主域控挂掉后的方法
windows2003更改主域控主机操作步骤
当生产环境当中的主域控出现故障,需要把域控的组织架构、策略、用户账号信息迁移到新域控,首先是搭建一台辅助域控然后提升主机模式到2003纯模式,最后迁移主域控的五个操作主机即可。
Active Directory内总共定义了五个操作主机角色:架构主机(schema master)域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下:1、架构主机:负责更新与修改schema内的对象与属性数据,只有有Schema Admin组内的成员才有权利修改schema内的数据。
如果架构主机出现故障或离线,可能会影响某些软件的运作,例如某些服务器级的软件在安装时,会在schema 内添加对象,如果架构主机出现故障或离线,将无法安装这些软件。
2、域命名主机:负责管理林内域的添加与删除工作。
如果域命名主机出现故障或离线,将无法在林内添加或删除域。
3、R ID主机:a、发放RID RID主机负责发放RID(relativeID)给其域内的所有域控制器。
当域控制器内添加一个用户、组或者计算机对象时,域控制器必须指派一个惟一的安全识别码(SID)给这个对象,此对象的SID是由域的SID与RID所组成的,也就是说“对象的SID=域的SID+RID”,而RID并不是由每一台域控制器自己产生的,它是由“RID操作主机”来统一发放给其域内的所有域控制器的。
每一台域控制器需要RID时,它会向“RID主机”索取一些RID,用完后再向“RID操作主机”索取;b、移动对象无论目前所连接的域控制器是哪台,当要将某个对象传送到另外一个域时,系统会移动位于“RID主机”内的对象,然后通知其他域控制器该对象已被转移。
这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。
AD域备份和恢复
在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:
点击上述画面中的“属性”:
在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:
这次点击“高级”:
此时请中断计算机系统中的其他操作,因为片刻后AD数据库的备份操作就会开始进行了。
AD的还原:
还原AD数据库
相对于AD数据库的备份操作,AD数据库的还原操作就显得稍微有些复杂了。因为除了按备份向导的提示进行操作外,还需要进行一些额外的操作才能顺利完成还原。主要的原因是因为AD服务正常运行时,是不能够进行AD数据库还原操作的。
在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
继续点击“开始-运行”,输入“Ntbackup”,并回车:
这回可别再选择备份向导了,要用“还原向导(高级)”:
第二台域控制器:
计算机名:
IP:192.168.5.2
子网掩码:255.255.255.0
DNS:192.168.5.2
灾难情况:第一台域控制器由于硬件原因,导致无法启动。
这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
所以AD数据库的还原操作应该按以下方式进行:
1.进入目录服务还原模式
重新启动计算机在进入初始画面前,按F8键进入Windows高级选项菜单界面。此时可以通过键盘上的上下方向键选择“目录服务还原模式(只用于Windows域控制器)”项。
删除WindowsAD域控制器的三种方法
删除WindowsAD域控制器的三种方法一、域控可以正常工作1、删除辅助域控:单击“开始”,单击“运行”,然后键入以下命令:dcpromo /forceremoval然后按提示操作。
2、删除主域控:1)打开Active Directory 用户和计算机->Domain Controllers,右键点击所要删除的辅助域控,在菜单上选择删除.确定删除这台域控制器永远为脱机并且不再能用,运行Active Directory 安装向导(dcpromo)将其降级确定删除然后到控制面板-->管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除;他会有3种选择:1.域控制器降级,继续当计算机使用2.重新开启AD复制3.这台域控制器永远为脱机并且不再能用Active Directory 安装向导(dcpromo)将其降级。
删除NTDS Settings以后就可以把辅助域服务器删除掉了。
二、某台辅助域控已经不可用:在主域控上使用ntdsutil来清除无效的域控,具体操作方法可以参考下面的链接:/kb/216498/zh-cn三、上面使用的是Microsoft推荐的标准方法,但我发现使用图形界面也能彻底删除已经彻底损坏的域控。
到管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除;再删除DNS服务器中所有记录并重启,也能够彻底删除掉废弃的域控。
但如果不重启主域控,则不能使用原域控的主机名作为新域控来重新加入。
服务器挂了专业术语
服务器挂了专业术语
摘要:
1.服务器挂了的定义和原因
2.服务器挂了对用户和网站的影响
3.如何解决服务器挂了的问题
4.预防服务器挂了的措施
正文:
一、服务器挂了的定义和原因
服务器挂了,专业术语称为“服务器宕机”或“服务器崩溃”,是指服务器在运行过程中突然停止工作的现象。
导致服务器挂了的原因有很多,例如硬件故障、软件错误、网络问题、资源耗尽等。
二、服务器挂了对用户和网站的影响
1.对用户的影响:当服务器挂了时,用户无法正常访问网站,可能会导致无法完成购物、信息查询等操作,给用户带来不便。
