需要注意的域控制器五种错误操作

主域控制器又简称为PDC，主域控制器故障通常会出现两种情况，但是都需要额外域控制器的帮助，下面是两种故障的解决方案。主域控制器故障，有两种状况：主域控制器故障仍可用和主域控制器故障彻底玩完，看看两种故障的处理方式咯1、主域控制器故障但仍可用 主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理工具，将服务器B升级为新主域控制器，A将自动降级成额外域控制器，然后再原主域控制器服务器A上运行dcpromo命令将其本身从AD中删除----转移操作主机角色--连接额外域控制器A、在主域控制器 [管理工具]--[AD用户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择一个可用的域控制器]列表中选择当前域的额外控制器[],点击确定。--转移RID主机角色A、用鼠标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机角色到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机角色到下面列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机角色？”点击是。--转移PDC主机角色A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机角色到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机角色到下面列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机角色A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机角色到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机角色到下面列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机角色A、在[管理工具]中运行[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。C、右键单击[AD域和信任关系]，选择[操作主机]，在弹出的[更改操作主机]对话框，选择[更改]单击是确认转移。--转移架构主机角色A、打开[AD架构管理]，右键单击“AD架构”然后点击“更改域控制器”B、在[改变域控制器]属性对话框，在弹出的对话框中选中

AD域控基础知识

1. 什么是AD域控？

AD（Active Directory）域控制器是微软公司提供的一种用于管理和组织网络资源的服务。它是基于目录服务技术的一种实现，用于存储和管理网络中的用户、计算机、组织单位等信息，并提供认证、授权和资源访问控制等功能。

2. AD域控的作用

AD域控在企业网络中起到了至关重要的作用，它具有以下几个主要作用：

用户认证和授权

AD域控负责用户的身份认证和访问权限管理。用户登录时，域控会验证其身份，

并根据其所属组织单位、组等信息确定其拥有的权限。

资源管理和共享

AD域控可以集中管理企业网络中的各种资源，如文件共享、打印机、数据库等。

通过域控，管理员可以方便地管理这些资源，并按照需要进行共享。

集中化账户管理

通过AD域控，管理员可以集中管理企业网络中所有用户账户。这样做可以提高管

理效率，减少重复工作，并且可以统一设置密码策略和账户锁定策略，增强安全性。

组织结构管理

AD域控支持组织单位的创建和管理，可以根据企业的组织结构进行灵活的组织管理。管理员可以创建不同的组织单位，并按照需要进行权限划分和资源分配。

3. AD域控的基本概念

域（Domain）

域是AD中最基本的逻辑单元，它是一组网络对象（如用户、计算机、组等）的集合。域有一个唯一的名称，用来标识该域在整个AD架构中的位置。

域控制器（Domain Controller）

域控制器是运行AD服务并存储AD数据库的服务器。一个域可以有多个域控制器，它们之间通过复制来保持数据一致性。

林（Forest）

林是一个或多个相互信任关系建立起来的域集合。一个林中可以包含一个或多个域，这些域共享相同的安全策略和目录架构。

Windows Server 2003 管理步步高

Windows Server 2003 是从工作组到数据中心的支持互连应用程序、网络和 Web 服务的最具生产力的基础结构平台。本专题从Windows Server 2003的安装与部署开始，到优化与安全，希望能对你在使用Windows Server 2003的过程中提供一定的帮助......

一、入门之路

4、活动目录之备份与恢复

一、活动目录之域重命名

二、活动目录之迁移

三、活动目录管理之五种常见错误操作

四、活动目录之备份与恢复

五、FSMO五种角色的作用、查找及规划

六、把一台成员服务器提升为域控制器(一)

七、把一台成员服务器提升为域控制器(二)

八、活动目录之用户配置文件

一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题。

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:

1、整个网络中有且仅有一台域控制器;

域控制器管理方案

域控制器（Domain Controller，简称DC）是Windows Server操作系统中提供了集中控制和管理的功能，用于管理域中的用户、计算机和其他网络资源。域控制器管理方案是指如何有效地管理和维护域控制器的策略和技术。下面将提出一个域控制器管理方案，并进行详细阐述。

