windows2003域控制器的冗余

Windows2003域控基本策略对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机，域控制器服务器是在任何环境下都应当确保其安全性的重要角色。

对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP（轻量级目录访问协议）目录的客户机、服务器以及应用软件而言，IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。

由于其重要性，域控制器应当总是被安置在物理上安全的地点，仅允许有资格的管理人员访问。

当域控制器必须安置在不太安全的地方时，例如分支办公室，应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。

域控制器基线策略与本指南后面将要介绍的其他服务器角色策略不同，域控制器服务器的组策略是一种基线策略，与第三章“创建成员服务器基线”所定义的成员服务器基线策略（MSBP）属于同一类。

域控制器基线策略（DCBP）与域控制器组织单位（OU）密切相连，并且优先于缺省的域控制器策略。

包括在DCBP中的设置将增强任何环境下域控制器的总体安全性。

大多数DCBP是MSBP的直接拷贝。

由于DCBP建立在MSBP基础之上，读者应当仔细复习第三章“创建成员服务器基线”，以便充分理解同样包括在DCBP中的许多设置。

本章仅仅讨论那些没有包括在MSBP中的DCBP设置。

域控制器模板专门设计用来满足本指南所定义三种环境的安全需要。

下表显示了包括在本指南中的域控制器.inf 文件以及这些环境相互之间的关系。

例如，文件Enterprise Client –Domain Controller.inf是企业客户机环境下的安全性模板。

表 4.1: 域控制器基线安全性模板注意：将一个配置不正确的组策略对象链接到Domain Controllers OU（域控制器组织单位）可能会严重阻碍域的正常操作。

在导入这些安全性模板时应当十分小心，在将GPO到链接到Domain Controllers OU之前，应该确认导入的所有设置都是正确的。

Windows 2003 RAID与Cluster配置指南第一章Dell3000I RAID配置RAID是“Redundant Array of Independent Disk”的缩写，中文意思是独立冗余磁盘阵列。

冗余磁盘阵列技术诞生于1987年，由美国加州大学伯克利分校提出。

简单地解释，就是将N台硬盘通过RAID Controller（分Hardware，Software）结合成虚拟单台大容量的硬盘使用示意如图1-1。

图1-1 RAID示意图RAID的功能有扩大了存储能力，降低了单位容量的成本，提高了存储速度，可靠性RAID系统可以使用两组硬盘同步完成镜像存储，容错性RAID控制器的一个关键功能就是容错处理。

本章主要以Dell 3000I RAID为例说明RAID的配置。

1.1存储模型（DAS、SAN、NAS）（1）、存储模型分类（如图1-2）图1-2 存储分类图（2）、DAS、SAN、NAS 区别(如图1-3)图 1-3 现代存储解决方案三者之间的区别如下：DAS 主机直接与硬盘磁盘阵列柜连接，可以通过fc(光纤通道)或SCSI 卡来连接。

SAN 主机与硬盘磁盘阵列柜通过FC Switch 千兆来连接，每一台主机都有自己的文件系统来对硬盘磁盘阵列柜数据进行存取。

存取速度快。

NAS 主机与硬盘磁盘阵列柜通过以太网交换器进行连接，每一个阵列柜有自己的文件管理系统，因此可以进行文件的共享。

1.2 Dell MD3000I 硬件布线MD 300I 有多种布线方式，这里主要说明我们今天要做的实验配置的一种布线方式布线情况如图1-4。

图1-4 RAID 布线图1.3 安装DELl MD3000I storage management 软件安装DELL MD3000I storage management 之前需要安装microsoftiscsi Initiator驱动程序和软软KB943545与KB950903补丁。

应对win 2003服务器管理难题的妙方大盘点导读:当网站发展到一定的规模，站长就会开始考虑要为网站托管服务器。

通常情况下服务器会被放到电信或网通的机房，网站管理员通过远程来管理服务器，对于比较专业的网站管理员来说,管理服务器可能是一件比较简单的事情!不过，事实可能并没有我们想象中那样轻松，在不同的服务器系统环境中，我们可能会遭遇到不少与众不同的管理难题，这些管理难题严重影响了我们管理服务器的效率。

