额外域控制器的升级—夺权
几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。经过同事的指点,我慢慢的开始小心翼翼的进行工作。工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto上与大家分享。下面是环境图:
环境并不复杂,域控系统为windows 2008 R2 ,DNS、DHCP服务寄存在域控上。也就是说这并不单单是迁移域控的事情了,还要将DNS、DHCP服务同时迁移过去。呵呵,不过这都不是难题,我马上为大家呈现解决办法。
解决这些问题的办法我简单做了一下汇总:
1、升级新服务器为额外域控制器,同时添加DNS备份,添加DHCP角色。
2、转移域控五大角色。
3、卸载域控。
4、断开域控DHCP服务,授权新域控的DHCP服务,防止两个服务出现冲突。
完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。
首先将新服务器作为域控的备份服务器加入https://www.doczj.com/doc/095067071.html,域,过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。添加DHCP角色,但不要做任何配置,因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。这里不做过多的拗述了。
作为域控制器是因为它兼有五大角色,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD用户和计算机”,邮件服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC作为当前服务器。
然后在服务器右键选择“操作主机”,我们看到域控的三个角色,RID 主机、PDC主机和基础结构。当前的操作主机是PDC,要传递的主机是BDC,不用想了马上更改。其它的两个角色也使用同样的配置,给改主机为BDC。
然后修改全局编录服务器,点击站点服务器,找到services下的两个服务器,如下图点击PDC属性,去掉它的全局编录的属性,即可。
接下来更改域名控制主机,找到AD域和信任关系,右键点击“属性”更改域控制器,在更改操作主机。如下图。
下面是比较困难的更改AD的架构主机了,首先我们进入命令模式,先要注册一个链接库文件,如下输入:“regesvr32 schmmgmt.dll”然后回车,注册成功。
现在添加AD架构,来更改域控的架构主机,如下图:
使用以上更改主机方法更改架构主机,却是要求我们使用famo模式更改,因为架构主机对于域控制器非常重要,它同时是林级别的服务,安全性要求是比较高的。
使用ntdstuil命令进入更改模式,使用roles命令进入更改角色的模式,connections命令进入服务器连接模式,连接命令为
connect to server BDC 连接到BDC服务器,然后quit 退出该模式,因为已经锁定BDC服务器。
使用“?”查看当前命令提示,其中使用“transfer”命令的有五条,他们全部是转移五大角色的命令,此命令只有在两服务器全部在线的情况下有效,如果脱机情况下,备份控制器就只有使用“size”命令来强行将角色转移到本机。我们在这里选择最后一条命令
“transfer schema master ”转移架构主机角色。
如下图所示,架构主机角色成功完成转移。
我们查询一下AD架构,看看其是否已经完成转移。如下,架构主机的运行服务器已经更改为BDC服务器,转移成功。
当角色完全转移后就可以卸载PDC了,这里有两个问题,如果PDC是正常运行的就可以使用正常卸载,但是当PDC和BDC无法正常复制的话那就只有使用强制卸载了,命令是dcpromo /forceremoveal这个是在迫不得已的情况下使用的方法。因为使用这个方法将会是你进行后续的清
理工作,例如:清理AD数据,清理其DNS的SRV记录,adsiedit.msc 中清理domain controller中的旧的DC记录。但是这样子清理也不是彻底的,还需要使用ntdsutil命令连接到域内的需要删除的服务器进行锁定,然后删除即可。这样子很麻烦的,我就是用了这样子的方法,一步一步终于清理完成域控的残余数据。因为当时的疏忽,过早的卸载了PDC的域控,所以造成两个服务器无法进行正常的数据复制,所以我才被迫采用此下策。如果条件允许,希望朋友们不要这样操作。
再重启服务器之前,请启用新域控的即BDC的DHCP服务,授权给予激活,即可使用。
域内各个服务器的时间保持一致,是一个很重要而又往往又容易被人忽略的问题,如果时间不同步或出现异常,往往会出现以下问题: 1. 服务器上应用程序Server端无法获取准确的日期,导致反馈给客户端的日期时间不准确 2. 系统日志上时间不正确,无法通过时间点查找错误信息 3. VPN用户无法连接网络,导致无法正常工作 4. Failover Cluster无法正常启动或切换 … 以下内容,我们会介绍如下获取修改系统时间,如何设置成与时间服务器同步,并介绍各个常用的与时间有关的命令。 一.常见命令 1. 修改当前计算机时间 使用time命令,同时会要求您重设时间 如果不需要设置时间,则直接回车即可 这个命令仅限于粗糙的时间调整。 2. 获取当前计算机的日期及时间信息 在Windows HyperV中,用户无法看到图形界面的日期与时间信息,但可以通过以下命令进行查看: a) 在命令行中输入timedate.cpl, 系统自动弹出日期,时间设置窗口,可以在此位置进行设置 b) 在命令行中输入net time [url=file:///]\\IP[/url]地址或计算机名称,此命令还可以查看其他计算机的当前时间,例如: net time [url=file:///]\\3.242.107.129[/url], 如果是域内计算机,想查看当前域的整体时间net time /domain:shinseifin
3. 显示时区 a) Timedate.cpl b) W32tm /tz 显示本地计算机时区设置 4. 很多时间我们想知道,当前域内的计算机是从哪个服务器同步的时间,可以用如下命令: W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 结果如下
WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环
境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
实训二配置额外域控制器 一、知识点: 额外域控制器:如果域中只有一台域控制器,一旦出现物理故障,我们时可以备份还原AD。部署额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数据库。 只读域控制器:RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低主域服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。 二、动手实验: 实验目的: 利用windows server 2008搭建辅助域环境,了解辅助域控制器的作用,不仅学会安装辅助域控制器,而且还应学会如何配置辅助域,并实现辅助域在域环境中的作用。 实验内容: 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器(RODC) 3、测试辅助控制器是否搭建成功 实验要求: 1、完成实训内容,并做成实验报告。 实验步骤: 第一步配置域环境中额外域控制器 (1)部署环境 设置网络环境
(2)与主域的IP地址要互Ping的通 (3)根据拓扑图要求,将额外控制器的名称改为“BDC1”
输入域https://www.doczj.com/doc/095067071.html, 点击确定 (4)安装额外域控制器 开始------运行---输入dcpromo
输入dcpromo 点击确定 之后会弹出如下向导对话框,点击下一步 在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”
下一步,输入主域名“https://www.doczj.com/doc/095067071.html,” 点击“设置”
输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.doczj.com/doc/095067071.html,”
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
Windows Server 2012 R2 创建AD域 前言 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。 环境 网络子网掩码网关 域名 创建域的必备条件 DNS域名:先要想好一个符合dns格式的域名,如 DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器) 注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。创建网络中的第一台域控制器 修改机器名和ip 先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成 安装域功能 选择服务器 选择域服务 提升为域控制器 添加新林 此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为,则内部的林根域名就不能是,否则未来可能会有兼容问题。 选择林功能级别,域功能级别。、 此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别 默认会直接在此服务器上安装DNS服务器 第一台域控制器必须是全局编录服务器的角色 第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能设置目录还原密码。 目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码 出现此警告无需理会 系统会自动创建一个netbios名称,可以更改。 不支持DNS域名的旧系统,如win98 winnt需要通过netbios名来进行通信 数据库文件夹:用了存储AD数据库 日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库SYSVOL文件夹:用了存储域共享文件(例如组策略)
ad域配置时间服务器 PDC如何设置外部服务器为权威服务器。将PDC的时间源同步服务器更改为公司内部的另外一台服务器(192.168.1.250),其他Linux服务器是用192.168.1.250这台服务器作为权威时间源服务器的 1.如何在PDC上设置将权威时间源服务器设置为19 2.168.1.250 2.如何检查PDC的时间服务器已经更改为192.168.1.250 3.如果检查PDC跟权威时间服务器192.168.1.250已经同步了 4.域内的其它DC不用做任何设置,就可以跟PDC保持时间同步了吧,客户 端也无需做任何操作吧,谢谢! 环境:Windows Server 2008 DC ,多Site 回答:根据您的描述,您知道如果在域环境中配置时间服务器。 首先,我们知道在域环境下时间同步非常重要,默认情况下如果DC之间或者DC 和client之间的时间差超过5分钟,那么Kerberos验证就是会失败(默认时间可以修改)。因此正确的配置时间架构将非常重要,一般来说我们按以下架构图来配置时间同步。 活动目录时间服务 在域环境中,PDC(拥有PDC Emulator 这个FSMO角色的DC)默认情况下是该域的权威时间服务器。 按照以上的时间同步层次图,一般情况下我们建议您将顶端的PDC(如果是多域环境,则选择根域的PDC)的时间源服务器指向外部可靠的时间源比如 https://www.doczj.com/doc/095067071.html,。
1.您可以通过以下命令设置时间同步源: o w32tm /config /manualpeerlist:
win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签:控制器 win2003额外域控制器升级为主域控制器 公司https://www.doczj.com/doc/095067071.html,(虚拟)有一台主域控制器https://www.doczj.com/doc/095067071.html,,还有一台额外域控制器https://www.doczj.com/doc/095067071.html,。现主域控制器(https://www.doczj.com/doc/095067071.html,)由于硬件故障突然损坏,事先又没有https://www.doczj.com/doc/095067071.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.doczj.com/doc/095067071.html,),我们怎么让额外域控制器(https://www.doczj.com/doc/095067071.html,)替代主域控制器,使Activate Directory 继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.doczj.com/doc/095067071.html,对象 3.1在额外域控制器(https://www.doczj.com/doc/095067071.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.doczj.com/doc/095067071.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.doczj.com/doc/095067071.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)
如何建立域 下面是一篇是如何建立域,如何加入域的分配域成员的教程,希望对大家有所帮助。 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
如图1 向下搬运右边的滚动条,找到“网络服务”,选中: 如图2
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 如图3 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”: 这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:
解决局域网时间同步问题,建立自己的时间服务器(在xp上测试通过)因为种种原因,客户端管理电脑时间会与服务器的时间不一致,造成很多软件不能正常工作或者说获取的前端数据有时间差。一台台修改时间,自然很不方便。目前用的比较多的办法就是NET TIME命令,来同步局域网其他一台机器,。经过我们自己反复试验,终于成功设置好了自己的时间服务器,完全可以用XP自带的windows time 服务来自动更新时间。无须借用其他程序。现将方法公布!目前测试过XP可以做服务器。 1. 将服务器类型更改为NTP。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,键入regedit,然后单击“确定”。 b. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 在右窗格中,右键单击“Type”,然后单击“修改”。 d. 在“编辑值”的“数值数据”框中键入NTP,然后单击“确定”。 2. 将AnnounceFlags 设置为5。为此,请按照下列步骤操作: a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入5(原为十六进制a),然后单击“确定”。 3. 启用NTPServer。为此,请按照下列步骤操作: a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer b. 在右窗格中,右键单击“Enabled”,然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入1(原为十六进制),然后单击“确定”。 进服务-停止windows time 服务,再启动windows time 服务。这样时间服务器就配置完毕 客户机设置: 注册表项MaxPosPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999(原为十六进制d2f0) 注册表项MaxNegPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999(原为十六进制d2f0)
子域控制器的安装与配置 实验名称:子域控制器的安装与配置成绩: 实验日期:年月日实验报告日期:年月日 一、实验目的 1.掌握子域控制器的安装与配置。 2.掌握子域控制器、额外域控制器与域控制器之间的关系。 二、实验环境 1、一台完成了第一台服务器的典型配置的服务器 2、一台没有任何服务器角色的Windows server 2003服务器 3、用交叉线连起来,没有任何服务器角色的Windows server 2003服务器与完成了第一台服务器的典型配置的服务器IP地址在同一个网段内,且没有任何服务器角色的Windows server 2003服务器的首选DNS服务器设置为完成了第一台服务器的典型配置服务器的IP地址 三、实验内容 1、子域控制器的安装与配置 四、实验步骤、过程 1、执行“开始”→“管理工具”→“配置您的服务器向导”,弹出“配置您的服务器向导”对话框。
2、单击“下一步”按钮,打开“预备步骤”对话框,按照列表一一确认预备步骤是否已经准备好; 3、单击“下一步”按钮,打开“服务器角色”对话框,表中列出的是当前计算机的服务器角色,可以为服务器添加或删除角色。选择“域控制器 (Active Directory)”,单击“下一步”;
4、出现“选择总结”对话框,单击“下一步”; 5、打开“Active Directory 安装向导”;
6、单击“下一步”按钮,出现“操作系统兼容性”对话框,显示不能与Windows server 2003系统Active Directory域控制器进行联网的Windows操作系统。 7、单击“下一步”按钮,打开“域控制器类型”对话框。在这里选择“新域的域控制器”;