一、域控制器规划

在设计域控制器管理方案时，首先需要进行域控制器的规划。域控制器管理方案应该考虑以下几个方面：

1.域的架构：确定域的深度和广度，包括域的数量、域之间的信任关系、域控制器的位置等。

2. 域控制器的角色：确定域控制器的角色，包括主要域控制器（Primary Domain Controller）和附属域控制器（Additional Domain Controller）。

3.域控制器的容量规划：根据域中的用户数量、计算机数量和其他网络资源的数量，确定域控制器的硬件配置和容量要求。

4.域控制器的高可用性：确保域控制器的高可用性，采取备份和灾难恢复方案，以保证域控制器的连续运行。

二、域控制器的安装和部署

在域控制器管理方案中，安装和部署域控制器是一个重要的环节。以下是域控制器的安装和部署的步骤：

1.配置服务器硬件和操作系统：根据域控制器的容量规划，配置服务器的硬件和安装操作系统，确保满足域控制器的性能要求。

2. 安装和配置Active Directory：使用Windows Server操作系统

提供的Active Directory安装向导，安装和配置Active Directory，创

建新的域或加入现有的域。

1.4 习题

一、填空题

（1）Windows Server 2008 R2版本共有6个，每个Windows Server 2008 R2都提供了关键功能，这6个版本是：、、、、、。

（2）Windows Server 2008所支持的文件系统包括、、。Windows Server 2008系统只能安装在文件系统分区。

（3）Windows Server 2008有多种安装方式，分别适用于不同的环境，选择合适的安装方式可以提高工作效率。除了常规的使用DVD启动安装方式以外，还有、及。

（4）安装Windows Server 2008 R2时，内存至少不低于，硬盘的可用空间不低于。并且只支持位版本。

（5）Windows Server 2008要管理员口令要求必须符合以下条件：①至少6个字符；②不包含用户账户名称超过两个以上连续字符；③包含、大写字母（A～Z）、小写字母（a～z）4组字符中的3组。

（6）Windows Server 2008中的，相当于Windows Server 2003中的Windows 组件。

（7）Windows Server 2008安装完成后，为了保证能够长期正常使用，必须和其他版本的Windows操作系统一样进行激活，否则只能够试用。

（8）页面文件所使用的文件名是根目录下的，不要轻易删除该文件，否则可能会导致系统的崩溃。

（9）对于虚拟内存的大小，建议为实际内存的。

（10）MMC有和模式。

二、选择题

（1）在Windows Server 2008系统中，如果要输入DOS命令，则在“运行”对话框中输入（）。

A

1、客户机无法加入到域？

一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员(默认为administrator)身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说"在域中，默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。〃吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。再有就是当你加第口台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomaino注意：

域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问〃提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或

手动删除，而普通域帐户无权覆盖而产生的。解决办法：

1＞手动在ADxx删除该计算机帐户；

2、改用管理员帐户

将计算机加入到域；

3、在最初预建帐户时就指明可加入域的用户。

四、域XXX不是AD域，或用于域的AD域控制器无法联系上。

在域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份

域控制器别忽视DNS设置 域控制器是公司网络管理的核心，它出现故障往往会导致全网用户计算机的登录失败。不过，大家在建立域控制器时往往忽视了对DNS的设置，致使域中的DNS频频引发故障。你是否知道DNS的重要性呢?如果DNS设置出问题会带来什么样的后果呢?笔者负责公司服务器的维护工作，最近在实际工作中就遇到了一起突发的与DNS相关的服务器故障。 故障现象 公司规模不是很大，大概有50多台计算机，购买了两台IBM服务器。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了Windows 2000 Server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。 由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而最近却出现了主域控制器DC那台服务器无法登录系统桌面的故障，每次启动该域控制器都停留在登录界面(即要求输入管理员账号和密码操作之前的界面)，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展。重新启动该服务器按F8键可以正常进入安全模式，然而只要一进入正常模式就会出现上述问题。 故障排查 由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现了问题，例如主域控制器无法通过DNS解析自己。笔者尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，也不会尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。 不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢?笔者再次将排除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。 笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插紧后，启动主域控制器上的网卡就可正常进入系统了，故障得到排除。 进阶思考 本次故障看起来似乎是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，因为我们忽视了对DNS的配置。在建立域时，最好按照以下规则来配置DNS。