为此，今天就把那些经常出现的一些服务器难题总结出来，并对每一管理难题提出应对办法，希望这些内容能对大家有用!1、为服务器登录提速当我们在Windows 2003服务器系统中安装了活动目录，同时设置好了特定域中的所有工作站，并且创建好了用户访问服务器的帐号后，工作站用户在尝试登录服务器时，总抱怨现在的登录速度比以前慢了许多。

那么为什么经过上述设置后，我们会感觉到服务器的登录速度比以前缓慢呢，我们又该如何才能提高工作站用户登录windows 2003服务器的速度呢?其实一旦在服务器系统中安装了活动目录时，如果活动目录中的“域名系统”没有配置正确的话，自然就会导致服务器登录时间延长。

当工作站尝试登录服务器的时候，活动目录使用的定位域控制器组件其实就是“域控制器定位器”，而域控制器定位器是按照“_ldap._tcp.DnsDomainName”这样格式去访问连接DNS服务器，以便得到工作站用户所要的服务资源;倘若在这一访问连接过程中，DNS服务器服务器无法正常稳定工作，或者是本地服务器的DC注册操作不正确的话，那么工作站在登录服务器时就无法找到DC，那样一来登录服务器的速度就会严重受到影响。

事实上，要想解决这种故障，我们只需要在局域网工作站中以及DC中分别运行Netdiag诊断程序，通过该程序我们就能很快找到具体的故障原因，例如究竟是Dns服务器工作不正常，还是DC注册操作不正确，一旦找准故障原因后，我们就不难将服务器登录缓慢的故障轻松排除掉了。

Windows2003下群集cluster详细配置过程1分为以下步骤：一：环境的准备(本次以虚拟环境进行讲解)二：windows2003 cluster建立和配置三：SQL2005 cluster安装和sp3补丁安装和相关配置四：群集故障转移的相关配置-故障自动回复五：hp服务器双网卡的绑定以及群集cluster的相关修改和配置六：dhcp和文件服务的cluster配置七：exchange群集的安装和cluster配置下面一一开始：一：环境的准备一台hpdl160G6服务器做为域控，域名为,域控ip为172.23.8.15 掩码：255.255.248.0 一台hpdl160G6服务器做为文件服务器，本次文件服务器不做讲解，主要讲解sql服务器的cluster群集两台hpdl380G6服务器做为群集主机，主要应用为sql2005，网卡用的双线绑定，以达到冗余（操作系统为windows2003 enterprise sp2版本）两台Cisco mds 9124光纤交换机，以达到冗余一台hp msa2312做为后台存储，当前客户要求为raid5，划分3个卷，800G供fileserver；700G供mes app应用程序；300G供rpt app应用程序；存储用双控，以达到冗余群集账户为cluadmin；sql cluster账户：sqladmin；2个sql cluster组：rptgroup和mesgroup(可以是本地域组或全局组，但必须是安全组)两台db服务器用一条交叉线直连，作为心跳线，相关ip见图所示1.AD活动目录的安装AD服务器的ip设置：开始-运行-dcpromo到这里AD安装完成了，提示重启，按确定添加账户和组共2个账户和2个全局组将MES-DB和RPT-DB加入域 例：2.iSCSI软件的安装和配置本次讲解以虚拟环境为例，实际环境后台的存储为hp的msa2312(若后台存储已配置好，则以下关于模拟后台存储的配置部分可以跳过)，这里以微软的一个iSCSI软件虚拟几个硬盘，作为演示，iSCSI软件的下载地址为：客户端：/downloads/details.aspx?FamilyID=12cb3c1a-15d6-4585-b38 5-befd1319f825&DisplayLang=en#RelatedDownloads服务器：/StorageServer.iso或用StarWind.iSCSI.Target.v4.0/Soft/16437.htmla．服务端安装和配置服务器上安装target：(这里和ad安装在一台server上)双击安装创建虚拟盘Advance-add-添加这里要添加允许iSCSI连接的客户端的ip分别为MES-DB和RPT-DB的ip创建iSCSI虚拟盘以同样的方式添加虚拟盘，如图，共添加了4个盘，仲裁盘QDISK;msdtc服务的DTC盘；和2个供安装sql2005服务的虚拟盘MES和RPTb．客户端安装和配置Discovery 菜单-Add-输入服务器端ip ，点okTargets菜单-点log onOk后确定在MES-DB服务器上打开磁盘管理，初始化磁盘(不可转换为动态磁盘)在磁盘1上创建分区，为仲裁盘Q磁盘2-4先不建分区，等cluster完成后再建可以看见磁盘已经有了，只需更改一下驱动器号即可到此准备工作已经完成了。

