主域和备域

域控制器是活动⽬录域AD中的⼀个基本元素，很多刚接触活动⽬录域AD的朋友，不知道该从哪⾥下⼿，活动⽬录域控制器到底是什么意思？有什么⽤？如何新建⽴域控制器？主域控制器、额外域控制器有什么区别？域控制器的设备配置备份还原⼜该如何做？⼀⼤堆的问题，都困扰了活动⽬录域AD的初学者，《域控制器》这篇⽂章源⾃微软活动⽬录域AD操作指南教程，⼤家通过它可以对如何开始建⽴活动⽬录域AD域控制器有⼀个⼤致的了解。

域控制器 当您在组织中创建第⼀个域控制器时，同时也创建了第⼀个域、第⼀个林、第⼀个站点，并安装了 Active Directory。

运⾏ Windows Server 2003 的域控制器存储着⽬录数据，并管理⽤户和域的交互，包括⽤户登录进程、⾝份验证和⽬录搜索。

域控制器是使⽤“Active Directory 安装向导”创建的。

详细信息，请参阅使⽤ Active Directory 安装向导。

注意 Examda提⽰: 不能在运⾏ Windows Server 2003, Web Edition 的计算机上安装 Active Directory，但可以将该计算机作为成员服务器加⼊到 Active Directory 域中。

有关 Windows Server 2003, Web Edition 的详细信息，请参阅 Windows Server 2003 Web Edition 概述。

在组织中使⽤域控制器时，需要考虑需要多少个域控制器、这些域控制器的物理安全性，以及备份域数据和升级域控制器的计划。

确定所需的域控制器数 为了获得⾼可⽤性和容错能⼒，使⽤单个局域 (LAN) 的⼩型组织可能只需要⼀个具有两个域控制器的域。

具有多个络位置的⼤型组织在每个站点都需要⼀个或多个域控制器以提供⾼可⽤性和容错能⼒。

如果您的络划分为多个站点，那么通常⼀种较好的做法是在每个站点中⾄少配置⼀台域控制器以提⾼络性能。

当⽤户登录络时，作为登录进程的⼀部分必须联系域控制器。

域控详解范文域控详解域控(Domain Controller)是指Windows Server操作系统上运行的一种服务，用来管理网络中的用户、计算机和其他资源。

域控是一个基于Active Directory(AD)的服务器，它提供了集中管理和控制用户身份验证、权限分配和其他安全特性的功能。

域控的主要作用是创建和管理AD域，AD域是一个逻辑组织结构，用来集中管理网络中的用户、计算机、资源对象等。

域控充当了这个组织结构的核心，负责存储和管理域中的所有对象以及相关的策略和权限。

域控的功能主要包括以下几个方面：1.用户管理：域控可以创建和管理域中的用户账户，包括配置用户的登录名、密码和其他属性。

通过域控，管理员可以集中管理和控制用户的访问权限和资源分配。

2.计算机管理：域控可以创建和管理域中的计算机账户，包括配置计算机的名称、IP地址、操作系统等信息。

通过域控，管理员可以集中管理和控制计算机的访问权限和配置设置。

3.安全策略和权限管理：域控可以配置和管理域中的安全策略，例如密码策略、账户锁定策略等。

管理员可以通过域控对用户和计算机的权限进行精细控制，确保网络的安全性。

4.资源共享和访问控制：域控可以创建和管理域中的文件夹共享和打印机共享，并对用户和计算机的访问进行权限控制。

管理员可以通过域控对资源的共享和权限进行集中管理。

5.单点登录：域控可以提供单点登录功能，用户只需要在登录域中的一台计算机上进行身份验证，就可以访问域中的其他计算机和资源，无需多次输入用户名和密码。

6.备份和恢复：域控可以进行备份和恢复，以保证域中的数据安全和可靠性。

管理员可以定期备份域控的数据库和配置文件，以防止数据丢失或损坏。

域控的实现是基于Active Directory(AD)的，AD是一种分布式数据库，用来存储和管理域中所有的对象和相关信息。

域控负责管理和维护AD数据库，并提供与客户端的通信和交互接口。

域控的部署通常采用至少两台服务器的方式，其中一台充当主域控制器(Primary Domain Controller, PDC)，另一台充当备域控制器(Backup Domain Controller, BDC)。

