02升级为域控制器

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

解决Windows域管理的几个经典问题2008-05-30 10:57近日在为公司配置域管理架构的时候，遇到了一些问题，上网google发现这些问题的提问者众多，堪称“经典”问题。

Windows域管理已经不是什么新鲜玩意儿了，可网上各类答案很多驴唇不对马嘴，互相抄来抄去，让提问者不得要领。

特撰此文，将我实际解决问题的小小经历记录下来与大家分享，避免大家遇到相同问题的时候走弯路。

我公司的网络结构采用VLAN划分部门，服务器单独一个VLAN，通过在核心交换机上配置路由和ACL实现各部门之间不可互访，通过访问服务器进行数据交换。

服务器是Win2003企业版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式（有Win2000的服务器）。

域名：binhu.local主域控制器：192.168.0.6/24 192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。

额外域控制器：192.168.2.254/24 服务器网段DNS：192.168.2.254DHCP ：192.168.2.254 已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了，只配置了IP、网关、DNS。

局域网计算机有Win2k Pro和WinXP Pro，W2k是用自己封装的ghost批量安装的，xp 是用的YlmF_GhostXP_SP3_Y1.0，当然都是会随机产生SID啦，全部采用自动获取IP地址，安装后默认设置不变，XP自带防火墙开启，配置如图1。

（图1）在客户端可以Ping通服务器IP地址以及binhu.local。

总之网络层的互联互通是OK的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大致相同或比我的还简单，可以继续往下看！问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络路径”。

计算机网络技术考试试题及答案一. 填空(每空0.5分，共10分)1. 计算机网络的主要功能为______共享. ________共享. 用户之间的信息交换。

2. 从局域网媒体访问控制方法的角度可以把局域网划分为________局域网和________局域网两大类。

3. 计算机网络系统由和资源子网组成4. 10BASE-T标准规定的网络拓扑结构是________，网络速率是________，网络所采用的网络介质是________，信号是________。

5. 国内最早的四大网络包括原邮电部的ChinaNet. 原电子部的ChinaGBN. 教育部的___________和中科院的CSTnet。

6. 在TCP/IP中，负责将IP地址映像成所对应的物理地址的协议是_______。

7. DNS服务器(DNS服务器有时也扮演DNS客户端的角色)向另一台DNS 服务器查询IP地址时，可以有3种查询方式：________.________ 和________。

8. Internet采用的协议簇为_______;若将个人电脑通过市话网上Internet 需配置_____。

9. 在计算机的通信子网中，其操作方式有两种，它们是面向连接的和无连接的。

10. 局域网与Internet主机的连接方法有两种，一种是通过，另一种是通过与Internet主机相连。

二. 单选题(每题1分，共30分)1. 以太网媒体访问控制技术CSMA/CD的机制是( )。

A. 争用带宽B. 预约带宽C. 循环使用带宽D. 按优先级分配带宽2. 完成路径选择功能是在OSI模型的( )。

A. 物理层B. 数据链路层C. 网络层D. 运输层3. ATM网络采用固定长度的信元传送数据，信元长度为( )。

A. 1024BB. 53BC. 128BD. 64B4. 在同一个信道上的同一时刻，能够进行双向数据传送的通信方式是( )。

A. 单工B. 半双工C. 全双工D. 上述三种均不是5. 交换机和网桥属于OSI模型的哪一层( )。

汽车域控制器行业发展介绍整车电子电气功能升级，ECU数量不断提升。

随着汽车智能化、网联化的渗透与普及，汽车功能配置日益复杂，汽车电子电气零部件占汽车的比重逐渐提高，对传感器、电子控制器（Electronic Control Unit，ECU）的需求数量大幅增加，如副驾驶娱乐屏幕、HUD抬头显示系统，自动驾驶摄像头、毫米波雷达，ECM模块（控制发动机）、BMS模块（管理新能源汽车电池）、AVM模块（360度环视影像融合计算）等。

同时，电动车时代下“电机+电控+电池”三电系统颠覆原有燃油动力源，电气信号逐步替代机械传动成为车内主要信息传导媒介，为以芯片、电路为基础的控制系统进行全车功能掌控打下扎实基础。

一、发展背景随着汽车电子渗透率持续提升，在传统分布式电子电气架构（Electrical/Electronic Architecture，EEA）下，一辆普通汽车的ECU高达70个，代码量近亿行。

不同ECU之间主要采用CAN/LIN总线进行连接，近年汽车中CAN/LIN总线节点数目不断提升，LIN和CAN总线节点的CAGR分别约为17%、13%。

此外，传统分布式EEA架构与汽车软件、硬件存在强耦合关系，导致车企开发成本及难度不断提升。

在此背景下，集中式电子电气架构、集中式区域控制器（Domain Control Unit，DCU），即域控制器概念应运而生。

智能时代单车功能演进，整车架构有进一步革新。

微控制器在传统的车辆中为分布式架构，增加功能需同时配备对应ECU及线束，易造成整车电子架构的臃肿。

目前，单台高端乘用车的ECU数量已破百且线束长度逾2km，而数目、品种杂多的ECU也不利于系统功能的协同优化，整车扩展性差，软件开发和迭代成本高。

在智能时代下，传统单个处理器亦难以负荷激光雷达等高性能部件，以及自动驾驶高阶功能对于多汽车部件协同的要求。

二、域控制器发展优势基于ECU的分布式存在算力分散、线束成本及重量、通信带宽低以及集成维护困难四大问题，难以适应汽车智能化发展趋势。

WindowsServer2012R2辅域控制器如何升级成主域控制器⼀、实验模拟故障问题： zhuyu公司架设了⼀台主域控制器和⼀台辅域控制器，某⼀天，zhuyu公司的主域控制器系统崩溃，主域控制器系统也进不去。

虽然辅域控制器可以暂时代替主域控制器的普通⼯作，但是特殊的操作辅域控制器是没办法操作的。

经过zhuyu公司领导同意， 决定把主域控制器撤⾛，直接让辅域控制器升级成主域控制器。

⼆、⽹络拓扑图：********** 注意事项 **********1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS，并且DNS是与域控是集成的。

2、客户端进⾏域访问时⾸先会联系⾸选DNS，即主域控，但是这时的主域控已经脱离⽹络，⽆法访问。

客户端就会尝试使⽤备⽤DNS，就会联系辅域控，达到正常访问，但是这样做的话，有⼀个很明显的问题，就是访问、验证、登录会⽐以前慢很多，因为要先联系主域控。

3、主域控系统⽹络是断开状态，辅域控若要获取主域控全部权限，辅域控必须通过强夺的⽅式把主域的FSMO的五个⾓⾊从主域控上强夺过来使⽤，通过ntdsutil命令清理死亡的主域控的残留信息(元数据)，最后指定辅域控为GC(全局编录)。

4、修改辅域控的IP为原来主域控的IP，同时重启Netlogon服务，⼿动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址，把DNS名称服务器(NS)存在的已死亡的主域控删除掉。

5、辅域控重启系统检查DNS和域控是否正常，查看⽇志⽂件是否报错。

三、操作步骤：1、辅域控制器固定IP设置。

2、主域控制器已经脱离⽹络，ping 192.168.10.30已经不通了。

3、因为主域控已经断开连接，所以，辅域控的操作主机显⽰错误。

4、在辅域控DOS命令下运⾏netdom query fsmo 查看当前的FSMO五个⾓⾊的拥有者都是test-zhuAD主域控，所有辅域控test-beiAD采⽤强夺⽅式把主域控test-zhuAD五个⾓⾊强夺过来。

实验3 建立域控制器1 实验目的1、通过实验掌握Windows Serv er 2008R2中活动目录的安装步骤。

2、通过实验掌握额外域控制器的安装步骤。

3、掌握将客户机加入或脱离域的方法。

4、掌握创建具有父子信任关系的域树的方法。

5、掌握创建具有根信任关系的域林的方法。

2 实验环境1、VMware中两台已经安装Windows Serv er 2008R2的计算机（也可通过clone 实现）（计算机名分别为ser v ier01和serv er02）。

2、1台Windows 7计算机。

3、所有计算机之间能够相互连通。

3 实验原理1、域控制器是用来保存活动目录信息的服务器。

它处于域中顶尖的位置，在构建域网络的过程中需要建立的第一台服务器就是它。

域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上。

域控制器也负责用户的登录过程，以及其它与域有关的操作，如身份认证、目录信息查找等。

2、网络中可以有多台域控制器，以实现容错的能力。

所有域控制器都是平等的。

3、Windows系统的计算机加入域后，便可以访问AD数据库与其它域资源，例如用户可以在这些计算机上使用域用户账户来登录域，并使用此域用户账户来访问域内其它计算机内的资源。

当然，加入域的计算机也可以脱离域。

4、域树由一个或多个域构成，安装时应先创建父域，再创建子域，在域名上应具有连续性。

林由一个或多个域树构成，在建立第2个域树的根域时可以建立与已有域树的根信任关系。

域林中各个域的域名没有关联关系。

5、信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。

信任是域之间建立的关系，可以使一个域中的用户由另一个域中的域控制器进行验证。

常用的信任类型包括：（1）父子信任在域林中，父子域之间存在信任关系，称之为父子信任关系。

默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。

来自从属域的身份验证请求将通过其父项向上传递到信任域中。

把Windows 2008 R2域服务升级和迁移到Windows Server 2012 R2上• (一)windows Server 2012 R2 中增加了不少功能，在AD角色中就增加了如下新特性：Workplace Join：支持设备在不加入域的情况下，通过第二因子认证和单点登录通过web应用代理访问内部应用:外部设备可以直接通过Web应用代理来访问内部应用和服务，如：ADFS、Applications。

通过规则以决定访问ADFS资源的用户权限，权限有三种：允许所有用户访问、输入凭据访问、拒绝用户访问迁移工作可以有多种方式，常见的就是在不同设备上进行迁移，这样安全可靠。

还有一种是就地升级的迁移，这种方式只限于能直接升级到Windows Server 2012 R2 的系统，升级前做好系统备份工作。

1.新安装一台Windows server 2012 R2服务器，打开添加角色和功能对话框。

2.在安装类型页面点击下一步3.在服务器选择页面，点击下一步4.在服务器角色页面，选择AD域服务角色，点击下一步5.在功能页面，点击下一步7.点击下一步8.勾选“如果需要，自动重新启动服务器”，点击安装9.安装完成后点击“将此服务器升级为域控制器”10.在部署配置页面，选择将域控制器添加到现有域，具体配置如图所示，点击下一步11.输入目录还原密码，然后点击下一步12.点击下一步13.复制自选择主域控制器，然后点击下一步14.在路径页面，点击下一步15.点击下一步16.点击下一步17.先决条件检查通过后，点击安装18.安装完成后，点击关闭19.在AD管理中心中看到，windows server 2012 R2 服务器已经成为域控制器。

（二）将域的五个角色转移到Windows server 2012 R2AD域环境中的五大主机角色在Win Server多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。