实际环境下的主域控制器系统重装方案

当生产环境当中的主域控出现故障，需要把域控的组织架构、策略、用户账号信息迁移到新域控，首先是搭建一台辅助域控然后提升主机模式到2003纯模式，最后迁移主域控的五个操作主机即可。

Active Directory内总共定义了五个操作主机角色：架构主机（schema master）域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下：1、架构主机：负责更新与修改schema内的对象与属性数据，只有有Schema Admin组内的成员才有权利修改schema内的数据。

如果架构主机出现故障或离线，可能会影响某些软件的运作，例如某些服务器级的软件在安装时，会在schema 内添加对象，如果架构主机出现故障或离线，将无法安装这些软件。

2、域命名主机：负责管理林内域的添加与删除工作。

如果域命名主机出现故障或离线，将无法在林内添加或删除域。

3、R ID主机：a、发放RID RID主机负责发放RID（relativeID）给其域内的所有域控制器。

当域控制器内添加一个用户、组或者计算机对象时，域控制器必须指派一个惟一的安全识别码（SID）给这个对象，此对象的SID是由域的SID与RID所组成的，也就是说“对象的SID=域的SID+RID”，而RID并不是由每一台域控制器自己产生的，它是由“RID操作主机”来统一发放给其域内的所有域控制器的。

每一台域控制器需要RID时，它会向“RID主机”索取一些RID，用完后再向“RID操作主机”索取；b、移动对象无论目前所连接的域控制器是哪台，当要将某个对象传送到另外一个域时，系统会移动位于“RID主机”内的对象，然后通知其他域控制器该对象已被转移。

这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。

最完整的BDC升级为PDC的方法(主域控制器与辅助域控制器的转换）此方法只适用于PDC仍然在线的情况下一、环境：域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.86.3Mask:255.255.255.0DNS:192.168.86.32、辅助域控制器System: windows 2003 ServerFQDN：IP： 192.168.86.2Mask: 255.255.255.0DNS:192.168.86.3二、目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、步骤两台域控制器的安装我这里就不在说明了，但在做角色转换之前，我们一定要注意的是：如果主域控制器是集成了DNS服务器的，那么辅助域控制器也需要安装DNS组件，并且设置为辅助DNS服务器。

打开活动目录用户和计算机，如下图点击域名，在菜单中选择“Operations Masters”如下图所示，我们发现可以转移三个操作主机角色，分别是RID主机，PDC主机和结构主机。

并依次把其他两个角色转移完成。

转移了RID主机，PDC主机和结构主机后，我们再来转移域命名主机。

在test1上打开活动目录域和信任关系，如键单活动目录域和信任关系，从菜单中选择“Operations Masters”如下图所示：这是完成转移后的画面，初始画面应该是上面显示，下面显示最后我们要转移的角色是架构主机，架构主机由于角色非常重要，微软没有为我们预设管理工具，我们首先要通过注册动态链接库来获得转移架构主机所需要的管理工具。

如下图，我们运行regsvr32 schmmgmt.dll，系统会提示注册动态链接库成功。

注册了动态链接库后，我们在开始—运行中输入MMC，跳出管理控制台的窗口。

在做这一步的时候我发现网上很多指导性的文档讲的都不太具体，对于一些新来手可能不知道怎么做，我自己当时也走过弯路，所以特别多抓了几张图，讲的详细点。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

Windows域维护手册一、域的安装步骤1.安装windows2003 server企业版2.设置首选DNS地址为本机IP3.打开开始菜单，输入“DCPROMO”，回车，4.回车后，出现“Active Directory 安装向导”，点击“下一步”，出现“操作系统兼容性”信息后，单击“下一步”，5.选择“新域的域控制器”，点“下一步”，6.选择“在新林中的域”，点击“下一步”，7.“新域的 DNS全名”输入“”，点击“下一步”8.点击“下一步”，表示使用“TEST”作为域NetBIOS名9.直接点“下一步”，数据库和日志文件文件夹放在默认目录10.注意：SYSVOL文件夹必须在NTFS卷上，即这个文件夹所在的磁盘格式必须为NTFS，点“下一步”11.选择第二项，点“下一步”12.设置好你的还原模式密码之后，点“下一步”，出现“Active Directory 安装选项摘要”，单击“下一步”开始安装 Active Directory。

13.在出现以上提示时，请把 Windows Server 2003 安装盘放入光驱中，点确定（以上提示会出现两次，不过需要使用的文件不同）。

下面就按照提示点“下一步”直至“完成”。

14.重启你的计算机，这样你的Win Server 2003服务器就成为了域控制器了。

二、创建组织单位、用户、设置密码1. 创建组织单位：打开管理工具->Active Directory 用户和计算机，右键单击“”，新建->组织单位。

2. 建立用户：在组织单位名称上点右键，新建->用户。

3. 设置密码。

设置密码的时候，会提示你密码不符合密码策略，从而不能新建用户。

解决方法：打开管理工具->Active Directory 用户和计算机，右键单击“”，属性->选择组策略，默认选择的是 Default Domain Policy，点“编辑”，这样就打开组策略，选择计算机配置->Windows 设置->安全设置->账户策略->密码策略。

1.6
禁用用户计算机Guest账号
桌面管理
2.1
域计算机统一桌面背景
2.2
域计算机统一开始菜单样式
IE设定
3.1
禁止变更Proxy设定
根据用户需求设定
3.2
禁用Internet连接向导
根据用户需求设定
3.3
禁用IE更改主页设置
根据用户需求设定
3.4
禁止变更IE安全性设定
根据用户需求设定
1-2天
4
在主域控制服务器上安装AD、DNS、DHCP、WINS角色
1天
5
将额外域控制器服务器加入域中
0.5天
DNS配置
6
在额外域控服务器上安装AD、DNS、DHCP、WINS角色，实现与主域控制服务器的冗余
1天
DNS配置
7
确定并建立OU组织架构
1天
8
基本域控策略规划
1-2天
9
客户端加入域测试
AD介绍
现状和问题
企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一种对等网络，网络中的计算机地位平等，计算机之间互不干扰，正因为工作组是一种对等网络，所以它存在以下问题。
管理分散
？
资源共享和账号管理分散，所有的设置都要在计算机本地进行设置，无法统一管理
“人机”不分
容灾和备份
Active Directory域服务(ADDS)是Windows基础结构中针对关键任务的组件。如果Active Directory出现故障，网络实际就崩溃了。因此，Active Directory的备份和恢复计划是安全性、业务连续性的基础。
备份策略：使用Windows Server backup对Domain Controller活动目录进行定期备份。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。

域控搭建方案一、概述在现代企业中，域控（Domain Controller）是一种对网络上的计算机和用户进行集中管理的解决方案。

通过搭建域控，企业可以实现用户账户、权限管理、安全策略等的集中控制，提高网络管理效率，并增强整体网络的安全性。

本文将详细介绍域控搭建方案。

二、准备工作2.1 硬件准备搭建域控需要一台或多台适用的服务器或计算机，确保具备足够的性能和存储空间。

服务器建议使用性能较好的硬件，例如至少4核CPU、8GB内存和500GB硬盘空间。

2.2 软件准备•Windows Server操作系统：选择适合企业规模和需求的Windows Server版本，如Windows Server 2019。

•Windows Server ISO镜像：下载合适的Windows Server ISO镜像文件进行安装。

2.3 网络准备•IP地址规划：根据实际网络环境，规划IP地址分配方案。

建议使用专用IP 地址段，如192.168.0.0/24。

•域名系统（DNS）配置：设置合适的DNS服务器地址，确保域控可以解析外部域名和本地域名。

三、安装和配置域控3.1 安装操作系统按照安装向导，使用准备好的Windows Server ISO镜像文件，进行操作系统的安装。

在安装过程中，根据实际需求进行分区和设置管理员密码。

3.2 添加域控角色在安装完成后，打开Server Manager管理工具，选择“添加角色和功能”，进入角色和功能安装向导。

选择“Active Directory域服务”角色，并安装相关功能。

3.3 创建新域在角色安装完成后，打开Server Manager或直接在欢迎界面上点击“配置Active Directory域服务”按钮，进入配置向导。

选择“创建新的域”，并按照向导提示完成域的创建。

3.4 配置DNS服务器在域控创建完成后，进入Server Manager的“工具”菜单，选择“DNS”管理工具。

报告恢复结果
在恢复完成后，向相关人员报告恢复结果， 包括成功与否、数据完整性等。
数据同步和验证
数据同步
在系统恢复后，确保所有数据与备份 数据同步，保证数据的完整性。
数据验证
通过数据验证过程，确保所有数据准 确无误，符合业务需求。
性能测试
对恢复后的系统进行性能测试，确保 系统能够承受正常业务负载。
监控系统稳定性
执行恢复流程
按照恢复策略，执行恢复流程，确保系统能 够成功恢复。
评估恢复时间
记录恢复所需的时间，评估恢复流程的效率 和可行性。
恢复过程
启动紧急响应机制
在灾难发生时，立即启动紧急响应机制，协 调各方资源进行恢复。
执行恢复流程
按照预先制定的恢复策略，执行恢复流程， 尽快恢复系统运行。
监控恢复进度
实时监控恢复进度，确保所有相关人员了解 当前状况。
的要求。
安全培训
03
对域控制器管理员进行安全培训，提高他们的安全意识和技能
水平。
05 域控的性能优化
优化AD架构设计
精简架构
减少不必要的域控制器和森林架构，降低管理复杂性和资源消耗。
分散负载
通过合理分布角色和功能，平衡负载，避免单点故障和性能瓶颈。
考虑地理分布
根据业务需求和地理位置，合理部署域控制器，提高网络访问速度 和容灾能力。
感谢您的观看
02 域控的备份
备份策略的制定
确定备份频率
确定备份存储
根据业务需求和数据重要性，制定合 适的备份频率，如每日、每周或每月。
选择合适的存储介质和存储位置，确 保备份数据的安全性和可访问性。
确定备份类型
选择全量备份或增量备份，或结合使 用两者以满足恢复点目标(RTO)和恢 复时间目标(RPO)。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

域控服务器系统备份和恢复说明系统备份与恢复公司局域网中域控服务器担任DNS服务、AD服务2种角色，AD 服务和DNS服务可以通过备份系统状态一起备份。

在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS服务，C盘镜像文件和这2个服务每7天备份一次，备份文件名称加日期，分别存放在2T硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC镜像文件备份”1 系统原始状态备份1.1、备份方案准备一套GHOST软件，或带GHOST软件的U盘系统原始状态需要备份，第一步备份C盘分区的镜像1.2、备份过程第一步：备份系统分区镜像在域控服务器BOIS中设置从U盘启动，带有GHOST软件的U盘插入服务器usb接口，启动域控服务器，一会进去如下图所示，选择启动GHOST11.2软件，如下图：GHOST软件版权说明页面：备份方式选择Partition—To Image：磁盘分区情况与源分区C盘的选择：源分区C盘选择确认：C盘镜像保存路径选择：镜像保持名字起名规则：系统版本—日期—时间镜像压缩程度选择：备份确认：至次，C盘镜像备份完成。

2 域控服务器恢复2.1、恢复过程恢复分区镜像在域控服务器BOIS中设置从U盘启动，带有GHOST软件的U盘插入服务器usb接口，启动域控服务器，一会进去如下图所示，选择启动GHOST11.2软件，如下图：GHOST软件版权说明页面：恢复方式选择Partition—From Image：要恢复的镜像文件选择路径：选择备份镜像源分区C盘选择确认：目标硬盘路径选择：目标分区路径选择：确认选择：恢复确认：选yes，等待重启至次，C盘镜像恢复完成3 AD服务和DNS服务备份与恢复3.1、备份方案AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。

其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非 Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于 Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或 Windows NT 4.0 的客户端）、Windows2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务 (FRS 的分段目录和文件。

急！！！主域控制器重装系统后如何恢复ad帐号AD 2010-03-03 11:20:01 阅读238 评论0 字号：大中小订阅公司主域控制器故障了，重新安装了系统，2000server,重装系统前没有做系统状态备份，但是我们有额外域控制器，主域控制器重装完系统后是不是要新建AD，如何把额外域中的账户导入到主域中来?1、先用你的额外域控夺取fsmo角色，使之成为主域控，这时候你的AD网络应该是正常的（如果没出问题的话）操作前请备份系统状态，否则出现问题你将一无所有。

2、给那台坏了的机器重装系统，并使之成为额外域控。

3、如果你想用继续使用此台机器做主域控的话，那么把fsmo角色转移到此机器即可，第一步那台就又成了额外域控了，如果没此需要的话那到第二步就结束了。

原来的额外域变成主域时设置成了GC,那我想还把原来的主域做主域是不是要把原来额外域的那个GC去掉这个不需要!GC不是唯一的,可以设置多台!角色转移是只需要步骤三呢还是一二三都需要：一从AD中清除主域控制器对象在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

域控服务器安装及设置域控服务器（Domain Controller）是在Windows Server操作系统上安装并设置的一种服务器角色，用于管理和控制整个网络中的用户、计算机和其他资源。

域控服务器建立了一个集中的身份认证和授权机制，为网络提供安全和统一的管理。

以下是域控服务器的安装和设置过程：第一步：准备工作1.确保服务器满足安装要求：首先，确保服务器硬件配置和操作系统版本符合域控服务器的最低要求；其次，确认服务器上没有其他应用程序或服务在运行。

2.配置网络设置：为服务器分配一个静态IP地址，并设置正确的DNS服务器地址。

DNS服务器地址通常设置为本地服务器自身的IP地址。

第二步：安装域控服务器角色1. 打开服务器管理器：在Windows Server操作系统上，打开服务器管理器，可以通过点击任务栏的“开始”按钮，选择“服务器管理器”。

2.添加角色和功能：在服务器管理器中，点击左侧的“管理”选项卡，然后选择“添加角色和功能”链接。

3.选择服务器：在“添加角色和功能向导”中，点击“下一步”，选择要安装域控服务器角色的服务器。

4.选择角色：在“服务器角色”页面中，选择“活动目录域服务”角色，并点击“下一步”。

5.选择功能：在“功能”页面中，没有特殊需求的情况下，保持默认设置，点击“下一步”。

6.安装选择：在“安装”页面中，点击“下一步”。

7.安装过程：在“确认安装选择”页面中，点击“安装”开始安装域控服务器角色。

第三步：配置域控服务器1.等待安装完成：安装过程可能需要一些时间，请耐心等待。

2.完成安装：安装完成后，点击“关闭”。

3.配置域控服务器角色：在服务器管理器中，点击左侧的“完成域控服务器设置”链接，然后按照向导指引进行配置。

4.添加新林或域：在“活动目录域服务安装向导”中，选择“添加一个新的林”（如果需要创建新的域）或“将该服务器提升为域控服务器”（如果已经存在域，需要添加该服务器到现有域中）。

额外域控制BDC升级为主域控制器PDC过程(2009-04-09 18:05:02)标签：pdc bdc主域控制额外域控制杂谈分类：Computer环境：两台服务器，一为PDC，一为BDC域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP： 192.168.50.2Mask: 255.255.255.0DNS:192.168.50.1目的：当PDC启动不了，系统坏掉时，这时候必须把BDC升级为PDC，下面就是实现这一功能。

详细步骤:首先安装windows 2003里的support tools,在安装光盘里有。

一、查看。

这时我们的PDC已经出现了问题并开不起来了。

这时我们来到BDC上，打开AD 用户和计算机，在你的域名处点右键――>"操作主机"打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC，所以我们要把BDC更改为操作主机。

各位可能就会看到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了，但是你在这里点更改会报错的，点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。

不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。

二、查看owner归属。

打开dos，在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图：我们看到当前五个角色的owner还是PDC。

下面我们就开始强制夺取吧。

三、利用工具命令升级。

再次打开 support tools 在命令提示符下1、输入ntdsutil 回车，2、再输入:roles 回车，3、再输入connections 回车，4、再输入connect to server (其实上面这里我写的是BDC的计算机名，而现在输入的又是域名了) ，提示绑定成功后，输入q退出，如图：四、利用seize命令强夺。

安装域控制器的过程就是安装Active Directory 的过程。

删除域控制器的过程就是删除Active Directory 的过程。

操作要点：“开始| 管理工具| 配置您的服务器向导”，在“服务器角色”中选择“域控制器(Active Directory)”，如果该计算机不是域控制器，则启动“Active Directory 安装向导”后会安装域控制器；如果该计算机已经是域控制器，则会删除域控制器。

操作详解：一、安装域控制器的条件：1、已安装了Windows Server 2003 操作系统；2、服务器上至少要有一个NTFS 分区；3、一个DNS 域名；如果网络中有多个域，各个域名不能重复；4、一个DNS 服务器；负责域名的解析，用于定位域控制器的位置，多个域控制器可共用一个DNS 服务器。

二、域规划：建立域控制器时应该先进行规划，明确该域控制器所管理的域，还需要明确各域之间的关系，这样才不会造成混乱。

在安装活动目录过程中，有两步的选择最重要，如下图：在建立域控制器时，有以下几种情形：1、建立网络中的第一个域选项1：新域的域控制器；选项2：在新林中的域。

2、建立现有域的一个子域选项1：新域的域控制器；选项2：在现有域树中的子域。

这种方式建立的域与现有的某个域自动建立“父子”信任关系。

该域的域名与它的父域必须是邻接的。

3、在现有域林中建立一个新的域树选项1：新域的域控制器；选项2：在现有林中的域树。

这种方式建立的域与现有的某个域树的根域自动建立“树根”信任关系。

该域也成为一棵新域树的根域。

4、在现有域中添加额外的域控制器选项1：现有域的额外域控制器。

这种方式建立的域控制器与该域中已有的域控制器是平等的，当一个域控制器的内容发生变化时，它会自动复制到其它域控制器上。

值得注意的是，如果在额外域控制器上有本地帐户，这些帐户将全部被删除，该域控制器的帐户将和已有的域控制器上的帐户相同。

5、与现有域完全无关的新域选项1：新域的域控制器；选项2：在新林中的域。

集团域服务器部署方案一、网络对办公环境造成的危害随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命;网络对办公环境造成的危害主要表现为：1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值;2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作而维护人员;3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢；4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制；5. 局域网共享,包括默认共享无意,文件共享有意,一些病毒比如ARP通过广播四处泛滥,影响到整个片区办公电脑的正常工作；6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强;二、网络管理和维护策略针对以上这些因素,我们可以通过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑;域服务器的作用1.安全集中管理统一安全策略2.软件集中管理按照公司要求限定所有机器只能运行必需的办公软件;3.环境集中管理利用AD可以统一客户端桌面,IE,TCP/IP等设置4.活动目录是企业基础架构的根本,为公司整体统一管理做基础其它OA服务器,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器;建立域管理1,建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限;集团的员工帐号只有标准user权限;不允许信息系统管理员泄露域管理员密码和本地管理员密码;在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power user权限,实际上是对公环境有效的保护;办公PC必须严格遵守OU命名规则,同时实现实名负责制;指定员工对该PC 负责,这不但是固定资产管理的要求,也是网络安全管理的要求;对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响;2：在防火墙上只开放常用或业务系统需要的端口,如80、25、21、110、443,其它端口一律封锁,有效实施对P2P和BT软件的封锁;3：接入网络的计算机必须接受信息中心的管理;通过在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP 组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Intranet,只能单机使用;4：建立WSUS服务器;WSUS是微软推出的免费的Windows更新管理服务,目前最新版本除了支持Windows系统Windows 2000全系列、Windows XP全系列和Windows server 2003全系列的更新管理外,还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理;在域服务器上通过组策略设定客户端PC的自动更新服务,;5：建立防病毒服务器比如nod32,通过防病毒及时更新计算机的病毒库,增强整体的病毒抵御能力,及时消灭网内病毒;6：启用组策略;不同部门可以设置不同安全策略,以满足不同部门的办公需求,通用策略可以设置在根域上,特殊权限在不同部门分别做策略7：使用软件进行远程维护,实现快速的维护响应;用户及名称规划所有用户均用工号及密码来登录域环境,域的加入可以做一个加入域的批处理,用户通过输入自己的用户名和密码既可登录到域服务器;所有接入电脑必须严格遵守OU命名规则,即电脑名必须改为部门加姓名,比如电脑部陈赵,则其计算机名为：dnbchenzhao;当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置;各部门用户加入各部门的组,便于用户管理及根据部门进行不同的策略设置计算机帐户中删除多余用户,仅保留域用户及administrator,重命名管理员帐户,并且强制统一管理员密码,以便日后维护;用户权限及策略规划所有用户初始权限为power user 能正常访问本地所有资源,受限安装软件,禁止用户修改注册表,禁止修改TCP/IP,禁止修改计算机设置;常用软件可以用软件分发来做,个别用户的特殊软件可以远程安装;近期使用计算机指派,文件服务器共享等方式,远期使用SMS.具体的实施具体技术方案包括：1,需求收集;收集各部门工作需要用到的软件,与工作有关的网页,常见的一些机器故障; 2．规划;规划服务器,客户端母盘制作,用户权限规划;在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计,让用户和管理员在使用时更为方便;域的结构遵循简单原则,采用单域模式,人员的组织以部门为组织单位加入域中1.规划DNS如果用户准备使用活动目录,则需要首先规划名称空间;当DNS域名称空间可在Windows 2003中正确执行之前,需要有可用的活动目录结构;所以,从活动目录设计着手并用适当的DNS名称空间支持它;2.规划用户的域结构最容易管理的域结构就是单域;规划时,用户从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域;单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机;在一个域中,可以使用组织单元OU,Organizational Units来实现这个目标;然后,可以指定组策略设置并将用户、组和计算机放在组织单元中;3.规划用户的权限我们给用户那些权限,user最低权限,不能安装软件,power user能完成所有任务但不能更改管理员设置建议初期给power user 稳定后回收权限;需要限制用户使用那些软件用户能够访问那些资源组策略有以下几个比较重要的应用1，软件分发,分发msi格式软件,非msi格式可通过工具转换2，软件限制非办公软件可以使用软件策略进行限制3，文件夹重定向,可以把用户资料保存到安全位置4，管理设置,主要设置一些windows组件相关内容,比如开始菜单显示的内容5，Ie相关设置信任站点,控件下载,文件下载等6，安全设置帐户策略,系统服务,注册表,文件系统7，实现一些脚本的功能比如分发一些脚本进行MAC地址绑定进行ARP免疫文件服务器的要求1、每个用户都能存取删除自己所拥有的文件;2、每个使用者都要有自己的帐户,并且对特定文件夹的访问需要形成日志保存下来供管理员查看;3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码;4、每个用户只能在服务器上存放一定大小,类型的文件,而不是无限大的文件,并且当存放文件到特定警戒线的时候能通知管理员;3．部署;部署客户端考虑到ris服务器需要dhcp服务器支持,且对网络带宽有较高要求,可以通过分批加入域,分批GHOST部署域服务器、dns服务器及文件服务器,如果需要做dhcp,需要考虑DHCP的实现方式;后期还要添加WSUS服务器,sms服务器,防病毒服务器及OA服务器,考虑到公司现在有的客户机操作系统还有WIN98系统,信息科介意更新;域服务器按规划做好策略,文件服务器做好权限控制;4．测试;部门办公应用在域环境下能否正常使用,安全性方面能否达到预期效果;办公应用：erp系统能否正常登录,打印；office等办公软件能否正常运行；远程VPN拔号能否正常登录使用；5．建立各类使用及维护文档;帮助大家在域环境下更方便的使用办公电脑;6．检查所有电脑,如果检测认定安全的直接加入域,如果是HOME版及机器有问题的,重做系统;7．域的备份域的备份主要是通过做备份域,以及微软自带的备份工具备份帐户数据等; 效果最终的客户端系统桌面如下运行其他非必须程序提示：对文件服务器的正常访问：服务器的安全1、域控制器的安全保证：域控制器主要是管理局域网的用户和机器,并对用户的权限进行控制,一旦主域控制器系统损坏,重新安装系统后就必须重新建立用户信息,为了防止系统损坏而影响系统使用,在局域网中又设置一台备份域服务器,备份域服务器能将主域控制器上的所有用户信息备份到本机,并在主域控制器失效时自动充当主域控制器的角色,保证系统能正常运行;2、文件服务器的安全保证：文件服务器主要是保存各种公司私密文件,所以其安全性主要是考虑服务器上保存的文件的安全性,文件服务器本身做磁盘冗余,这样即使服务器有一个硬盘损坏也不会导致文件丢失,另外我们还通过异地备份将文件服务器上文件保存一份到其他服务器上,这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失;3、综合安全优化1,停掉Guest 帐号2,修改管理员帐号和创建陷阱帐号：重命名Administrator账号,然后新建一个名称为Administrator的陷阱帐号“受限制用户”,把它的权限设置成最低,什么事也干不了,并且加上超级复杂密码3,删除默认共享Windows2003安装好以后,系统会创建一些隐藏的共享,要禁止或删除这些共享以确保安全,方法是：首先编写如下内容的批处理文件：echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del可以通过组策略编辑器使客户机系统开机即执行脚本删除系统默认的共享; 4,禁用IPC连接Ipc连接比如net use\\ip\ipc$ "password" /user:"usernqme";可以通过修改注册表来禁用IPC连接;打开注册表编辑器;找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接;重新设置远程可访问的注册表路径5,设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息;打开组策略编辑器,然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可;6,关闭不需要的端口7,关闭不需要的服务服务提供了核心操作系统功能,如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告,并不是所有默认服务都是我们需要的;我们不需要的可以停用、禁用,来释放系统资源;8,锁住注册表9,运行防病毒软件10,备份。

域控服务器备份和恢复域控服务器（Domain Controller）是部署在Windows Server操作系统上的一种重要的服务器角色，用于管理和控制整个域中的用户、计算机和资源。

由于域控服务器扮演着核心的角色，数据的备份和恢复对于保证系统的稳定性和可靠性至关重要。

首先，对于系统级备份，可以使用Windows Server自带的Windows Server备份工具（Windows Server Backup）来进行备份。

通过该工具，可以选择备份整个服务器系统，包括操作系统、系统状态、配置文件以及应用程序等。

此种备份方式可以灵活地还原整个服务器系统，但需要占用较大的存储空间。

其次，对于数据库级备份，域控服务器主要依赖于Active Directory数据库进行用户、计算机和资源的管理。

可以使用Windows Server自带的NTDSUtil工具来备份和恢复Active Directory数据库。

其中，备份可以通过执行"ntdsutil backup"命令来实现，可以备份整个数据库或仅备份指定的目录服务分区。

而恢复则可以通过执行"ntdsutil restore"命令来实现，可以从备份文件中选择性恢复域控服务器。

除了以上的方法，还可以使用第三方备份软件，例如Symantec Backup Exec、Acronis Backup等。

这些软件可以提供更强大和灵活的备份和恢复功能，能够实现增量备份、差异备份、定时备份等功能，同时支持自动化备份策略。

不管采用哪种备份方式，备份数据的存储是一个重要的问题。

为确保数据的安全性和可靠性，需要将备份数据存储在不同的位置，最好是与域控服务器所在的位置分离，以防止单点故障。

同时，建议备份数据进行加密，确保数据的机密性；并对备份数据进行定期的验证，以确保备份数据的完整性。

在数据备份的基础上，如果发生域控服务器故障或数据损坏的情况，需要进行恢复操作。