主副域控工作机制主副域控工作机制引言：在计算机网络中，域控制器是一种重要的服务器角色，用于管理和控制域内的计算机和用户。

主副域控制工作机制是一种常见的配置方式，用于提高域控制器的可用性和容错性。

本文将详细介绍主副域控制工作机制的原理和实施方法。

一、主副域控制工作机制的概述主副域控制工作机制是指在一个域中同时配置一个主域控制器和一个副域控制器的方式。

主域控制器负责处理域内的所有操作，而副域控制器则作为备份，以确保在主域控制器故障时能够无缝切换并继续提供服务。

这种工作机制可以提高域控制器的可用性和容错性，确保网络的稳定运行。

二、主副域控制工作机制的原理主副域控制工作机制的原理是通过域同步和故障切换来实现的。

主域控制器和副域控制器之间通过域同步机制保持数据的一致性。

主域控制器将域内的所有更改记录下来，并将这些更改传输给副域控制器，以确保副域控制器上的数据与主域控制器上的数据保持同步。

当主域控制器发生故障时，副域控制器会自动接管主域控制器的工作，并继续提供服务，从而实现故障切换。

三、主副域控制工作机制的实施方法1. 配置主域控制器：首先，需要选择一台服务器作为主域控制器，并安装相应的操作系统和域控制器软件。

然后，进行域控制器的配置和设置，包括域名、管理员账户、安全策略等。

最后，将主域控制器添加到域中，并进行必要的测试和验证。

2. 配置副域控制器：选择一台服务器作为副域控制器，并按照相同的步骤进行操作系统和域控制器软件的安装。

在配置过程中，需要指定主域控制器的名称和地址，以便副域控制器能够与主域控制器进行域同步。

完成配置后，将副域控制器添加到域中，并进行测试和验证。

3. 配置域同步：在主副域控制器之间配置域同步，以确保数据的一致性。

域同步可以通过多种方式实现，如使用文件复制、数据库复制或日志复制等。

根据实际情况选择合适的同步方式，并进行相应的配置和测试。

4. 测试和验证：完成主副域控制器的配置后，需要进行测试和验证，以确保主副域控制工作机制的正常运行。

计算机网络域服务器类型
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

1．主域控制器（PDC，Primary Domain Controller）
主域控制器是域命名的第一台Windows Server 2008计算机。

每个域都有一个主域控制器，并且只能有一个主域控制器，它是整个域的控制中心。

主域控制器为域保存主账户数据库和安全性政策，账户库中的所有改动都必须在主域控制器上进行，同时它负责对一个域中用户合法性检验。

2．后备域控制器（BDC，Backup Domain Controller）
后备域控制器是用于保存PDC目录数据库副本的服务器，在一个域可以有多个BDC。

BDC周期性地、自动地与PDC保持同步。

BDC也可以协助PDC对用户登录操作进行身份验证，分担PDC的工作，减轻PDC的工作负担。

此外，当PDC关机或出了故障时，BDC可以升级为PDC，但如果一个BDC升级为PDC，则在最后一次从原来的PDC拷贝目录数据库之后，用户对目录数据库所进行的更改都将会丢失。

主域控制器、后备域控制器都可作为文件、打印和应用程序的服务器。

3．独立的服务器（Stand Alone Server）
在域中不作为主域控制器和后备域控制器的域服务器称为独立的服务器，它可以用做专用文件、打印和应用程序的服务器。

它保存自身的数据库，域中的账户可被授权访问服务器上的资源。

1、确认额外域控制域已经关闭。

顺序开启磁盘阵列柜、主域控制器。

2、检查网络适配器的DNS是否配置正确，因为域控制器创建后，DNS会被重新配。

3、点击“开始”—“程序”—“管理工具”—“群集管理器”，开始配置第一台群集管理器；3、在“打开连接”的欢迎框中，要选择“创建新群集”，创建第一台群集管理器而言；4、在“向导”中，直接“下一步”；5、配置“群集名称和域”时，域名不要改动，群集名可以根据个人喜好填写；6、选择计算机名时，默认的为本机名称，可以“下一步”继续；7、在群集配置时，计算机自动搜索并配置磁盘阵列柜，挑选磁盘阵列柜中一个最小的磁盘来作为仲裁磁盘（如果之前划分过1G大小的磁盘，此时会将该盘作为仲裁磁盘。