2.对网站的影响:服务器挂了会导致网站无法正常运行,可能使网站失去流量,影响网站的排名和收入。
同时,长时间挂机还可能导致搜索引擎对网站的评价降低,影响网站的发展。
三、如何解决服务器挂了的问题
1.及时检测:通过监控软件或人工巡检,发现服务器异常及时处理。
2.排除故障:根据服务器挂了的原因,进行相应的故障排除,如更换损坏硬件、修复软件错误、优化网络配置等。
3.数据备份与恢复:在服务器恢复正常后,及时对数据进行备份,以防再次出现故障导致数据丢失。
四、预防服务器挂了的措施
1.定期维护:对服务器硬件和软件进行定期检查和更新,确保其稳定运行。
2.负载均衡:通过负载均衡技术,分散服务器压力,避免资源耗尽导致服务器挂机。
3.故障转移:采用故障转移技术,当一台服务器出现故障时,用户可以自动切换至其他正常运行的服务器,确保业务的持续性。
服务器宕机解决方案
服务器宕机解决方案服务器宕机是企业运营过程中一种常见的技术故障,具体表现为服务器无法正常运行,导致企业的在线服务中断,数据丢失等问题。
为了应对服务器宕机可能带来的影响,企业需要制定有效的解决方案,以确保业务的持续运营和数据的安全性。
本文将就此问题提出一些解决方案,供企业参考。
1. 备份和恢复数据在服务器宕机的情况下,数据丢失是一个较为严重的问题。
因此,企业在日常运营中需要定期备份关键数据,并建立完备的数据恢复机制。
这样,在服务器宕机后,可以通过恢复备份的数据来尽快恢复业务的正常运行。
2. 冗余服务器为了应对服务器宕机可能导致的服务中断,企业可以采用冗余服务器的方式,即将多个服务器部署在不同的地理位置上,以实现服务器之间的冗余备份。
当主服务器发生宕机时,备用服务器可以立即接管业务,保障服务的正常进行。
同时,企业还可以利用负载均衡技术,将用户请求合理分配到不同的服务器上,以避免单点故障的发生。
3. 硬件监控和维护服务器宕机的原因很多时候与硬件故障有关。
为了降低服务器宕机的概率,企业可以通过定期进行硬件监控和维护来及时发现和处理潜在的问题。
例如,可以使用专业的服务器监控软件,实时监测服务器各项指标,如温度、风扇转速、硬盘可用空间等,及时发现异常情况并采取相应的维修措施,以提高服务器的可靠性和稳定性。
4. 安全防护和系统更新服务器宕机不仅会导致服务中断,还可能给企业的数据安全带来威胁。
为了预防服务器宕机的同时保护数据的安全,企业需要加强网络安全防护,并及时进行系统和软件的更新。
例如,可以采用防火墙、入侵检测系统等安全措施,规范员工的网络行为,防止恶意攻击和病毒感染。
5. 应急响应与故障恢复当服务器宕机时,企业需要迅速响应,并制定应急响应预案。
这包括明确责任人和应急联系方式,建立完善的故障处理流程,以及保持与供应商的紧密联系。
同时,在服务器宕机后的恢复过程中,需要进行详细的故障分析和记录,以便在今后的运营中避免类似问题的再次发生。
主副 域控 工作机制
主副域控工作机制主副域控工作机制引言:在计算机网络中,域控制器是一种重要的服务器角色,用于管理和控制域内的计算机和用户。
主副域控制工作机制是一种常见的配置方式,用于提高域控制器的可用性和容错性。
本文将详细介绍主副域控制工作机制的原理和实施方法。
一、主副域控制工作机制的概述主副域控制工作机制是指在一个域中同时配置一个主域控制器和一个副域控制器的方式。
主域控制器负责处理域内的所有操作,而副域控制器则作为备份,以确保在主域控制器故障时能够无缝切换并继续提供服务。
这种工作机制可以提高域控制器的可用性和容错性,确保网络的稳定运行。
二、主副域控制工作机制的原理主副域控制工作机制的原理是通过域同步和故障切换来实现的。
主域控制器和副域控制器之间通过域同步机制保持数据的一致性。
主域控制器将域内的所有更改记录下来,并将这些更改传输给副域控制器,以确保副域控制器上的数据与主域控制器上的数据保持同步。
当主域控制器发生故障时,副域控制器会自动接管主域控制器的工作,并继续提供服务,从而实现故障切换。
三、主副域控制工作机制的实施方法1. 配置主域控制器:首先,需要选择一台服务器作为主域控制器,并安装相应的操作系统和域控制器软件。
然后,进行域控制器的配置和设置,包括域名、管理员账户、安全策略等。
最后,将主域控制器添加到域中,并进行必要的测试和验证。
2. 配置副域控制器:选择一台服务器作为副域控制器,并按照相同的步骤进行操作系统和域控制器软件的安装。
在配置过程中,需要指定主域控制器的名称和地址,以便副域控制器能够与主域控制器进行域同步。
完成配置后,将副域控制器添加到域中,并进行测试和验证。
3. 配置域同步:在主副域控制器之间配置域同步,以确保数据的一致性。
域同步可以通过多种方式实现,如使用文件复制、数据库复制或日志复制等。
根据实际情况选择合适的同步方式,并进行相应的配置和测试。
4. 测试和验证:完成主副域控制器的配置后,需要进行测试和验证,以确保主副域控制工作机制的正常运行。
2003主域损坏后辅域升级为主域并清理
主域控崩溃,恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时,为了保证业务的正常运转,需要将网络中的额外域控制器升级到主域控制器角色。
我们的网络拓扑如下,单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS,并且互为复制。
我们将通过NTDSUTIL工具来占用dc01的操作主机角色,并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。