额外域控制升级为主域控制器(一) 额外域控制升级为主域控制器(一) 一、实验环境: 域名为test. 1、原主域控制器 System: windows 20003 Server FQDN: PDC.test. IP:192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、辅助域控制器 System: windows 2003 Server FQDN:BDC.test. IP: 192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、Exchange 2003 Server FQDN:mail.test. IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1 也许有人会问,做辅域升级要装个Exchange干什么? 其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。 二、实验目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。 三、实验步骤 1、安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装 DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
域控制器建立完整教程 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】
[上海360宽带网] [制作人:360宽带网] [] [360宽带网口号:为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC 数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添 加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在 这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位 了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车 就可以看到“Active Directory安装向导”
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系
统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:
部署Windows Server 2008 R2域控制器 通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢? 也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP 属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.doczj.com/doc/095067071.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
域控制器时间同步及w32tm用法 (2011-07-05 13:07:37) 转载 分类:计算机与 Internet 标签: 杂谈 现象:域控制器和域内的计算机时间与internet上的时间不同步,老慢几分钟。 解决办法:设置NTP服务器,和外网时间同步。 一、修改DC注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\type为NTP 二、设置权威服务器 1、设置权威服务器 在域控服务器上打开注册表,找到键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 修改键AnnounceFlags的值为十进制的10。 2、启用NTPServer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServe r 修改键Enabled的值为十进制的1 三、配置组策略,设置时间同步 1、打开“Active Directory用户和计算机”,在域上点右键,属性。组策略,打开。 2、在“Default Domain Policy”上右键,编辑。
3、计算机配置—管理模板—系统—Windows时间服务,双击“全局时间配置”,选择“已 启用”。 修改MaxNegPhaseCorrection的值为3600(即为3600秒,1小时) 修改MaxPosPhaseCorrection的值为3600(即为3600秒,1小时) 修改AnnounceFlags的值为5 点“应用”,“确定”。 4、计算机配置—管理模板—系统—Windows时间服务—时间提供程序,“启用 Windows NTP客户端”,选择“已启用”。 “配置Windows NTP客户端”,选择“已启用”。 修改NtpSever的值为https://www.doczj.com/doc/095067071.html,,0x6 修改Type的值为NTP 修改SpecialPollInterval的值为1800(30分钟) 四、W32TM用法 当修改完策略后使用gpupdate /force 更新策略,使用w32tm命令更新客户端的时钟。 很多时间我们想知道,当前域内的计算机是从哪个服务器同步的时间,可以用如下命令: W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 同步某一个机器的时钟:w32tm /resync /computer:172.21.200.100 1.启动“注册表编辑器”。 2.找到并单击下列注册表项,然后添加下列注册表值: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32ti me\Config\
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了