windows server 2003下建立额外域控制器和DNS冗余大家看，这是我们的主域控制器。

试着设想一下，如果我们的主域控制器坏掉的话那么我们公司的所有员工都没办法登陆到域并且无法使用内部DNS。

为了避免这种情况，我们要怎么做呢？微软很人性化，给我们推出了额外域这个东东，而且能够实现DNS冗余，如果不懂“冗余”是什么东西的话请到百度百科查询。

首先我们要建立额外域。

大家看，这台计算机是属于“WORKGROUP”工作组，下面我们就要将他变成“”的额外域控制器。

首先，跟安装域一样在运行下输入“dcpromo”。

下一步。

接着下一步。

注意看这里，这里很重要，我们选择“现有域的额外域控制器”，这个不做解释，我相信所有的人都明白这是什么意思。

这里输入管理员帐户和密码以及域的名称，因为我的管理员密码为空，所以不输入管理员密码。

这里是选择您的计算机将要成为哪个域的额外域控制器，输入域的名字（如：）或者点击浏览选择域控制器也可以。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

这里不作解释，想知道这里是什么东西请看本人的“windows server 2003下安装与的文章”。

下面电脑将自动将自己变成“”的额外域控制器。

安装完之后点击完成然后冲洗启动计算机你会看到以上的信息，这就表明我们已经成功的将这台计算机变成“”的额外域控制器了。

这样的话，如果主域控制器坏掉的话，员工也能照常登陆到域，而不会影响公司的正常运行。

你可以尝试一下多架设几个额外域控制器。

光这样还是不行的，开头我们说过，还得让DNS不受影响，员工照样能使用内部的DNS，下面我们再做一下DNS冗余其实很简单，在做完额外域之后，我们在这台计算机上架设DNS，纤细步骤如下。

实验3： Windows下服务器多网卡冗余一、实验目的1．熟悉Windows下多网卡冗余的基本形式，掌握Windows下多网卡绑定的基本步骤。

2. 注意：由于本实验是在虚拟机环境中，所以选用NIC Express软件（根据客户端的不同，自行在网上下载该软件），如果是真实机，应根据所配置网卡的类型，选择相关的绑定驱动。

二、实验内容及步骤拓扑图1. 安装VMware软件。

2．在VMware中新建1台Windows Server 2003并命名，命名例如S1。

3．为Windows Server 2003再添加一块虚拟网卡，选择桥接模式。

4．启动Windows Server 2003，查看网上邻居属性，为两块网卡分别命名进行区分，如net1、net2，分别配置IP地址，网络地址为10.0.0.0。

5、在Windows Server 2003中安装NIC Express软件，进行网卡绑定配置。

6、网上邻居-属性，为新出现的NIC网卡组配置IP地址和子网掩码，如10.0.0.168。

7、在管理工具中打开NIC Express Enterprise Edition，查看Device Stats。

8、在另外一台计算机上命令行中输入：Ping 10.0.0.168 –t 。

查看能否Ping通，并保持Ping的状态不要关闭（注意要事先将这台计算机的IP 地址设置成10的地址，如10.0.0.68，这样才能保证Ping通）9、关闭Windows Server 2003,删除一块网卡，并重新启动。

10、在Windows Server 2003启动时，查看另一台计算机上的Ping界面。

11、根据实验结果对实验各内容进行总结。

三、实验要求1．实验中仔细观察、记录、比较实验结果，如果不一致应找出原因。

2．实验中凡是需要命名的地方，均以自己名字的全拼来命名，可以用不同后缀来区分。

如张三的两台服务器可以命名为：zhangsanS1，zhangsanS2。

windows文件服务器冗余备份方案目的：1、实现两台文件服务器实时同步，两台文件服务器上的文件能够实时同步；2、服务器故障自动切换，当其中一台服务器出现故障时能够自动切换；3、客户端故障回复，首选服务器因为故障进行维护，当维护好以后重新接入网络客户端能够自动的从备选服务切换回首选服务器。