1.占用操作主机角色(1)在开始-所有程序-Windows Support Tools-命令提示符(2)输入ntdsutil(3)输入roles(4)输入connections(5)输入connect to server dc02.hisense.local(6)输入quit(7)占用域命名主机角色,输入seize domain naming master ,回车,出现对话框,点是从上图可以看出先进行主机角色的传送,当传送不能成功时进行占用。
(8)占用基础架构主机角色,输入seize infrastructure master(9)占用PDC,输入seize pdc(10)占用RID角色,输入seize RID master(11)占用架构主机角色,输入seize schema master(12)输入2次quit,退出ntdsutil,输入netdom query fsmo,查看操作主机角色至此,所有操作主机角色已经到了DC02.hisense.local上了。
2.在DC02上设置全局编录(1)开始-管理工具-Active Directory 站点和服务(2)单击sites-“default-first-site-name”-servers,选择dc02,右键单击NTDS Sites,选择属性(3)在查询策略中,选择default query policy,并选中全局编录。
Windows Server 2003环境下域控制器挂掉后的处理步骤
Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。
实验环境:●域名:●第一台域控制器:⏹计算机名:⏹IP:192.168.5.1⏹子网掩码:255.255.255.0⏹DNS:192.168.5.1⏹并且FSMO五种角色及GC全部在第一台域控上。
●第二台域控制器:⏹计算机名:⏹IP:192.168.5.2⏹子网掩码:255.255.255.0⏹DNS:192.168.5.2灾难情况第一台域控制器由于硬件原因,导致无法启动。
客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。
操作步骤首先,要把第一台域控制器的所有信息从活动目录里面删除。
点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。
选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:显示一下Site中的域:结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。
所以这里要选择“0”:选中后,按“q”退出到上一层菜单:接下去删除服务器信息,出现提示后点是。
在上图中点击“是”:然后再按2个“q”退出。
再使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象。
打开后,找到如下位置:点击右键,然后选“删除”就可以了。
在“管理工具”里,打开“AD站点和服务”,找到如下位置:把复制连接也删除了:把FSMO角色强行夺取过来。
先要连接到目标服务器上:连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。
server 2008 主辅域控切换
一、加入辅助域控win2008-2 主域控:服务器2008-1,IP:192.168.1.30服务器win2008-2,IP:192.168.1.31,DNS配成win2008-1的IP,先将win2008-2加入域,加入后以域管理员登入win2008-2服务器,运行dcpromo,勾选高级模式安装,选下一步,继续下一步,选现有林--向现有域添加域控制器,下一步,默认已填入域名,设置里填入域管理员账户密码,下一步,默认不变,继续下一步,选是,继续,正在提升域,从父域复制相关的信息,经过几分钟后,提升完成,点击“完成”退出安装向导,重启生效,重启后以域管理员登入win2008-2,查看是否成为辅助域控,打开用户和计算机,看到已有两个域控,右键域名选操作主机,发现主域控是win2008-1,或输入netdom query fsmo,(2003需要安装系统盘Support目录下的support tools工具)五个角色都在win2008-1上,二、当主域控掉线时,辅助域控升级为主域控以域管理员登入主域控win2008-1,在user里建立用户111,win7客户端以用户111登入域,配置“隐藏和禁用桌面所有项目”的组策略,运行中输入gpmc.msc,组策略右键选编辑,用户配置--策略--管理模板--桌面--隐藏和禁用桌面上所有项目,选启用,进入辅助域控2008-2,发现组策略以自动同步,win7注销仍然以用户111登陆,发现组策略已生效,现在将主域控win2008-1关机,发现win7不能跟新组策略,一直停留在下面的界面,再把辅助域控win2008-2的IP改为原主域控的192.168.1.30,发现win7仍不能更新组策略,并报错,在win2008-2中输入netdom query fsmo,发现五个角色还是win2008-1,现在用命令行强制将主机和角色切过来:在命令提示符下输入ntdsutil回车,再输入roles回车,再输入connections回车,再输入connect to server ,提示绑定成功后,输入q推出,如图,输入问号可以看到一些帮助信息,现在用seize来进行强制夺取,分别输入:Seize infrastructure masterSeize naming masterSeize PDCSeize RID masterSeize schema