仲裁磁盘故障可能导致整个群集失效；所以，除了进行群集管理外，不要使用仲裁磁盘执行其它任务。

），此处，如有错误可以点击日志察看，非红色警告可以继续“下一步”；8、群集的IP地址，必须是网络中没有被使用的IP地址，可以是临时的IP地址，在群集创建完成后可以变更的；9、群集服务帐户的用户名为创建域控制器时配置的域用户名称和密码，本文配置用户为LM；10、在提示推荐配置时，可以详细察看配置明细，如需要可以保存配置日志；11、创建群集时，如果存在严重错误，会有红色进度条警示，非红色警示可以“下一步”；12、恭喜“完成”；13、群集管理器创建完成后，系统自动登录群集，在群集管理器中可以看到本机的名称已经登录；在右侧的栏中为“运行”状态；14、配置管理群集：右键点击左栏群集的根目录，点击“属性”；15、需要察看配置的是“网络优先级”内容，将私网服务（心跳服务）的网卡（Private）排在第一位，公网网卡（Public）服务排在后；16、右键察看两块网卡的属性，公网网卡的角色为“所有通讯（混合网络）”，私网网卡的角色为“只用于内部群集通讯（专用网络）”；至此，群集创建完毕，双机热备的第一台服务器系统部分已经完成，可以进行其他的服务安装了。

产生主域控制器与备份与控制器不同步的充要条件：1、在备份域控制器中日志中会出现组策略失败：处理组策略失败。

Windows 尝试从域控制器读取文件 \\\sysvol\\Policies\{81B2F340-016D-19D2-945F-01C04FB987F9}\gpt.ini，但是没有成功。

只有解决此事件后才会应用组策略设置。

该问题可能是暂时的，并可能由下列一个或多个原因引起:a) 到当前域控制器的名称解析/网络连接。

b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。

c) 分布式文件系统(DFS)客户端已被禁用。

2、在备份域控制器中AD活动目录中域和信任关系出现目标文件不正确。

产生主域控制器与备份与控制器不同步的必要不充分条件：复制出现错误产生主域控制器与备份与控制器不同步的充分不必要条件：在主域中新建用户，但在备份域中不存在该用户。

解决方法一：1、在主域控制器中删除备份域控制器（1）查看该主域控制器是否为全局编录服务器查看：3：通过命令行方式查看全局编录服务器在Supprot Tools和Resource Tools工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用dsquery命令查看当前域中的GCdsquery server -domain -isgc使用nltest命令查看当前域中的GCnltest /dsgetdc:（2）彻底清除备份域服务器数据元的方法Microsoft Windows [Version 5.2.3790](C) Copyright 1985-2003 Microsoft Corp.C:\Documents and Settings\Administrator>cd\C:\>ntdsutilntdsutil: ?-Show this help informationAuthoritative restore - Authoritativelyrestore the DIT databaseConfigurable Settings - Manage configurable settingsDomain management - Prepare fornew domain creationFiles -Manage NTDS database filesHelp - Showthis help informationLDAP policies - Manage LDAP protocol policiesMetadata cleanup - Clean up objects of decommissioned serversPopups %s -(en/dis)able popups with "on" or "off"Quit - Quit the utilityRoles - Manage NTDS role owner tokensSecurity account management - Manage Security Account Database - Duplicate SID CleanupSemantic database analysis - Semantic CheckerSet DSRM Password - Resetdirectory service restore mode administrator account passwordntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc03Binding to dc03 ...DsBindW error 0x6ba(The RPC server is unavailable.)server connections: connect to server dc01Binding to dc01 ...Connected to dc01 using credentials of locally logged on user.server connections: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles andnaming contextsmetadata cleanup: select operation targetselect operation target: list domainsFound 1 domain(s)0 - DC=xt,DC=superlgroup,DC=localselect operation target: 0Error 80070057 parsing input - illegal syntax?select operation target: select domain 0No current siteDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC =localselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localNo current serverNo current Naming Contextselect operation target: list server in siteFound 3 server(s)0 - CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local1 - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local2 - CN=DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localselect operation target: select server 1Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDomain - DC=xt,DC=superlgroup,DC=localServer - CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=localDSA object - CN=NTDSSettings,CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local DNS host name - dc03.xt.superlgroup.localComputer object - CN=DC03,OU=Domain Controllers,DC=xt,DC=superlgroup,DC=localNo current Naming Contextselect operation target: quitmetadata cleanup: ?- Show this help informationConnections - Connect to a specific domain controllerHelp - Show this help informationQuit - Return to the prior menuRemove selected domain - Remove DS objects for selected domainRemove selected Naming Context - Remove DS objects for selected Naming ContextRemove selected server - Remove DS objects for selected server Remove selected server %s - Remove DS objects for selected server Remove selected server %s on %s - Remove DS objects for selected serverSelect operation target - Select sites, servers, domains, roles and naming contextsmetadata cleanup: remove selected serverTransferring / Seizing FSMO roles off the selected server.Removing FRS metadata for the selected server.Searching for FRS members under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".Removing FRS member "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xt,DC=superlgroup,DC=local".Deleting subtree under "CN=DC03,OU=DomainControllers,DC=xt,DC=superlgroup,DC=local".The attempt to remove the FRS settings onCN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local failed because "Element not found.";metadata cleanup is continuing."CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xt,DC=superlgroup,DC=local" removed from server "dc01"metadata cleanup: quitntdsutil: quitDisconnecting from dc01...C:\>Start -> Run -> dssite.msc -> enter在这出现错误说是无权删除此服务器，进行了第三步操作还是不行，则将服务器重新做系统密码：jgjtgs(重新做系统之后，先升级域，再弄网站)（3）将备份域控制器中的角色强过来二、把FSMO角色强行夺取过来。