下面是部署的架构图从图上环境可以看到ZSFS09为首选文件服务器，ZSFS10为备选文件服务器。

当两台服务器都正常的情况下客户端默认访问ZSFS09服务器，只有当ZSFS09出现故障后自动切换到ZSFS10服务器，本例实现的是文件服务器冗余不做负载均衡。

前提条件1、域架构：Windows Server 2003 R2 （如果2003或2000必须扩展Sechma，运行adprep.exe /forestprep来更新架构，Adprep.exe命令行工具R2安装CD上的Cmpnents\R2\Adprep文件夹中提供。

)2、文件服务器的OS：windows server 2003 R2或windows 2003 R2以上的版本，并且都开启硬盘分区默认共享，至少C盘要开启3、AD架构必须已经实现冗余，具体体实现冗余的方法请参考这篇文章《AD/DNS/DHCP/WINS冗余部署实例——写给刚接触AD不久的会员们》/domain/776353.html4、XP SP2必须打KB898900补订，SP3及更高版本不需要打补订。

KB898900下载地址：/downloads/details.aspx?displaylang=zh-cn&FamilyID=7d3f51e3-2d33-48c4-8b5f-fe2345b 0a35e下面是具体的配置步骤：一、ZSFS09的配置二、ZSFS10的配置三、文件服务器冗余的配置四、DC组策略的配置五、测试服务器的冗余配置六、附R2 DFS的相关文档七、FAQ一、ZSFS09的配置1、打开”控制面板““添加删除程序”添加“Microsoft .NET Framework2.0”和"分布式文件系2、指定windows 2003 R2的安装文件完成安装，安装完成后记得升级打补订，并安装杀毒软3、在D盘建立一个"ZSKD"文件夹用于存放用户文件4、设置该文件夹为隐含共享，并设置共享权限5、把默认的Everyone删除，添加Domain Users，充许“读取”和“更改6、为了便于测试在到ZSKD目录里建个“技术部”的文件夹7、设置“技术部”文件夹的NTFS权限8、把下面红框的钩去掉9、选择复制；10、选择添加；11、把技术部的安全组添加进去；12、把其它安全组删除；13、最后权限如下所示；14、再用同样的方法建立一个”人事部“的文件夹，并设置相应权ZSFS09配置完成二、ZSFS10的配置1、打开”控制面板““添加删除程序”添加“Microsoft .NET Framework2.0”和"分布式文件系统2、指定windows 2003 R2的安装文件完成安装，安装完成后记得升级打补订，并安装杀毒软3、在D盘建立一个"ZSKD"文件夹用于存放用户文件4、设置该文件夹为隐含共享，并设置共享权限5、把默认的Everyone删除，添加Domain Users，充许“读取”和“更改ZSFS10配置完成三、文件服务器冗余的配置（以后的步骤用权限比较大的域用户（如域管理员administrator）在文件服务器上登录域来操作，要不然在域命名空间类型选择时选择不了“基于域的命名空间”）1、用域管理员登录到ZSFS09服务器，打开“控制面板”“管理工具””DFS管理“点击”新建命名空间“；2、输入ZSFS09文件服务器名，点击“下一步”；3、选择“是”4、输入命名空间的名字“ShareFiles"，选择“下一步”;5、选择“基于域的命名空间”“下一步”（为什么我的“基于域的命名空间”是灰色不可选的？因为你没有登录域，这时候你可用用一个权限比较大的用户在文件服务器上登录域，如域管理员administrator）；6、选择“创建”；7、选择“关闭”，此时可以看到zsfs9里自动建立了文件夹C:\DFSRoots\SahreFiles，并已经把ShareFiles设置共享名为ShareFiles；8、在左边框选择刚创建的命名空间，按鼠标右键选择“添加命名空间服务器”；9、输入“ZSFS10”服务器，选择“确定”；此处直接确定会报错可以点击错误按钮查看具体是什么错误为什么会报这引错误呢，因为在zsfs10服务器上没有一个共享名为ShareFiles的共享文件，这时候可以在zsfs10服务器的C盘上建立DFSRoots文件夹，在DFSRoots文件夹里建立ShareFiles文件夹，此时是与zsfs9的相同。