master以上的命令在输入完成一条后都会确认要占用角色,选择是,选择是后,如图会看到报错,这是正常的,因为主域控win2008-1不在线,所以在夺取时会有这个出错信息,接下来的各个角色的夺取也会有这个出错信息,以上命令全部完成后,按q推出,再看下五个角色的所有者已经是win2008-2服务器了,现在win7客户端还不能从win2008-2更新策略,进入站点和服务,删除原win2008-1的NTDS Setting,再进入用户和计算机,删除原域控win2008-1,现在客户端win7已经能从win2008-2更新策略了,三、把修好的win2008-1再恢复成主域控现在把恢复后装完系统的win2008-1重新加入域,重启后先把win2008-1按照之前的步骤升成辅助域控,此时主域控win2008-2,辅助域控win2008-1同时在线状态,如需要将win2008-1恢复成主域控要进行以下操作:将五个角色从win2008-2迁移到win2008-1,进入主域控win2008-2的命令提示符输入:ntdsutil回车,再输入:roles 回车,再输入connections回车,再输入connect to server win2008-1,提示绑定成功后,输入q退出,如图:输入?可以看到提示,然后分别输入:Transfer infrastructure masterTransfer naming masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择”是“,如图:然后接着一条一条完成即可,完成以上按q退出界面,差点win2008-1是否已升级成主域控,在主辅域控命令提示符中都输入:netdom query fsmo,发现五个角色已经都在win2008-1上了,选用户和计算机--域名右键--操作主机,发现主域控已是win2008-1,最后再把两个域控的ip换回来,win2008-1,win2008-2,进入win2008-1的站点和服务--右键辅助域控win2008-2的NTDS Settings--去掉全局编录前面的钩,这时客户端命令提示符输入:gpupdate/force,然后ping ,发现默认域控是win2008-1的ip否则会是win2008-2,。
51CTO下载-主备域控设置步骤
第1章主备域控配置(win2003)1.1. 设置主域控:设置IP地址域控服务器的IP地址与首选DNS服务器必须一致,网关可不配置,如图1-1-1、图1-1-2:图1-1-1图1-1-21.2. 安装DNS组件由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以需要手动添加,添加方法为:【开始】—【设置】—【控制面板】—【添加删除程序】,然后再点击【添加/删除Windows组件】,则会显示如图1-2-1:图1-2-1鼠标向下拖动右边的滚动条,找到【网络服务】并选中,如图1-2-2:图1-2-2默认情况下所有的网络服务都会被添加,此时需点击下面的【详细信息】进行自定义安装,由于在这里只需要安装域名系统(DNS)一项,所以把其它的默认安装项全部去掉,以后需要的时候再另行安装,如图1-2-3:图1-2-3点击【确定】,然后一路点击【下一步】就可以完成域名系统(DNS)的安装。
在整个安装过程中务必保证Windows Server 2003的安装光盘位于光驱中,否则会出现找不到文件的提示。
1.3. 配置域控服务安装完域名系统(DNS)以后,需进行相关的配置操作,首先点击【开始】—【运行】,输入【dcpromo】,如图1-3-1:图1-3-1然后回车或点击确定按钮就可以看到Active Directory安装向导,此时直接点击【下一步】即可,如图1-3-2:图1-3-2当显示如图1-3-3,此处为提醒部署人员尽量采用Windows 2000及以上的操作系统来做为客户端,直接点击【下一步】即可:图1-3-3当显示如图1-3-1,如果确认当前是在进行第一台域控制器的配置,保持默认选择项:【新域的域控制器】,然后点击【下一步】即可:图1-3-1当显示如图1-3-5,选择【在新林中的域】,然后点击【下一步】:图1-3-5当显示如图1-3-6,需手动为其指定一个域名,此处以为例,输入完毕点【下一步】:图1-3-6当显示如图1-3-7,需要为新域指定NetBIOS名,此处保持默认,然后点击【下一步】:图1-3-7当显示如图1-3-8,是要进行AD数据库文件夹和AD日志文件夹的存放位置的指定,此处均以放置在D盘为例,指定完毕点击【下一步】:图1-3-8当显示如图1-3-9,是要指定SYSVOL文件夹的存放位置,此处同样以放置在D盘为例,指定完毕点击【下一步】:图1-3-9当操作者第一次部署域控时总会出现如图1-3-10所示的DNS注册诊断失败的画面,主要原因是:虽然刚刚安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以会出现诊断失败的现象,所以此时要选择“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS 服务器”一项,然后点击【下一步】:图1-3-10当显示如图1-3-11,是要进行权限的选择,此处选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”,然后点击【下一步】:图1-3-11当显示如图1-3-12,是要为目录服务还原模式的管理员进行密码的设置(该密码须妥善保管),设置完毕后点击【下一步】:图1-3-12当显示如图1-3-13,部署人员需仔细检查刚刚执行过的所有步骤中输入的信息是否有误,如果确认有误可以点上一步进行检查和修改,如果确认无误的话,直接点击【下一步】开始AD的正式安装:图1-3-13安装配置过程如图1-3-11:图1-3-11安装配置结束显示如图1-3-15,点击完成按钮:图1-3-15当显示如图1-3-16,点击【立即重新启动】按钮图1-3-161.4. 修订DNS地址域控服务器重新启动后,查看网络配置,会发现首选DNS服务器变成“127.0.0.1”,如图1-1-1:图1-1-1此时,须修改首选DNS服务器地址为“192.168.5.167”。
AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法
AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD 的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。
当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。
(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS 的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:服务器的安装;主控制器的安装;额外控制器的安装。
接下来我们分步实现······为了更加了解DC和DNS的关系,安装前请先参阅:安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。
Active Directory 将 DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的 IP 地址。
在 Active Directory 安装期间,在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录,这些记录是域控制器定位程序 (Locator) 机制功能成功实现所必需的。
清除已经不存在的域控制器对象
清除已经不存在的域控制器对象1、Netsutil://命令符下输入 netsutil.exe2、Metadata cleanup: //Metadata cleanup进入数据库清理模式下面3、select operation target : //select operation target选择操作目标4、select operation target: connections//选择连接目标5、server connections: connect to domain //连接域名也可以连接现有服务器从图中我们可以看出我们连接lovelacedc01的时候提出出错,因为lovelacedc01已经down掉6、quit //退出7、list sites //列出站点8、select site 0 //选择站点09、list domain in stie //列出站点中的域10、select domain 0 //选择域0 这个数字排列一般是按照第一个域为0开始11、list servers for domain in site // 列出域中的服务器12、 select operation target: select server 0//这个可以看到找到两个server 根据对应的server名称来选择13、select operation target: quit //退出14、metadata cleanup:Remove selected server //数据库模式下删除刚才选择的server 出现对话框,按“确定“删除lovelacedc01主控服务器。
15、metadata cleanup:quit //退出16、ntdsutil: quit //退出也可以再次进入metada cleanup模式下进行查看是否清楚成功。
1.2-AD域-常见用户登录报错-掉域脱域解决
用户登录报错/加域报错(1)操作失败,因为向进行添加/修改而提供的SPN值不是全林唯一的。
(1)(2)此工作站和主域间的信任关系失败 (1)(3)服务器上的安全数据库没有此工作站信任关系的计算机帐户 (2)(4)掉域,脱域的原因 (3)(1)操作失败,因为向进行添加/修改而提供的SPN值不是全林唯一的。
原因:要加域的电脑,使用的计算机名称已经存在了。
解决:①在AD用户和计算机工具里面删除这个计算机名称,即可重新使用此计算机名称加域。
(同步的时间可能长一点。
删掉之后,电脑重启,等几分钟,再加域)②直接更换一个新的计算机名称。
(2)此工作站和主域间的信任关系失败问题:已经加域的电脑,有时候用户登录了,显示如上报错。
原因:此电脑掉域,就是此电脑跟公司域控服务器的连接的安全隧道损坏了,要重新建立安全隧道。
(造成掉域的,方式很多,如下标题会有提出掉域的形式)解决方法:方法1:使用此电脑的本地管理员进去,进行退域,再重新加域。
方法2:用本地管理员进去。
用命令修复安全通道。
管理方式打开powershell输入:(快捷方式:win+X 选择管理员方式powershell)Test-ComputerSecureChannel -Credential 域名前缀\账号 -Repair域名前缀\账号:具有加域的账号进行修复。
检测安全隧道有没有修复成功:使用此命令Test-ComputerSecureChannel(即可判断是否加域成功)(3)服务器上的安全数据库没有此工作站信任关系的计算机帐户问题描述:用户锁屏之后,或者登录账号显示服务器上的安全数据库没有此工作站信任关系的计算机帐户。
原因:①在域控服务器中,删除了此计算机对象。
②在域控服务器中,使用netdom命令给计算机重新命名了。
导致计算机与域控的安全通道受损。
(一般重启电脑可以解决)解决方式:进入本地管理员帐号,退域重新加域。
(4)掉域,脱域的原因掉域脱域的原因:一般是由于客户端电脑和域控之间联系的安全通道损坏。
如何将备用的域控制器升级到主域控制器111
如前面一片文章所提到的。
比较麻烦的是,Exchange 2003的邮件服务器是安装在主域控制器上的,所以,主域控制器也被干掉了。
型号,做文件服务器的那台服务器也是域控制器,就要将这台文件服务器,升级到主域控制器了。
如果你没有执行过这样的动作,会觉得这是个很麻烦的事情。
当我们操作过之后,你就会发现,其实这个不难。
首先,我们执行【netdom query fsmo】命令,来看一下目前的主域控制器是哪台。
然后依次执行下面的命令ntdsutilrolesconnectionsconnect to server 下面就开始夺取主域控制器的命令了seize domain naming masterseize infrastructure masterseize pdcseize rid masterseize schema masterslect operation targetq命令式退出命令。
这样,我们这台域控制器,就成为了主域了。
最后,我们还要将这台服务器成为全局编目服务器。
方法如下:管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目,把空格勾上就好本文转自☆★黑白前线★☆- 转载请注明出处,侵权必究!原文链接:/a/special/qyaq/server/2010/0429/3595.html将额外控制器升级为主域控制器[原]前两天打雷,一台额外域控制器(windows 2003 DC服务器)主板击坏,无法维修,还好,主域控服务器(Windows 2003 )没有什么事,现购买一台新机作为服务器,打算把新机升级为主域控制器,原来的主域降级为额外域控制器;一、新服务器安装好Windows 2003企业版操作系统及更新补丁,具体大家都会做,不用多说了;二、在控制面板--添加删除程序--点击添加删除组件,出现新窗口,点击网络服务,选择如下服务(WINS,DHCP,DNS,简单TCP/IP服务);点击确定,放入windows2003光盘到光驱;三、将Windows 2003升级为额外域控制器,使用Dcpromo命令,出现升级向导,如下图:点击下一步,选择现在域的额外域控制器;接下来输入域控制器的管理员帐号和密码及域名(例:);输入完成后点击下一步,直到完成(中间步骤省略),重启服务器;这样就安装成功额外域控制器;四、接下来,在管理工具中,点击Active Directory 站点和服务,自动创建了连接,出现如下窗口,如图:在主域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;在额外域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;最好查看一下日志看有没有错误;同时检查一下DNS看有没有同步;五、将额外域升级为主域控制器;1、将DC-SRV主域的FSMO,五种角色转移到BDC-SRV上,别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。
域控计算机脱域的问题
域控计算机脱域的问题
域控计算机脱域的问题可能是由于以下原因导致的:
1. 网络连接问题:如果域控计算机无法连接到域控制器,它将无法验证用户的凭据并与域进行通信。
这可能是由于网络故障、防火墙设置或DNS配置错误等原因引起的。
2. 用户凭据问题:如果用户的凭据(用户名和密码)发生更改或失效,域控计算机将无法验证用户的身份并与域进行通信。
3. 域控制器故障:如果域控制器发生故障或不可用,域控计算机将无法连接到域控制器并与域进行通信。
4. 计算机账户问题:如果域控计算机的计算机账户发生更改或失效,它将无法使用该账户与域进行身份验证和通信。
如果域控计算机脱域,可以尝试以下解决方法:
1. 检查网络连接:确保域控计算机能够正常连接到域控制器,在网络连接方面没有任何问题。
2. 检查用户凭据:确保使用正确的用户名和密码进行登录,并确保这些凭据在域内有效。
3. 检查域控制器状态:确认域控制器是否正常运行并可用。
4. 重置计算机账户:尝试重新加入域,重新生成计算机账户,
并确保账户在域内有效。
如果以上解决方法无法解决问题,建议与网络管理员或系统管理员联系以获取更进一步的支持和解决方案。
域控服务器备份和恢复
域控服务器备份和恢复域控服务器(Domain Controller)是部署在Windows Server操作系统上的一种重要的服务器角色,用于管理和控制整个域中的用户、计算机和资源。
由于域控服务器扮演着核心的角色,数据的备份和恢复对于保证系统的稳定性和可靠性至关重要。
首先,对于系统级备份,可以使用Windows Server自带的Windows Server备份工具(Windows Server Backup)来进行备份。
通过该工具,可以选择备份整个服务器系统,包括操作系统、系统状态、配置文件以及应用程序等。
此种备份方式可以灵活地还原整个服务器系统,但需要占用较大的存储空间。
其次,对于数据库级备份,域控服务器主要依赖于Active Directory数据库进行用户、计算机和资源的管理。
可以使用Windows Server自带的NTDSUtil工具来备份和恢复Active Directory数据库。
其中,备份可以通过执行"ntdsutil backup"命令来实现,可以备份整个数据库或仅备份指定的目录服务分区。
而恢复则可以通过执行"ntdsutil restore"命令来实现,可以从备份文件中选择性恢复域控服务器。
除了以上的方法,还可以使用第三方备份软件,例如Symantec Backup Exec、Acronis Backup等。
这些软件可以提供更强大和灵活的备份和恢复功能,能够实现增量备份、差异备份、定时备份等功能,同时支持自动化备份策略。
不管采用哪种备份方式,备份数据的存储是一个重要的问题。
为确保数据的安全性和可靠性,需要将备份数据存储在不同的位置,最好是与域控服务器所在的位置分离,以防止单点故障。
同时,建议备份数据进行加密,确保数据的机密性;并对备份数据进行定期的验证,以确保备份数据的完整性。
在数据备份的基础上,如果发生域控服务器故障或数据损坏的情况,需要进行恢复操作。
主域控器与备份域控器之间的角色转换
主域控器与备份域控器之间的角色转换平滑过渡:1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制(PDC&BDC)2、再查看一下FSMO(五种主控角色)的owner,安装Windows Server 安装光盘中的Support目录下的support tools工具,3、然后打开提示符输入:netdom query fsmo 以输出FSMO的owner,4、现在登陆PDC(主域控制器),进入命令提示符窗口,在命令提示符下输入:ntdsutil 回车,再输入:roles 回车,再输入connections 回车,再输入connect to server BDC --> (备注:这里的dc-1是指服务器名称),提示绑定成功后,输入q退出。
5、输入?回车可看到以下信息:1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点,服务器,域,角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入:1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,然后接着一条一条完成既可,完成以上按Q退出界面,7、这五个步骤完成以后,检查一下是否全部转移到备份域控制器上了,打开在第9步时装windows support tools,开始->程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后,还要把GC也转移过去,打开活动目录站点和服务,展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。
任何彻底删除备份域控服务器
任何彻底删除备份域控服务器(2007-04-24 14:35:00)转载分类:工作日志公司一台主域控,一台备份域控,备份域控系统瘫痪了,重做系统,重新加入域前需要删除原来的备份域。
如何删除备份域,操作如下:过程1:仅限Windows Server 2003 SP11.单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
2.在命令提示符处,键入ntdsutil ,然后按Enter。
键入metadata cleanup,然后按Enter。
根据所给出的选项,管理员可以3.执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使4.用的替代凭据。
为此,请键入set creds DomainNameUserNamePasswor,d 然后按Enter。
如果密码为空,则键入null作为密码参数。
键入connect to server server name,然后按En ter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
5.注意:如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:错误2094。
不能删除DSA对象。
0x20946•键入quit,然后按Enter。
将出现清除元数据”菜单。
7. 键入select operation target,然后按Enter。
键入list domains,然后按Enter。
将显示一个列出目录林中所有域的列8.表,每一个域都有一个关联的编号。
键入select domain number,然后按Enter;其中number是与要删除的8. 服务器所属域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
ad域断连后组策略机制
是可能的情况:
1. 组策略更新:在AD域环境中,组策略是用于管理和配置网络中计算机的一致性的一种机制。
如果域出现断连,组策略可能无法及时更新,导致客户端计算机无法获取最新的配置信息。
2. 策略应用失败:组策略依赖于AD域控制器来应用和管理策略。
如果域控制器无法与客户端计算机通信,则组策略将无法应用,客户端计算机可能无法正常工作。
3. 计算机账户同步:在AD域环境中,计算机账户存储在域控制器上。
如果域出现断连,计算机账户信息可能无法及时同步,导致客户端计算机无法正常登录域。
为了解决这些问题,可以采取以下措施:
1. 检查网络连接:确保AD域控制器和客户端计算机之间的网络连接正常,并能够相互通信。
2. 重新加入域:如果客户端计算机不再属于域,可以考虑将其重新加入域中,以重新应用组策略。
3. 手动应用策略:可以手动在客户端计算机上应用组策略,以确保其配置与域控制器上的组策略一致。
4. 检查AD域控制器:确保AD域控制器正常运行,并且能够处理客户端计算机的请求。
5. 考虑使用其他同步机制:如果计算机账户同步非常重要,可以考虑使用其他同步机制,如定期备份和恢复同步数据等。