第1章主备域控配置（win2003）1.1. 设置主域控：设置IP地址域控服务器的IP地址与首选DNS服务器必须一致，网关可不配置，如图1-1-1、图1-1-2：图1-1-1图1-1-21.2. 安装DNS组件由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以需要手动添加，添加方法为：【开始】—【设置】—【控制面板】—【添加删除程序】，然后再点击【添加/删除Windows组件】，则会显示如图1-2-1：图1-2-1鼠标向下拖动右边的滚动条，找到【网络服务】并选中，如图1-2-2：图1-2-2默认情况下所有的网络服务都会被添加，此时需点击下面的【详细信息】进行自定义安装，由于在这里只需要安装域名系统（DNS）一项，所以把其它的默认安装项全部去掉，以后需要的时候再另行安装，如图1-2-3：图1-2-3点击【确定】，然后一路点击【下一步】就可以完成域名系统（DNS）的安装。

在整个安装过程中务必保证Windows Server 2003的安装光盘位于光驱中，否则会出现找不到文件的提示。

1.3. 配置域控服务安装完域名系统（DNS）以后，需进行相关的配置操作，首先点击【开始】—【运行】，输入【dcpromo】，如图1-3-1：图1-3-1然后回车或点击确定按钮就可以看到Active Directory安装向导，此时直接点击【下一步】即可，如图1-3-2：图1-3-2当显示如图1-3-3，此处为提醒部署人员尽量采用Windows 2000及以上的操作系统来做为客户端，直接点击【下一步】即可：图1-3-3当显示如图1-3-1，如果确认当前是在进行第一台域控制器的配置，保持默认选择项：【新域的域控制器】，然后点击【下一步】即可：图1-3-1当显示如图1-3-5，选择【在新林中的域】，然后点击【下一步】：图1-3-5当显示如图1-3-6，需手动为其指定一个域名，此处以为例，输入完毕点【下一步】：图1-3-6当显示如图1-3-7，需要为新域指定NetBIOS名，此处保持默认，然后点击【下一步】：图1-3-7当显示如图1-3-8，是要进行AD数据库文件夹和AD日志文件夹的存放位置的指定，此处均以放置在D盘为例，指定完毕点击【下一步】：图1-3-8当显示如图1-3-9，是要指定SYSVOL文件夹的存放位置，此处同样以放置在D盘为例，指定完毕点击【下一步】：图1-3-9当操作者第一次部署域控时总会出现如图1-3-10所示的DNS注册诊断失败的画面，主要原因是：虽然刚刚安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以会出现诊断失败的现象，所以此时要选择“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS 服务器”一项，然后点击【下一步】：图1-3-10当显示如图1-3-11，是要进行权限的选择，此处选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，然后点击【下一步】：图1-3-11当显示如图1-3-12，是要为目录服务还原模式的管理员进行密码的设置（该密码须妥善保管），设置完毕后点击【下一步】：图1-3-12当显示如图1-3-13，部署人员需仔细检查刚刚执行过的所有步骤中输入的信息是否有误，如果确认有误可以点上一步进行检查和修改，如果确认无误的话，直接点击【下一步】开始AD的正式安装：图1-3-13安装配置过程如图1-3-11：图1-3-11安装配置结束显示如图1-3-15，点击完成按钮：图1-3-15当显示如图1-3-16，点击【立即重新启动】按钮图1-3-161.4. 修订DNS地址域控服务器重新启动后，查看网络配置，会发现首选DNS服务器变成“127.0.0.1”,如图1-1-1：图1-1-1此时，须修改首选DNS服务器地址为“192.168.5.167”。

主域控制器和额外域控制器问题讨论字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。

不知有没有人会？我也来说两句查看全部回复最新回复∙tomdoctor (2005-1-08 14:41:09)运行ntdsutil 把操作角色seize过来∙qjping (2005-1-11 21:41:08)请问楼上有没有操作过?∙tutuit (2005-1-17 08:36:32)往上搜索一下，有关seize的资料一大堆∙tutuit (2005-1-17 08:36:45)网上搜索一下，有关seize的资料一大堆∙xwbest (2005-1-17 13:37:41)把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的∙housten (2005-1-28 14:15:57)QUOTE:最初由xwbest 发布[B]把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]你成功过！太好了，能讲讲具体步骤吗！因为我试验过几次，都不成功。

关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。

不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)为什么要重新建立DNS我做的时候额外域控制器上的DNS与主域一样是起额外域控制器时自动建立没必要重建如果重建会有问题的∙xwbest (2005-1-28 17:16:50)而且客户机不用做任何的改动连额外域控制器上也不必该原来的DNS回自动转过来的我讲的是客户机的DNS不动也可以用∙stevenxia (2005-1-29 09:21:05)看看这篇文章，希望对你有所帮助：AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升，具体步骤如下：转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始，然后单击运行。

2. 在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

3. 收到操作成功的消息时，单击确定。

转移架构主机角色1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

转移域命名主机角色1. 单击开始，指向管理工具，然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系"，然后单击"连接到域控制器"。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在"输入其他域控制器名称"框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- 或 -? 在"或者，选择一个可用的域控制器"列表中，单击将成为新角色持有者的域控制器，然后单击确定。

公司域控组织架构以及gpo设计公司域控组织架构和GPO（Group Policy）设计是公司IT管理的关键组成部分，用于维护网络环境的稳定性和安全性，以及确保用户能够高效地使用计算机资源。