1.域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。

2.简单卷：简单卷是物理磁盘的一部分，但它工作时就好像是物理上的一个独立单元。

简单卷是相当于Windows NT 4.0 及更早版本中的主分区的动态存储。

3.STMP：SMTP协议SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。

4.WINS：WINS是Windows Internet Naming Server，即Windows Internet命名服务。

它提供一个分布式数据库，能在路由网络的环境中动态地对IP地址和NETBios名的映射进行注册与查询。

1. 成员服务器：在部署服务器的时候，第一台服务器包括基本所有的功能，当一台服务器不能满足所有的要求的时候可以添加其它的只提供部分服务(如应用程序或者数据服务)的服务器即称之为成员服务器。

2. 索引服务：索引服务是一项系统服务（Indexing Service），使用文档筛选器读取整个文档，并提取文档和属性传递给索引程序，这个过程称为“索引”。

3. RAID5：RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。

RAID 5可以理解为是RAID 0和RAID 1的折中方案。

4. 网络地址转换：网络地址转换(NA T,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。

1．UNC：UNC (Universal Naming Convention) / 通用命名规则，也叫通用命名规范、通用命名约定。

网络（主要指局域网）上资源的完整Windows 2000 名称。

windows文件服务器冗余备份方案目的：1、实现两台文件服务器实时同步，两台文件服务器上的文件能够实时同步；2、服务器故障自动切换，当其中一台服务器出现故障时能够自动切换；3、客户端故障回复，首选服务器因为故障进行维护，当维护好以后重新接入网络客户端能够自动的从备选服务切换回首选服务器。

下面是部署的架构图从图上环境可以看到ZSFS09为首选文件服务器，ZSFS10为备选文件服务器。

当两台服务器都正常的情况下客户端默认访问ZSFS09服务器，只有当ZSFS09出现故障后自动切换到ZSFS10服务器，本例实现的是文件服务器冗余不做负载均衡。

前提条件1、域架构：Windows Server 2003 R2 （如果2003或2000必须扩展Sechma，运行adprep.exe /forestprep来更新架构，Adprep.exe命令行工具R2安装CD上的Cmpnents\R2\Adprep文件夹中提供。

)2、文件服务器的OS：windows server 2003 R2或windows 2003 R2以上的版本，并且都开启硬盘分区默认共享，至少C盘要开启3、AD架构必须已经实现冗余，具体体实现冗余的方法请参考这篇文章《AD/DNS/DHCP/WINS冗余部署实例——写给刚接触AD不久的会员们》/domain/776353.html4、XP SP2必须打KB898900补订，SP3及更高版本不需要打补订。

KB898900下载地址：/downloads/details.aspx?displaylang=zh-cn&FamilyID=7d3f51e3-2d33-48c4-8b5f -fe2345b0a35e下面是具体的配置步骤：一、ZSFS09的配置二、ZSFS10的配置三、文件服务器冗余的配置四、DC组策略的配置五、测试服务器的冗余配置六、附R2 DFS的相关文档七、FAQ一、ZSFS09的配置1、打开”控制面板““添加删除程序”添加“Microsoft .NET Framework2.0”和"分布式文件系2、指定windows 2003 R2的安装文件完成安装，安装完成后记得升级打补订，并安装杀毒软3、在D盘建立一个"ZSKD"文件夹用于存放用户文件4、设置该文件夹为隐含共享，并设置共享权限5、把默认的Everyone删除，添加Domain Users，充许“读取”和“更改6、为了便于测试在到ZSKD目录里建个“技术部”的文件夹7、设置“技术部”文件夹的NTFS权限8、把下面红框的钩去掉9、选择复制；10、选择添加；11、把技术部的安全组添加进去；12、把其它安全组删除；13、最后权限如下所示；14、再用同样的方法建立一个”人事部“的文件夹，并设置相应权ZSFS09配置完成二、ZSFS10的配置1、打开”控制面板““添加删除程序”添加“Microsoft .NET Framework2.0”和"分布式文件系统2、指定windows 2003 R2的安装文件完成安装，安装完成后记得升级打补订，并安装杀毒软3、在D盘建立一个"ZSKD"文件夹用于存放用户文件4、设置该文件夹为隐含共享，并设置共享权限5、把默认的Everyone删除，添加Domain Users，充许“读取”和“更改ZSFS10配置完成三、文件服务器冗余的配置（以后的步骤用权限比较大的域用户（如域管理员administrator）在文件服务器上登录域来操作，要不然在域命名空间类型选择时选择不了“基于域的命名空间”）1、用域管理员登录到ZSFS09服务器，打开“控制面板”“管理工具””DFS管理“点击”新建命名空间“；2、输入ZSFS09文件服务器名，点击“下一步”；3、选择“是”4、输入命名空间的名字“ShareFiles"，选择“下一步”;5、选择“基于域的命名空间”“下一步”（为什么我的“基于域的命名空间”是灰色不可选的？因为你没有登录域，这时候你可用用一个权限比较大的用户在文件服务器上登录域，如域管理员administrator）；6、选择“创建”；7、选择“关闭”，此时可以看到zsfs9里自动建立了文件夹C:\DFSRoots\SahreFiles，并已经把ShareFiles设置共享名为ShareFiles；8、在左边框选择刚创建的命名空间，按鼠标右键选择“添加命名空间服务器”；9、输入“ZSFS10”服务器，选择“确定”；此处直接确定会报错可以点击错误按钮查看具体是什么错误为什么会报这引错误呢，因为在zsfs10服务器上没有一个共享名为ShareFiles的共享文件，这时候可以在zsfs10服务器的C盘上建立DFSRoots文件夹，在DFSRoots文件夹里建立ShareFiles文件夹，此时是与zsfs9的相同。