为了解决这些问题,需要采取适当的措施来确保网络连接正常、组策略正确应用和计算机账户同步。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主域控挂掉后的方法.txt婚姻是键盘,太多秩序和规则;爱情是鼠标,一点就通。
男人自比主机,内存最重要;女人好似显示器,一切都看得出来。
Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC(全局编录)重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色(又称FSMO):架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作,具有不同的功能:架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。
只有一个服务器执行此任务。
在创建安全主体(例如用户、组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。
每一个Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。
RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。
通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。
相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机PDCE主域控制器模拟器提供以下主要功能:向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。
本机 Windows 2000 环境将密码更改转发到 PDCE。
每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机基础结构主机确保所有域间操作对象的一致性。
当引用另一个域中的对象时,此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。
如果被引用的对象移动,则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。
________________________________________二、环境分析公司(虚拟)有一台主域控制器,还有一台额外域控制器。
现主域控制器()由于硬件故障突然损坏,事先又没有的系统状态备份,没办法通过备份修复主域控制器(),我们怎么让额外域控制器()替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
________________________________________三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从AD中删除;c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup:Remove selected server出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quitntdsutil: quit3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。
打开ADSI EDIT工具,展开Domain NC[],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:3.3 在Active Directory Sites and Service中删除DC-01服务器对象打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮,如图2:________________________________________四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 1 server(s)0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=comselect operation target: select server 0select operation target: quitfsmo maintenance:Seize domain naming master出现对话框,按“确定“fsmo maintenance:Seize infrastructure master出现对话框,按“确定“fsmo maintenance:Seize PDC出现对话框,按“确定“fsmo maintenance:Seize RID master出现对话框,按“确定“fsmo maintenance:Seize schema master出现对话框,按“确定“fsmo maintenance:quitntdsutil: quit(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)________________________________________五、设置额外控制()为GC(全局编录)打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开(额外控制器),右击NTDS Settings选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。