNameUserNamePassword,然后按 Enter。如果密码为空,则键入 null 作为密码参数。 5. 键入 connect to server servername,然后按 Enter。然后出现一条确认消息,说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit,然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target,然后按 Enter。 8. 键入 list domains,然后按 Enter。将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。 9. 键入 select domain number,然后按 Enter;其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites,然后按 Enter。将出现一个站点列表,其中每个站点都带有一个关联的编号。 11. 键入 select site number,然后按 Enter;其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。 12. 键入 list servers in site,然后按 Enter。将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。 13. 键入 select server number,其中 number 是与要删除的服务器关联的编号。将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除
多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/0816348682.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
如前面一片文章所提到的。比较麻烦的是,Exchange 2003的邮件服务器是安装在主域控制器上的,所以,主域控制器也被干掉了。 型号,做文件服务器的那台服务器也是域控制器,就要将这台文件服务器,升级到主域控制器了。 如果你没有执行过这样的动作,会觉得这是个很麻烦的事情。当我们操作过之后,你就会发现,其实这个不难。 首先,我们执行【netdom query fsmo】命令,来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.doczj.com/doc/0816348682.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样,我们这台域控制器,就成为了主域了。 最后,我们还要将这台服务器成为全局编目服务器。方法如下: 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目,把空格勾上就好 本文转自☆★黑白前线★☆- https://www.doczj.com/doc/0816348682.html, 转载请注明出处,侵权必究! 原文链接:https://www.doczj.com/doc/0816348682.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系
统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:
7.2.4 在Active Directory中发布资源 从资源共享的角度看,还需在Active Directory中发布资源,供用户搜索和使用。可发布的资源包括用户、计算机、打印机、共享文件夹和网络服务。当创建对象时,在默认情况下会自动发布一些常用的目录信息,如用户账户或计算机名称。其他目录信息,如共享文件夹、打印机等则必须手动发布。当然可通过设置访问控制权限,控制特定的用户和组能够搜索和查看发布的目录信息。例如,用户和计算机账户只有账户名称等常用信息可供一般用户访问,而账户安全信息则只有管理员才能看到。 1.发布共享文件夹 首先要在某台域成员计算机上创建共享文件夹,然后在域控制器上打开"Active Directory用户和计算机"控制台,右键单击要添加共享文件夹的域(或组织单位),在快捷菜单中选择【新建】>【共享文件夹】命令,在【新建对象-共享文件夹】对话框中设置共享文件夹名称和网络路径(UNC名称),如图7.11所示,最后根据需要为该共享文件夹设置用户访问权限,可以针对域用户来设置权限,默认本地Users组包括域Users组。 配置完毕,访问共享文件夹进行测试。 2.发布共享打印机 在Active Directory中发布共享打印机信息有两种情况。 由Windows Server 2003或Windows 2000域成员计算机提供的共享打印机,在创建共享打印机时将自动发布到目录中。管理员可根据需要决定是否将共享打印机发布到目录中。在打印服务器上打开共享打印机属性对话框,切换到【共享】选项卡,如图7.12所示。如果选中【列入目录】复选框,该打印机就会在目录中发布;如果清除该复选框,则不在目录中发布。 由Windows 2000以前版本(如Windows NT)计算机提供的共享打印机,需要使用"Active Directory 用户和计算机"控制台手动发布,右键单击要在其中发布打印机的容器对象文件夹,从快捷菜单中选择【新建】>【打印机】命令,在【新建对象-打印机】对话框中设置共享打印机的网络路径(UNC名称)。 3.发布服务 服务是指能使网络用户使用数据和操作的应用程序。在Active Directory中发布服务能使用户或管理员从网络以机器为中心的视图移动到以服务为中心的视图。通过发布服务而不是计算机或服务器,管理员可专注于管理服务,而不用考虑是哪台计算机在提供服务或计算机位于何处。某些服务(如证书服务)在安装时自动发布到Active Directory中。其他服务可使用编程接口发布到目录中。管理员可以使用"Active Directory站点和服务"控制台管理已发布的服务。
Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.doczj.com/doc/0816348682.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的,目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机 默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.doczj.com/doc/0816348682.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复,最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考,在狗狗搜索NNN编,但为何还是要写这篇呢,‘听不如看,看不如做,做不如写’嘿嘿,反正写写没多难,最紧要入脑袋!! 其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~ 本贴说明: ....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!! AD、DC说明: .域名:https://www.doczj.com/doc/0816348682.html, ..主域:DC-ISA-NLB-1 ..副域:DC-ISA-NLB-2 .系统:2003企业版 故障情况:(真实环境跑完全过程..) ..主域崩溃,副域无法正常工作,如: ....无法浏览https://www.doczj.com/doc/0816348682.html, 中 Active Directory用户和计算机,提示无法连接错误; ....AD管理项目均报错,组策略.....等; ....域用户无法登录; 解决方法:(以上是在副域上操作) ..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录; ..使用命令:ntdsutil.....AD工具 ..过程:(大概6-8分钟) C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...~~ 以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧: ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’; .....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’; ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA-NLB-1’; ...........a.选中分支‘NTDS Settings’; ...........b.点击‘删除’,对话框‘选择第三项’; .....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’; .....3.点击‘DC-ISA-NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’,全局编录前打上勾; 完工....以上搞点后,余下就可以慢慢修复你的主域了。
手工删除Active Directory 数据 三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。 使用“metadata cleanup”清理不使用的服务器的对象 使用“connections”连接到一个特定域控制器
使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。 使用“select operation target”选择站点
使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。 使用“select site 0”就是选中站点了。 使用“list domains in site”列出所选站点中的域,只有https://www.doczj.com/doc/0816348682.html, 一个域,还是用0代表。