安装部署域控制器 本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件,并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面,因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统,则同样可以完成加域操作,并和有盘系统一样接受活动目录(ActiveDirectory)的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录(ActiveDirectory)? 活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问,管理和控制,这个数据库叫做活动目录数据库。 b)关于目录与目录服务 要想理解什么是活动目录(ActiveDirectory),必须先理解什么是目录(Directory)和目录服务(DirectoryService)。在计算机中使用的“目录”和现实生活中使用的“目录”很相似,都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码,还可能包括关于该用户的的地址或其他信息。 目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源,使用户和应用程序能够访问这些资源,并将这些资源集中存储,使用和管理这些资源的全部信息,因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务? 域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器(DomainControler)就是安装了活动目录服务的一台计算机,简称DC。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。 域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者复制这样一种更新。 2.创建活动目录服务——部署域控制器 域控制器,DomainController,是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务,域控的安装部署以及管理至关重要。 部署网络中的第一台域控制器 实验环境
将额外控制器升级为主域控制器 前两天打雷,一台额外域控制器(windows 2003 DC服务器)主板击坏,无法维修,还好,主域控服务器(Windows 2003 )没有什么事,现购买一台新机作为服务器,打算把新机升级为主域控制器,原来的主域降级为额外域控制器; 一、新服务器安装好Windows 2003企业版操作系统及更新补丁,具体大家都会做,不用多说了; 二、在控制面板--添加删除程序--点击添加删除组件,出现新窗口,点击网络服务,选择如下服务(WINS,DHCP,DNS,简单TCP/IP服 务); 点击确定,放入windows2003光盘到光驱;
三、将Windows 2003升级为额外域控制器,使用Dcpromo命令,出现升级向导,如下图: 点击下一步,选择现在域的额外域控制器;接下来输入域控制器的管理员帐号和密码及域名(例:https://www.doczj.com/doc/095067071.html,); 输入完成后点击下一步,直到完成(中间步骤省略),重启服务器;这样就安装成功额外域控制器; 四、接下来,在管理工具中,点击Active Directory 站点和服务,自动创建了连接,出现如下窗口,如图:
在主域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接; 在额外域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接; 最好查看一下日志看有没有错误;同时检查一下DNS看有没有同步; 五、将额外域升级为主域控制器; 1、将DC-SRV主域的FSMO,五种角色转移到BDC-SRV上,别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。
域控的系统时间无法与北京时间同步的解决方案 某日, XX同事跑过来说, 我的XP的时间怎么不对啊, 比手机慢了3分钟, 我信誓旦旦的说, 这个与域控服务同步的, 没有问题, 肯定是你的手机时间错啦! ---但是既然有同事提醒, 我打开北京时间的官网一比对, 那个时候的汗那...确实慢了3分钟, 我想, DC也可能不对, 立马VNC, 哇靠, 确实如此! 查看DC注册表, 我现在的时间, 应该是跟服务器CMOS的硬件同步, 查阅MS-KB, 此方案通过同步外部时间服务器(推荐:https://www.doczj.com/doc/095067071.html,)来解决此问题并实现LAN内唯一特许经营时间提供商(世博专供). 以下转自Microsoft, 版权归属MS.由任何疑问, 请电联800. https://www.doczj.com/doc/095067071.html,/kb/816042/zh-cn 配置Windows 时间服务以使用外部时间源 要将内部时间服务器配置为与外部时间源同步,请按照下列步骤操作: 1. 将服务器类型更改为NTP。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,键入regedit,然后单击“确定”。 b. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 在右窗格中,右键单击“Type”,然后单击“修改”。 d. 在“编辑值”的“数值数据”框中键入NTP,然后单击“确定”。 2. 将AnnounceFlags设置为5。为此,请按照下列步骤操作: . 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags a. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。 b. 在“编辑DWORD 值”的“数值数据”框中键入5,然后单击“确定”。 3. 启用NTPServer。为此,请按照下列步骤操作: . 找到并单击下面的注册表子项: