ad域主域控制器故障修复

windowsAD域故障排除AD域故障汇总Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

三、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

加入域时，如果输入的域名为FQDN格式，形如gdb.local，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。

”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。

加入域时，如果输入的域名为NetBIOS格式，如gdb，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。

而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

Windows Server 2003安装过后需要进行的配置Win Xp技巧2007-11-07 11:01:59 阅读191 评论1 字号：大中小订阅一、启用硬件加速硬件加速:桌面点击右键--属性-> 设置--高级--疑难解答。

把该页面的硬件加速滚动条拉到―完全"，最好点击―确定‖保存退出。

这期间可能出现一瞬的黑屏是完全正常。

二、启用DirectX加速DirectX加速:打开―开始‖-> ―运行‖，键入―dxdiag‖并回车打开―DirectX 诊断工具‖，在―显示‖页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。

三、启用声卡:系统安装后，声卡是禁止状态，所以要在控制面板-> 声音-> 启用，重启之后再设置它在任务栏显示。

现在我们还要启用音频加速。

在运行中输入Services.msc然后按回车，会出现Services窗口，找到Windows Audio服务，双击打开，把启动类型设置为"自动"，点击"应用"，然后点击"启动"启动该服务。

最后我们还要使用DirectX诊断工具，在运行中输入dxdiag并回车，打开声音选项卡，把"硬件的声音加速级别"的滑块拖动到"完全加速"。

四、允许声音加速如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。

打开―开始‖-> ―运行‖，键入―Services.msc ‖，在出现的窗口中找到―Windows Audio‖并双击它，然后在启动模式的下拉菜单选择―自动‖，并点击―应用‖->―开始‖ -> ―确定‖打开―开始‖-> ―运行‖，键入―dxdiag‖并回车打开―DirectX 诊断工具‖，在―声音‖页面，把―声音的硬件加速级别‖滚动条拉到―完全加速‖。

AD域故障汇总Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

三、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

加入域时，如果输入的域名为FQDN格式，形如gdb.local，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。

”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。

加入域时，如果输入的域名为NetBIOS格式，如gdb，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。

而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

利用BE12。

5对AD域控制器备份与恢复环境：Servera BE12.5 192.168.1.200Serverd AD 192.168.1.2031.首先打开Servera 的BE控制台，备份---新建备份作业---选择AD 主机Serverd----系统状态，确认默认子项下都勾选上。

如下图2.资源凭证----针对目标服务器AD主机进行身份骓检测并都要通过成功，不然以下备份会不成功。

图3.目标---设备和介质：选定之前创建的存储目标介质设备。

图：4.设置----常规：输入作业名称，备份方法，这里以完全备份为例，以下故默认即可。

图:5.microsoft AD-----这里启用GRT粒度技术并选择VSS，这在恢复时可以更具体的针对某个项目，用户邮箱，邮件等进行恢复操作。

图:6.完成上面准备操作后，点击执行，下一步运行等待备份作业的成功与否。

图：OK，作业成功完成了。

7．对于AD的备份，已经成功操作完成，以下就针对AD的恢复作业进行操作。

首先在这之前我们给AD创建俩个新的用户账号testc和testd，如图：8．然后进行对AD域控恢复操作，同样的在主机Servera 打开BE控制台，操作恢复作业---创建恢复作业----选择恢复选项列表。

图:(注：AD域控在恢复时一定要重启系统进入“目录恢复服务模式”，方便成功恢复作业操作)9．资源凭证：进行对AD域的检测通过（俩主机要有同样账号和密码），编辑选择一至的账户。

图10．源---设备：选择设备源，之前创建的设备源存储。

图：11．设置---常规：输入作业名称，选择如图中的选择。

图:12．设置---高级：勾选“恢复由文件复制服务管理的文件平…………..第一仲裁磁盘”.以下自定。

图:13．设置---Microsoft AD：选择选项即可，完成操作点执行，下一步运行恢复作业。

图14．等待作业运行状态，好了，作业成功恢复作业操作成功完成，有个警告提示重启AD域控。

A D域、D N S分离+额外域控制器安装,及主域控制器损坏解决方法-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIANAD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）huanjing.png对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：1.DNS服务器的安装；2.DC主控制器的安装；3.DC额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：/zh-cn/library/cc739159(v=ws.10)安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。

域控制器修复过程域控制器修复过程第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象通过重新安装进行恢复的步骤和创建新DC的步骤相同。

要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。

理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory 站点中；清理操作如下所述。

步骤2和步骤3是在阅读本文时假设您已具备的知识。

有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。

清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：1.在命令行中，键入ntdsutil。

2.在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。

3.现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

4.在metadata cleanup提示符下键入connections，然后按Enter键。

5.键入connect to server <服务器名>，然后按Enter键。

其中<服务器名>是从其上清除元数据的DC（同一域中的任何工作正常的DC）。

6.键入quit，然后按Enter键。

将返回元数据清除菜单。

7.键入select operation target，然后按Enter键。

8.键入list domains，然后按Enter键。

将列出目录林中所有的域，其中每一个域都和一个编号相关联。

9.键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。

10.键入list sites，然后按Enter键。

11.键入select site <编号>，然后按Enter键，其中<编号> 是指该DC 所在站点的编号。

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

Windows Server 2003安装过后需要进行的配置Win Xp技巧2007-11-07 11:01:59 阅读191 评论1 字号：大中小订阅一、启用硬件加速硬件加速:桌面点击右键--属性-> 设置--高级--疑难解答。

把该页面的硬件加速滚动条拉到―完全"，最好点击―确定‖保存退出。

这期间可能出现一瞬的黑屏是完全正常。

二、启用DirectX加速DirectX加速:打开―开始‖-> ―运行‖，键入―dxdiag‖并回车打开―DirectX 诊断工具‖，在―显示‖页面，点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。

三、启用声卡:系统安装后，声卡是禁止状态，所以要在控制面板-> 声音-> 启用，重启之后再设置它在任务栏显示。

现在我们还要启用音频加速。

在运行中输入Services.msc然后按回车，会出现Services窗口，找到Windows Audio服务，双击打开，把启动类型设置为"自动"，点击"应用"，然后点击"启动"启动该服务。

最后我们还要使用DirectX诊断工具，在运行中输入dxdiag并回车，打开声音选项卡，把"硬件的声音加速级别"的滑块拖动到"完全加速"。

四、允许声音加速如果你使用的是Windows server 2003标准版请从第二步xx作，因为标准版已允许声音服务。

打开―开始‖-> ―运行‖，键入―Services.msc ‖，在出现的窗口中找到―Windows Audio‖并双击它，然后在启动模式的下拉菜单选择―自动‖，并点击―应用‖->―开始‖ -> ―确定‖打开―开始‖-> ―运行‖，键入―dxdiag‖并回车打开―DirectX 诊断工具‖，在―声音‖页面，把―声音的硬件加速级别‖滚动条拉到―完全加速‖。

解决active directory域服务问题的方法全文共四篇示例，供读者参考第一篇示例：Active Directory（AD）是微软Windows操作系统中常用的目录服务，用于管理网络中的用户、计算机和其他资源。

在使用过程中，有时候会碰到一些问题，如用户无法登录、组策略无效等。

本文将介绍解决这些问题的方法，帮助管理员更好地管理和维护AD域服务。

一、用户无法登录1. 检查网络连接：首先要确保网络连接正常，AD域控制器可以被访问。

可以通过ping命令测试AD服务器的可达性。

2. 检查用户名和密码：确认用户输入的用户名和密码是否正确，如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。

3. 检查用户帐户是否被锁定：如果用户连续多次输入错误密码，有可能触发帐户锁定策略，解锁用户帐户即可解决登录问题。

4. 检查域控制器日志：查看域控制器的事件日志，可能会有相关登录失败的日志记录，从而找到问题的原因。

二、组策略无效1. 强制更新组策略：可以使用gpupdate /force命令强制更新组策略，使其立即生效。

2. 检查组策略设置：确保组策略设置正确，没有重复或冲突的设置。

可以通过组策略管理工具查看和修改组策略设置。

3. 检查组策略范围：确认组策略应用范围是否覆盖了需要生效的用户或计算机，有时候由于配置错误导致组策略无法正确应用。

4. 重启计算机：有时候组策略更新后需要重新启动计算机才能生效，尝试重启计算机查看是否问题解决。

三、AD域服务异常1. 检查AD域控制器状态：确保AD域控制器正常运行，未出现硬件故障或软件故障，可以通过性能监视器监控AD域控制器的运行状态。

2. 检查AD域服务配置：查看AD域服务的配置是否正确，包括DNS设置、时间同步、网络设置等，这些配置对AD域服务的正常运行至关重要。

3. 检查AD域数据库：如果出现用户丢失或其他异常情况，可能是AD域数据库损坏或存储空间不足，可以尝试修复数据库或清理存储空间。

主域控制器损坏后，备份域控制器抢夺五种角色在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

________________________________________Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

ad域备份和恢复[最新]AD域备份和恢复AD域备份和恢复2009年05月11日星期一 16:20AD的备份:依次点击“开始?程序?附件?系统工具?备份”，在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框。

在选择“备份文件和设置”项后，点击“下一步”按钮进入“要备份的内容”对话框，选择“让我选择要备份的内容”项并点击“下一步”按钮。

在“要备份的项目”对话框中依次展开“桌面?我的电脑”，勾选“System State”项在下一步的“备份类型、目标和名称”对话框中根据提示选择好备份文件的存储路径，并设置好备份文件的名称，点击“下一步”按钮。

接着在打开的对话框中点击“完成”按钮。

此时请中断计算机系统中的其他操作，因为片刻后AD数据库的备份操作就会开始进行了。

AD的还原:还原AD数据库相对于AD数据库的备份操作，AD数据库的还原操作就显得稍微有些复杂了。

因为除了按备份向导的提示进行操作外，还需要进行一些额外的操作才能顺利完成还原。

主要的原因是因为AD服务正常运行时，是不能够进行AD数据库还原操作的。

所以AD数据库的还原操作应该按以下方式进行:1.进入目录服务还原模式重新启动计算机在进入初始画面前，按F8键进入Windows高级选项菜单界面。

此时可以通过键盘上的上下方向键选择“目录服务还原模式(只用于Windows 域控制器)”项。

在回车确认后，使用具有管理员权限的账户登录系统，此时可以看出系统是处于安全模式的。

2.使用还原向导在进入目录服务还原模式后，依次点击“开始?程序?附件?系统工具?备份”，在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框，选择“还原文件和设置”。

在“还原项目”对话框中选中备份文件。

在稍后弹出的界面中点击“完成”按钮。

稍等片刻，系统将弹出一个警告提示框，点击“确定”按钮，确认数据库的覆盖操作即可开始AD数据库的还原。

在完成还原操作后，点击对话框中的“关闭”按钮就可以结束了。

在现代企业网络中，Active Directory（AD）域控制器扮演着至关重要的角色，它负责存储和管理组织中的用户、计算机和其他资源。

然而，有时候在使用AD域控的过程中，用户可能会遇到各种错误代码。

了解这些错误代码的含义和解决方法对于保持域控的稳定运行至关重要。

1. Error Code 5: "Access is denied"当用户在与AD域控进行交互时，如果出现错误代码5，意味着用户没有足够的权限来执行特定操作。

这可能是由于用户没有正确的权限分配，或者是由于域策略规定了用户的操作权限。

解决这个问题的方法包括检查用户的权限设置、确保用户所在的安全组拥有必要的权限等。

2. Error Code 1326: "Logon failure: unknown user name or bad password"这个错误代码表明用户登录到AD域控时使用了错误的用户名或密码。

解决这个问题的方法包括确保用户输入的凭据是正确的、检查域控的密码策略是否允许该用户的密码强度等。

3. Error Code 1909: "The referenced account is currently locked out and may not be logged on to"如果用户的账户由于多次登录失败而被锁定，就会出现这个错误代码。

解决这个问题的方法包括解锁用户账户、重置用户密码等。

总结与回顾：在与AD域控进行交互的过程中，用户可能会遇到各种错误代码。

了解这些错误代码的含义和解决方法对于保持域控的稳定运行至关重要。

除了上述提到的错误代码，还有许多其他错误代码可能会出现，因此在使用AD域控时，用户应该时刻保持警惕，并对可能出现的错误有所准备。

个人观点和理解：作为文章写手，我认为深入了解和解决AD域控错误是非常必要的。

只有在面对问题时，我们才能更好地掌握和管理AD域控，确保网络系统的稳定运行。

系统故障记录1. 故障记录日期：2010-01-142. 主机名及IP：FS03(3. 主机系统及应用：DC、FileServer4. 系统状态及错误信息：Win2003系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服务无法启动。

错误状态：0xc00002e1."5. 检查过程及解决步骤：原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致2.246无法正常启动目录服务，所以客户端的域用户无法正常登陆。

解决方案1：准备进入目录还原模式，修复Active Directory数据库。

备注：由于系统安装时间比较已久，还原密码未知，解决方案2：升级其他BDC为PDC，解决用户登陆问题。

备注：现已将FSBDC升级为PDC，用户已可正常登陆。

步骤1：用Domain Admin用户登陆FSBDC，打开运行，输入“CMD”进入命令行状态。

使用Ntdsutil工具，将FSMO中PDC角色抢夺过来。

ntdsutilRolesConnectionsconnect to server FSBDCqseize domain naming masterseize infrastructure masterseize PDCseize RID masterseize schema masterq步骤2：升级FSBDC为GC在管理工具中，打开“Active Directory站点和服务”点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性，选中“全局编目”［此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过］当前状态为[已登记]ekin.liu2010-01-14 20:18:51 其他问题：在升级GC的时候，碰到一个问题，因原有，需要要清除后GC才能升级成功。

AD域服务器处理建议AD域服务器处理建议1、涉及服务器主域服务器（简称56），备域服务器（简称57）2、AD域故障回顾2.1、主域被强制退域56使用了命令强制退域，以至AD域功能卸载，父域服务器已经删除关于56的资料。

唯一正常的是DNS服务。

2.2、备域超出墓碑石时间57由于长时间没有与56同步，超出180的墓碑石时间，被视为脱机，同时也无法提供AD服务。

2.3、备份两台服务器都有2012年4月的系统状态备份，而没有系统完整备份。

3、AD恢复过程简述3.1、主域服务器恢复56通过2012年4月的备份恢复了系统状态，AD域功能得以恢复部分功能。

由于父域服务器已经删除关于56的资料，可以说56恢复后只是一个独立的AD域服务器，并不能与其它域控制器同步，也无法识别其它域控制器。

只能当作应急的用户验证服务器使用，而且不能添加新的用户。

3.2、备域服务器恢复57通过2012年4月的备份恢复了系统状态，AD域功能得以恢复部分功能。

修改墓碑石时间后，57可以与其它域控制器同步。

但是57的DNS服务无法修复。

添加用户正常，但无法添加域计算机。

4、系统恢复后的风险分析4.1、AD功能风险恢复后的AD完整功能是由57的AD功能加上56的DNS功能共同承载，两台服务器只要其中一台出现故障，AD就会瘫痪，风险是单台服务器的两倍。

4.2、系统稳定性风险56和57所用的备份只是系统状态，而不是完整的系统备份。

恢复后，系统会比较不稳定，AD服务也会不稳定，会出现很多不可预知性的错误。

4.3、用户数量风险由于57无法加入域计算机，也就无法再添加备域，标识资源池会用尽，用户数量大约在1200左右就无法再添加。

5、后续解决建议由于AD域处于一个非常容易崩溃的状态，并不适合作为生产用途。

5.1、建议重新部署一个新的子域，使用新的系统完成AD搭建，同时作好备域的复制。

同时导入57域控中的用户。

配置webphere的参数，使其使用新AD数据进行验证。