Server2003主域控制器损坏后，备份域控制器抢夺五种角色一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master二、环境分析有一台主域控制器，还有一台额外域控制器。

(操作系统都是server 2003)现主域控制器（DC- ）由于硬件故障突然损坏，事先又没有 的系统状态备份，没办法通过备份修复主域控制器（DC- ），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to server DC-02select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

Windows_server_2003_AD_DC域配置-域控制器的卸载与清理我们现在已经有一些Active Directory的部署及管理经验了，今天我们要考虑一个问题，如果一个域控制器我们不需要了，那应该如何处理呢？直接把它砸了是不对的，这未免太暴力了，和当前的和谐环境有些格格不入哦。

关键是，如果我们让这台域控制器直接消失，那么其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制，客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。

如果这个被暴力卸载的域控制器还承担着一些操作主机角色，我们就更麻烦了。

因此，我们进行域控制器卸载时，一定要把工作做到位，优先使用常规卸载，争取不留后患。

有些朋友可能会说，我也希望用常规卸载，但有时就是不能正常卸载，没办法，只好…..我们要分析一下，为什么域控制器无法正常卸载呢？当域控制器进行常规卸载时，AD的内容发生了变化，域控制器会把这个变化通知自己的复制伙伴，再由自己的复制伙伴通知其他域控制器。

如果所有的域控制器都通知到了，那就肯定可以正常卸载，而且DNS记录，操作主机角色，AD复制拓扑等问题都可以迎刃而解。

因此，域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面，域控制器卸载时也要进行AD复制。

想知道一个域控制器是否可以正常卸载，我们只要在Active Directory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了，只要能进行AD 复制，基本卸载域控制器时就没有问题。

我们举一个域控制器正常卸载的例子，拓扑如下图所示，我们准备卸载shanghai站点内的域控制器perth。

从拓扑可以看出，perth的复制伙伴应该是Firenze，只要perth和Firenze之间可以进行AD 复制，perth应该就可以进行域控制器卸载。

在perth上运行Dcpromo，如下图所示，出现Active Directory安装向导，向导判断我们准备把Active Directory删除，点击“下一步”继续。

windows域导⼊，导出⽤户及双域控服务器冗余
1、
AD域导⼊导出⽤户
for命令导出⽤户信息，dsadd⽤法：
域中OU指的是组织单位(Organizational Unit)，组织单元是可以将⽤户、组、计算机和其它组织单位放⼊其中的AD(Active Directory，活动⽬录)容器，是可以指派组策略设置或委派管理权限的最⼩作⽤域或单元。

性质是最⼩作⽤域或单元。

DC =Domain Controller (域控制器)
可以先导出总表，然后根据参数进⾏分别导出，⽰例如下
2、导⼊⽤户
导⼊的⽂件内容：
导⼊命令：
⼆、AD域控服务器双冗余。

域控服务器同步需要两台机器的操作系统版本相同
添加域控制器
三、AD域简介。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

域控制器的冗余设置Active Directory域控制器正如我们在网络与系统配置专题文章中所提到的那样，我们已将两部服务器设置为对应于内部域“/doc/7c6149868.html,”的Active Directory域控制器。

我们借助专用计算机设置了第一个域控制器，并为实现系统冗余而在管理服务器上设置了第二个域控制器。

由于域控制器必须具备既可从Web服务器和命令处理服务器（针对消息队列）、又可从两个已实现群集化的数据库服务器接受访问调用的能力，因此，就必须与后端网络、管理网络或以上两者同时建立连接。

在接下来的章节中，我们将针对设置Active Directory域控制器的分步操作程序以及设置对应于特定域的Active Directory客户端的操作程序加以详细说明。

安装第一个域控制器请依次执行下列步骤，以便创建一个新的域，并在某一服务器上安装Active Directory服务，然后，将该服务器设定为对应于新建域的第一个域控制器：在开始菜单上单击运行，并在随后出现的对话框内输入dcpromo，然后，单击确定。

上述操作将启动Active Directory安装向导。

在通过欢迎屏幕后，向导程序将要求您为即将安装Active Directory的服务器指定域控制器类型。

请保持相关选项的缺省状态，以便将该服务器设置为对应于新建域的域控制器。

接下来，向导程序将要求您生成一个新的域树，或在现有域树中生成新建一个子域。

在这个例子中，应针对内部域新建一个域树。

然后，向导程序将要求您新建一个森林，或加入一个现有森林。

因为您正在创建第一个域，而且目前尚不存在现成的森林，所以，请保持有关系选项的缺省设置状态，以便创建一个同域树相对应的新森林。

如前所述，Windows2000所配备的Active Directory服务目前主要将完全合格域名（FQDN）作为首选命名规范加以应用。

当向导程序要求您为新建域设定名称时，就请键入同内部域相对应的FQDN （在本例中，应输入“/doc/7c6149868.html,”）。

一．目的：Windows 2003下配置MSA2000链路冗余设备：BL460c C3000 ，Brocade 4GB SAN switch,MSA2000,Emulex光纤卡步骤：1,将BL460c安装windows 2003的操作系统,必须要求SP2,在设备管理器中如下显示:2,我们用bl460c+C3000上使用的brocade SAN交换机+MSA2000,将交换机引出两条光纤线,接到了MSA2000控制器A的Port 0和Port 1口,在MSA2000上创建一个VD,owner是控制器A,在这个VD上只创建一个Volume,指派给BL460c上emulex两口卡(这个卡在MSA2000上会识别为两个卡),这样在不安装HPDPmultipath之前我们可以看到四块硬盘,如下:3,安装HP网站上的MSA2000 Family MPIO DSM 2.2的软件:4,安装完成后需要重新启动:5,重启后,我们可以看到只有一个MSA2000的设备了:6,设备管理器里显示如下:实验证明,断调任意链路不会影响对MSA2000硬盘的操作.二．目的：了解HPDMmultipath在RHEL5.1下的安装，配置，使用。

设备：DL580G5+2块FCA1142SR（QLA）光纤卡+2/8外置switch+MSA2000f步骤：1．连接方式：一台DL580G5+2块FC1142SR光纤卡+2/8q SAN switch+MSA2000fc，通过以上连接模拟双链路连接。

2．在MSA2000fc上配置1个Vdisk，然后配置4个Volumes（100M, 200M, 300M, 400M）。

分别map给DL580G5上的两块光纤卡。

这样在linux系统下使用：“fdisk –l”命令可以查看到，认知到16个磁盘：sda---sdp。

3．安装qlogic光纤卡最新驱动：hp_qla2x00src-8.02.11-1.linux.noarch.rpm下载链接：/bizsupport/TechSupport/SoftwareDescription.jsp?lang=en&cc=us&prodTypeId=12169&prod SeriesId=1809835&swItem=co-61243-1&prodNameId=1809832&swEnvOID=4006&swLang=8&taskId=135&mode=4&i dx=04．光纤卡驱动安装完成后，重新启动服务器。