域控制器修复过程

域控制器修复过程
第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象
通过重新安装进行恢复的步骤和创建新DC的步骤相同。

要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。

理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory站点中；
清理操作如下所述。

步骤2和步骤3是在阅读本文时假设您已具备的知识。

有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。

清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：
1.在命令行中，键入ntdsutil。

2.在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。

3.现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

4.在metadata cleanup提示符下键入connections，然后按Enter键。

5.键入connect to server <服务器名>，然后按Enter键。

其中<服务器名>是从其上清除元数据的DC（同一域中的任
何工作正常的DC）。

6.键入quit，然后按Enter键。

将返回元数据清除菜单。

7.键入select operation target，然后按Enter键。

8.键入list domains，然后按Enter键。

将列出目录林中所有的域，其中每一个域都和一个编号相关联。

9.键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。

10.键入list sites，然后按Enter键。

11.键入select site <编号>，然后按Enter键，其中<编号> 是指该DC 所在站点的编号。

12.键入list servers in site，然后按Enter键。

将列出该站点中所有的服务器，其中每一个服务器都有一个对应的编号。

13.键入select server <编号>，然后按Enter键，其中<编号> 是指要删除的DC。

14.键入quit，然后按Enter键。

将显示元数据清除菜单。

15.键入remove selected server，然后按Enter键。

此时，应出现一条说明该DC已成功删除的确认信息。

如果接收到一个错误，指出没有找到该对象，则可能该对象已经从Active Directory中删除了。

16.键入quit，然后重复按Enter键，以返回到命令提示符。

注意由于此过程需要修改配置命名上下文，所以此操作需要企业管理员权限。

如果新的DC名称与故障DC的名称不同，则应该执行以下附加步骤：
从站点和服务管理单元中删除故障服务器对象：
1.打开站点和服务管理单元。

2.选择适当的站点。

3.删除与故障DC 相关联的服务器对象。

从用户和计算机管理单元中删除故障计算机的帐户：
4.打开用户和计算机管理单元。

5.选择域控制器容器。

6.删除与故障DC相关联的计算机对象。

警告如果新计算机的名称与故障计算机的名称相同，请不要执行上述附加步骤。

确保问题不是由硬件故障引起的。

如果不更换故障硬件，则通过重新安装进行还原的方法会无济于事。

第二步，从站点和服务管理单元中删除故障服务器对象时，出现无法删除DSA对象处理
症状
如果您尝试在“Active Directory 用户和计算机”中删除域控制器的计算机帐户，您可能会收到以下错误消息：
Error:DSA object cannot be deleted（错误：无法删除DSA对象）
如果在您通过在域控制器上运行dcpromo 进程以将其降级之后删除该计算机帐户，就会发生此问题。

原因
若UserAccountControl 的值设置为8192，则会发生此问题。

解决方案
要解决此问题，请把UserAccountControl 值更改为4096。

备注：只有在下列任一情况属实时才可以使用此解决办法：
您已在域控制器上运行dcpromo 工具将其降级。

计算机硬件发生故障，您使用ntdsutil 进程清除了帐户元数据，然后从“Active Directory 站点和服务”中删除了帐户，但您仍不能删除该计算机帐户。

单击开始，指向程序，指向Windows 2000 支持工具，指向工具，然后单击ADSI 编辑。

展开Domain NC，展开dc=domain,dc=com，然后展开ou=domain controllers。

右键单击此计算机域控制器的名称，然后单击属性。

在属性选项卡上，将“Select which properties to view”（选择查看哪些属性）列表框中的两个属性都选中。

在“Select a property to view”（选择一个要查看的属性）列表框中，选择UserAccountControl。

在属性值下，查看其值。

使其值为4096 以向该计算机帐户赋予成员服务器身份，以便能够删除它。

在编辑属性框中键入4096。

单击设置按钮。

单击应用，然后单击确定。

退出“ADSI 编辑”。

注：上述处理后如果还不能删除，就直接用ADSI 编辑器删除相应对象
第三步，在另一台服务器上安装全新操作系统，运行DCpromo.exe（AD 安装工具），以将此计算机提升为域控制器角色
验证另一台服务器上的DNS 名称解析
验证第一个域控制器后，请使用下列步骤来验证第二个服务器上的DNS 名称解析。

1.以“管理员”身份登录另一台服务器。

2.在另一台服务器上打开一个命令提示符。

3.键入nslookup 然后按ENTER 键。

您将看到下面的结果：
4.C:\>nslookup
5.Server:swpp-1.
6.Address: xxx.xxx.xxx.xxx
7.
:
9.Address: xxx.xxx.xxx.xxx
如果没有看到成功的名称解析（即响应中的第二个信息集），则请检查另一台服务器上的IP 设置，以确认它的首选DNS 服务器是原域控制器服务器的IP。

Nslookup 首先告诉您哪个服务器在提供Nslookup 响应，然后再提供找到的信息。

通过检查DNS MMC 正向搜索区域中的记录，验证原域控制器服务器的DNS 服务器上的DNS 记录。

直到DNS 能正常运行后，才可继续。

在另一台服务器上运行DCPROMO
完成验证DNS 名称解析后，请使用下列步骤，将服务器提升为域控制器：
1.单击“开始”、“运行”，键入dcpromo，然后按ENTER 键。

2.单击“下一步”。

3.选择“现存域的其他域控制器”，然后单击“下一步”。

4.输入 域的Enterprise Administrator 凭据，并输入 作为域名，然后单击“下一步”。

5.输入 作为“域名”，然后单击“下一步”。

6.按如果您只有一个物理磁盘，请单击“下一步”以接受数据库和日志文件的默认位置。

否则，请指定想要的文件位置。

7.单击“下一步”以接受默认的SYSVOL 文件夹位置。

8.输入此服务器的“目录服务还原模式管理员密码”，然后单击“下一步”。

9.查看设置，然后单击“下一步”以开始Active Directory 安装向导(Dcpromo.exe) 配置过程。

10.单击“完成”。

11.出现提示后单击“立即重新启动”。

验证另一台服务器名称注册
若要验证另一台服务器，请按下列步骤操作：
1.重新启动后，请以“管理员”身份登录。

2.单击“开始”、“程序”、“管理工具”、“DNS”。

展开域，并验证新域控制器的记录在“正
向搜索区域”中注册的_msdcs、_sites、_tcp、_udp子域中可见。

如果它们在DNS控制台中不可见，重新启动
NETLOGON 将启动记录注册。

3.验证“反向搜索区域”已经复制。

将域操作主机角色移到另一台服务器
原域控制器服务器是全局编录服务器，建议不要让此服务器上同时具有RID 主机、PDC 模拟器或基础结构主机操作主机角色。

因此，此过程提供将这些角色移到另一台服务器所需的必要步骤。

若要将操作主机角色移到另一台服务器，请按下列步骤操作：
1.启动“Active Directory 用户和计算机”。

2.用鼠标右键单击“Active Directory 用户和计算机”树的顶层。

3.选择“连接到域控制器”。

4.从列表上选择“另一台服务器”，然后单击“确定”。

5.用鼠标右键单击域，然后选择“操作主机”。

默认情况下会显示RID主机角色，请选择“更改”。

6.单击“是”以确认转移。

7.单击“确定”。

重复上述步骤，完成PDC 模拟器和基础结构主机操作主机转移。

第四步，在升级域控制器过程中提示“未能修改机器帐户XXXX$ 的必需属性,访问被拒绝。

”处理
解决方案
要解决该问题，可以使用Administrators 组中的帐户，或者将合适的帐户添加到Administrators 组中。

要将该权利授予其它用户或组：
在组策略对象中设置委派权限
1.在Active Directory 用户和计算机管理单元中，编辑域控制器组织单元上的默认域控制器策略。

2.双击计算机配置、Windows 设置、安全设置、本地策略，然后是用户权利指派。

3.在使用计算机和用户帐户能够被信任进行委派操作下，添加合适的帐户或组。

4.使用如下某种方法应用策略：
∙在提示符下，键入secedit/refreshpolicy machine_policy /enforce。

∙在站点和服务管理单元(Dssite.msc) 中，使用立即复制副本功能，强制在域中执行从更改策略的域控制器到其它域控制器的复制操作。