域控制知识点

一、什么是域控制？

域控制（Domain Controller）是指在Windows操作系统中，用于管理和控制网络上所有计算机和用户访问权限的服务器。它是构建在Windows Server操作系统之上的一种服务，可以实现集中管理和控制网络上所有的用户账户、计算机账户、组策略以及其他网络资源。域控制通过域的概念来组织和管理网络资源，将网络中的计算机和用户组织成为一个逻辑上的集合，便于统一管理和控制。

二、域控制的重要性

域控制在企业网络中扮演着重要的角色，它具有以下几个方面的重要性：

1. 集中管理和控制

域控制允许管理员集中管理和控制整个企业网络中的用户账户、计算机账户、组策略等资源。管理员可以通过域控制器对用户和计算机进行统一的身份验证和访问控制，以确保网络安全和合规性。

2. 协同工作和资源共享

域控制器可以提供共享资源的管理和访问控制，使得企业内部的用户可以方便地共享文件、打印机等资源，方便协同工作和提高工作效率。

3. 用户身份验证和访问控制

域控制器可以实现对用户身份的统一认证和访问控制。用户只需要在域中的一台计算机上登录，就可以访问整个域中授权的资源，避免了在每台计算机上都要单独登录的麻烦。

4. 组织和架构管理

通过域控制，网络管理员可以按照企业的组织结构或者其他需求进行资源的组织和架构管理。可以将用户和计算机组织成为不同的OU（组织单位），并对每个OU应用不同的策略和权限。

三、域控制的核心概念

1. 域（Domain）

域是指在Windows操作系统中，由一组计算机和用户组成的逻辑组合。域的概念将网络中的计算机和用户组织起来，并定义了它们之间的关系和隶属关系。

windows 2012 域控基本知识

Windows Server 2012是微软推出的一款服务器操作系统，它具备许多功能和特点，而其中一个重要的功能就是域控制器（Domain Controller）。

一、什么是域控制器

域控制器是Windows Server中的一个角色，用于集中管理和控制域中的用户、计算机和资源。它允许管理员在整个网络中设置和管理全局策略，同时提供用户认证和授权的功能。域控制器通常作为中心节点，在企业网络中起到关键的作用。

二、域的概念和作用

1. 域的定义：在Windows Server中，域是由一组计算机和资源组成的逻辑网络，这些计算机和资源由一个公共的身份认证和安全机制管理。域允许用户通过单一登录认证访问所有的网络资源。

2. 域的作用：域的建立使得网络管理更加简便和安全。通过域控制器，管理员可以集中管理用户和计算机账户，实现统一的身份认证和授权机制。域还提供了分层授权和管理权限的能力，可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。

三、Windows Server 2012中的域控制器安装和配置

1. 安装域控制器：要安装域控制器，首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。然后，通过“服务器管理器”或命令行工具执行“添加角色和功能”向导，选择“域控制器”角色，并按照提示完成安装过程。

2. 配置域控制器：安装完成后，需要进行一些配置来使域控制器正常工作。首先，需要指定域的名称和安全设置。然后，设置域控制器的网络连接、IP地址和DNS等网络设置。还可以配置域的全局策略、用户和计算机对象的属性，以及安全和审计设置。

主域控制器和额外域控制器问题讨论

字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客

当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。不知有没有人会？我也来说两句查看全部回复

最新回复

∙tomdoctor (2005-1-08 14:41:09)

运行ntdsutil 把操作角色seize过来

∙qjping (2005-1-11 21:41:08)

请问楼上有没有操作过?

∙tutuit (2005-1-17 08:36:32)

往上搜索一下，有关seize的资料一大堆

∙tutuit (2005-1-17 08:36:45)

网上搜索一下，有关seize的资料一大堆

∙xwbest (2005-1-17 13:37:41)

把所有的角色夺过来就可以了

我试过的

而且没任何问提?不过我有一个角色找了半天才拿过来的

∙housten (2005-1-28 14:15:57)

QUOTE:

最初由xwbest 发布

[B]把所有的角色夺过来就可以了

我试过的

而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]

你成功过！太好了，能讲讲具体步骤吗！

因为我试验过几次，都不成功。关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)