使用“select domain 0”选中https://www.doczj.com/doc/0816348682.html,这个域。 使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。 使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。 使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。 最后使用“quit”命令退出就可以了。 我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
Windows Server 2003环境下域控制器挂掉后的处理步骤 前提 必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。 实验环境: ●域名:https://www.doczj.com/doc/0816348682.html, ●第一台域控制器: ?计算机名:https://www.doczj.com/doc/0816348682.html, ?IP:192.168.5.1 ?子网掩码:255.255.255.0 ?DNS:192.168.5.1 ?并且FSMO五种角色及GC全部在第一台域控上。 ●第二台域控制器: ?计算机名:https://www.doczj.com/doc/0816348682.html, ?IP:192.168.5.2 ?子网掩码:255.255.255.0 ?DNS:192.168.5.2 灾难情况 第一台域控制器由于硬件原因,导致无法启动。客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的 让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。操作步骤 首先,要把第一台域控制器的所有信息从活动目录里面删除。 点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。 选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令: 显示一下Site中的域: 结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”: 选中后,按“q”退出到上一层菜单: 接下去删除服务器信息,出现提示后点是。 在上图中点击“是”:
win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签:控制器 win2003额外域控制器升级为主域控制器 公司https://www.doczj.com/doc/0816348682.html,(虚拟)有一台主域控制器https://www.doczj.com/doc/0816348682.html,,还有一台额外域控制器https://www.doczj.com/doc/0816348682.html,。现主域控制器(https://www.doczj.com/doc/0816348682.html,)由于硬件故障突然损坏,事先又没有https://www.doczj.com/doc/0816348682.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.doczj.com/doc/0816348682.html,),我们怎么让额外域控制器(https://www.doczj.com/doc/0816348682.html,)替代主域控制器,使Activate Directory 继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.doczj.com/doc/0816348682.html,对象 3.1在额外域控制器(https://www.doczj.com/doc/0816348682.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.doczj.com/doc/0816348682.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.doczj.com/doc/0816348682.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)
图解WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC 时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络
环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
域控制器的优点 一、权限管理集中、管理成本下降 1.域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用 户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。 2.防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降 低维护成本。 3.通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络 内软件的统一性。 4.配合ISA的话就可以根据用户来确定可不可以上网。不然只能根据IP。 二、安全性能加强、权限更加分明 1.有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就 不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。 2.可以封掉客户端的USB端口,防止公司机密资料的外泄。 3.安全性完全与活动目录(Active Directory) 集成。不仅可在目录中的每个对象上定义访 问控制,而且还可在每个对象的属性上定义。活动目录(Active Directory)提供安全策略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 1.个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数 据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。 2.卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件(限保存过的32 个版本)。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。 四、方便用户使用各种共享资源 1.可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以 像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。 2.各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即 使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。 五、SMS系统管理服务(System Management Server)
AD维护管理工具详解(三)replmon 2010-11-03 15:06:15 标签:replmon工具详解维护管理 活动目录故障查找的最佳监视工具 复制监视器Replication Monitor(ReplMon)是一个最早针对Windows 2000 Server的故障查找工具。它迅速成为调试活动目录复制问题的最有利的帮助。 微软将ReplMon纳入了Windows Support Tools的第一个工具集,并在Windows Server 2003的最新版本中予以保留。但由于过去七年内众多工具的开发,ReplMon依旧强大的功能很容易被人们所遗忘。这篇文章详细描述了ReplMon如何帮助诊断一系列AD复制的问题。 ReplMon起步 复制监视器是Windows Support Tools的一个组件,可以简单地通过在启动-运行(Start-Run)或在命令行窗口里输入ReplMon启动它。刚开始它是空的,因此你需要添加被监视的服务器。从工具栏的编辑(Edit)菜单,选择"Add monitored server",然后添加你想查看的域控制器(DC)。图1显示了添加并扩展的几个域控制器。 图1 在每个服务器下,你将看到那个DC的命名上下文列表(包括configuration、schema、domain、 forestdnszones等),还有复制模式的名称。点击任何一个分区右边面板里都会显示复制的详细信息。你使用repadmin/showrepl命令也可以得到这些信息,此外,你还可以从其它服务器上快速得到更多的信息。
要更好地使用ReplMon,你应该允许附加日志功能。找到View-Options,得到如图2 所示的对话框。这些选项从字面意思很容易理解,但我推荐至少使"Show Transitive Replication Partners and Extended Data"选项有效。然后点击Status Logging标签(图3),选择"Group Policy Objects"复选框和"Display Changed Attributes When Replication Occurs"。这样,左边面板就会提供被监控服务器组策略对象(GPO)复制成功与否的附加信息,并确定复制的对象和更新序列号(USN)。 图2 图3 关于ReplMon的故障查找功能,下面介绍一些我常用的选项: l 到Action-Domain-Search域控制器寻找复制错误。在确认屏幕上,选择Run Search 按钮,在所有域控制器里找到全部复制错误(图4)。然后,你可以把它们保存到一个文本文档中。这是一次性收集域中所有复制错误的好方法,这样就不用检查许多事件日志了。 图4 l 在DC下左边的面板中,选择其中一个分区及相应的复制对象。你可以选择 Action-Replication Partner-Synchronize with this replication partner来强制进行两者之间的复制。这比使用Sites and Service插件要快得多。 l 到Action-Replication Partner-Check current USN and unreplicated objects 下面。这将显示出给定分区/复制对象的复制队列,以及尚未被复制的对象。