为什么要重新建立DNS

我做的时候额外域控制器上的DNS与主域一样

是起额外域控制器时自动建立没必要重建

如果重建会有问题的

项目一

一．练习

1．填空题

（1）Windows Server 2003是服务器操作系统，为确保安全和稳定往往采用_NTFS______文件系统。

（2）Windows Server 2003有多个版本，在大型企业中会采用__企业_____版本。

（3）在Windows Server 2003四个版本中，不支持服务器集群的版本有__web__和_标准____。（4）Windows Server 2003有两种不同的授权模式，分别是_每服务器。同时连接数______和_____每设备或每用户__。

（5）Windows Server 2003操作系统支持两类文件系统：__FAT_____和__NTFS______。2．简答题

（1）Windows Server 2003的版本有哪些？它们都有哪些特点？

Windows Server 2003 标准版企业版数据中心版Web版

标准版：功能：文件和打印机共享、安全Internet连接和集中式的桌面应用程序部署等功能，具有较高的可靠性、可伸缩性和安全性。

企业版：具有标准版的全部功能，还支持8路的对称处理器。

数据中心版：是为需要最高级别的可伸缩性、可用性、可靠性的企业设计的。最主要特点：在处理大规模数据上做了最优化处理。

Web版是为专用的web服务和宿主设计的主要是为Internet提供商，应用程序开发人员以及其他使用或部署特定web功能的用户提供一个但用途的解决方案

（2）Windows Server 2003有哪些特点？它优于Windows 2000 Server的地方有哪些？

客户机不能加入域的终极解决方法 解决办法一：客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种：1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS，第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录，重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二：不能联系域1．您无法用NetBois域名加入域。2．组策略无法正常应用。3．无法打开网上领居和访问共享文件。这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。另外，请打开Wins服务器，看记录正确注册。建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。要解决此问题，请启动 TCP/IP NetBIOS 支持服务。要启动 NetBIOS 支持服务，请按照下列步骤操作：1. 使用具有管理员权限的帐户登录到客户机。2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc，然后单击“确定”。3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。您看到的文章来自活动目录seo4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。5. 在“服务状态”下，单击“启动”以启动 TCP/IP NetBIOS 支持服务。6. 当该服务启动后，请单击“确定”，然后退出“服务”管理单元。建议三：请检查是否安装了客户机上安装了“Microsoft网络的文件和打印机共享”1．点击“开始菜单→控制面板→网络连接”。2．在所出现窗口中的局域网连接（如“本地连接”）上单击右键，选择“属性”。3．勾选常规标签下的“Microsoft网络的文件和打印机共享”项。解决办法三：还可以修改本机的host文件,在里面增加一行域控制器名称与其IP地址的对应关系即可.解决办法四：“不能联系域XXXX的域控制器”的一种解决 系统：Windows server 2003 Enterprise Edition此方法针对的是Ghost利用一个已经加入过相同域的系统备份还原计算机后出现的不能加入域的情况。因此IP设置、DNS设置是正确无误的。因为出现系统还原到机器后无

不能联系域控制器的解决方法

2007-06-29 15:20:12| 分类：电脑.网络| 标签：|字号大中小订阅

不能联系域domain的域控制器

其他电脑加入域时没有问题。只有这一台电脑有问题

在这台电脑PING 可以PING通。PING IP也能PING通。

防火墙是关的。

AD 和DNS中的这台电脑的IP我已删除。这台已退出域。

提示如下：

不能联系域domain的域控制器

注意: 此信息主要供网络管理员参考。如果您不是网络的管理员，请通知网络管理员您收到了此信息，记

录在文件C:\WINDOWS\debug\dcdiag.txt 中。

域名domain 可能是一个NetBIOS 域名。如果是这种情况，请确认域名用WINS 正确注册。

如果您确认此名称不是一个NetBIOS 域名，那么下面的信息将帮助您对DNS 配置进行疑难解答:

当查询DNS 以获得服务位置(SRV)资源记录时遇到下列错误，此资源记录用来为域domain 定位域控制

器:

错误是: "DNS 名称不存在。"

(错误代码0x0000232B RCODE_NAME_ERROR)

查询是为_ldap._tcp.dc._msdcs.domain 查询SRV 记录

此错误的一般原因包括:

- DNS SRV 记录没有在DNS 中注册。

- 下列区域的一个或多个不包括到它的子区域的代理:

domain

。(根目录区域)

有关怎样更正此错误，请单击“帮助”。

重装客户机操作系统问题肯定解决．

事后问朋友得到解决方法如下：（时间关系没有做测试）

重新安装TCP/IP协议

1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：