首先，让我们了解一下公司域控的组织架构。

域控制器是公司网络中的核心组件，负责管理用户账户、计算机账户以及网络资源的访问控制。

在组织架构上，通常会建立一个域控制器体系，包括一个或多个主域控制器和备份域控制器。

这些控制器通过Active Directory服务进行互操作，形成一个完整的域控制器体系。

在域控制器体系中，主域控制器负责处理来自客户端的请求，包括用户登录、资源访问等。

同时，主域控制器还会同步其他域控制器上的数据，以确保整个域控制器体系的完整性和一致性。

备份域控制器则处于待命状态，一旦主域控制器出现故障，备份域控制器将立即接管，保障网络的正常运行。

接下来，我们进一步讨论GPO（Group Policy）设计。

GPO是组策略的简称，是一种管理和配置网络环境中计算机和用户设置的工具。

通过GPO，管理员可以定义一系列组策略对象（GPOs），并将其应用到相应的用户组或计算机组上。

GPO包含一系列策略设置，如软件安装、脚本设置、安全设置等。

管理员可以根据实际需求，为不同的用户组或计算机组设置不同的GPO，以便实现定制化的配置和管理。

同时，GPO还可以通过条件表达式来应用不同的策略，使得管理员能够更加灵活地控制组策略的应用范围和条件。

在设计中，需要考虑GPO的继承、链接和优先级关系。

继承是指GPO将应用于父对象的设置应用于子对象；链接则是指将GPO应用于特定的计算机或用户；优先级则是解决多个GPO同时应用时产生的冲突问题。

合理地规划和管理这些关系，可以避免配置混乱和不必要的冲突。

综上所述，公司域控组织架构和GPO设计是保障公司网络环境稳定、安全和高效的重要措施。

通过合理的组织架构和配置，可以提高网络的整体性能和可靠性，同时降低安全风险和管理成本。

额外域控制升级为主域控制器（一）一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

写给刚接触Active Directory的朋友2005-08-25 09:37作者：出处：天极论坛责任编辑：王玉涵域是微软网络中最重要的概念之一。

用比较简单的话说，域实际上就是指一组服务器与工作站，并且它们同意将用户和机器帐户的名称及密码集中放在一个共享数据库内。

这种做法非常有用，并且适合任何规模的网络，因为域使得用户只需要一个用户名和密码就可以访问企业的域系统中所有的电脑。

当系统管理员为一位新员工建立一个帐户后，他马上（有复制情况除外）就可以访问网络中允许他访问的任何资源。

而当需要修改密码时，只需要修改一次，整个域都能识别并接受新密码。

把用户与机器帐户及密码集中管理只是一个开始。

首先在NT3.51系统上出现了用户配置文件；在NT4上，域成了集中放置“系统策略”的地方；Windows2000的域可以集中存储DNS信息，并且还提供了“系统策略”的改良版本“组策略”，组策略可以说是整个网络中某种形式的“控制面板”。

当然，并不是一定要有域才能将一些运行Windows系统的电脑组成网络，但是如果在网络中有了域，那么很多事情都会变得非常容易。

Active Directory（AD）域的作用域可以做很多事情。

我只能介绍其中一部分的内容，但这不是一份清单。

这些内容包括：λ * 集中存储用户和密码* 提供一组服务器作为“身份认证”和“登录”服务器，也就是“域控制器”λλ * 对域中的资源维护一个可供搜索的索引，方便人们查找* 允许建立带有不同级别的用户；同时，域还允许创建子管理员λλ * 允许将域细分网络的首要任务是提供服务，它是集中存储文件或数据库、共享打印机以及其它服务的地方，使人们可以通过电子邮件或是其它技术彼此通信。

第二个任务是：安全。

那么在一些保护代措施下会发生两件事情：λ * 身份验证λ * 授权早期的NT系统，从3.1到4都只有一个文件，叫作SAM，也就是Security Accounts Manager 的缩写。

主备域名切换方案简介主备域名切换方案是指在网络应用中，通过配置主域名和备用域名，实现在主域名不可用时自动切换到备用域名，以提供持续的服务可用性和稳定性。

本文将介绍主备域名切换方案的原理和实现方式。

原理主备域名切换方案基于域名解析的原理，通过在域名解析服务商处配置主域名和备用域名的解析记录，当主域名不可用时，域名解析服务商将流量自动转发到备用域名上，实现切换。

DNS解析方式在主备域名切换方案中，一般采用两种常见的DNS解析方式：主机级别和域名级别。

主机级别主机级别的DNS解析方式是指将主域名和备用域名分别解析到不同的主机上，当主域名不可用时，通过改变域名解析配置，将备用域名指向可用的主机，实现切换。

主机级别的DNS解析方式具有灵活性高、管理方便等优点，适用于中小型应用场景。

域名级别域名级别的DNS解析方式是指将主域名和备用域名解析到同一个主机上，通过负载均衡设备或DNS服务器，根据主域名的可用性动态地将流量转发到不同的服务器上，实现切换。

域名级别的DNS解析方式具有自动化、可扩展性强等优点，适用于大型应用场景。

实现方式在实际应用中，根据具体需求和技术栈的不同，可以选择不同的实现方式来实现主备域名切换方案。

通过域名解析服务商实现一种常见的实现方式是通过域名解析服务商提供的高可用解析功能，如腾讯云的DNSPod、阿里云的云解析DNS等。

具体步骤如下：1.在域名解析服务商处添加主域名和备用域名的解析记录，将其指向相应的服务器IP地址。

2.配置主域名的健康检查策略，当主域名不可用时，自动将流量转发到备用域名。

3.定期监测主域名的可用性，并实时更新解析记录，确保切换的实时性。

通过负载均衡设备实现另一种常见的实现方式是通过负载均衡设备（如F5、Nginx等）来实现主备域名切换。

具体步骤如下：1.配置主备域名对应的后端服务器列表，在正常情况下，将流量均匀分配到主备服务器上。

2.设置心跳检测，检测主域名服务器的健康状态，当主服务器不可用时，自动重定向到备用服务器。

这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

二、公司采用域管理的好处1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

6、方便用户使用各种资源。

7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。

并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

9、管理A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。

为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。

B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。

因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。

AD主备域服务器本文档为AD主备域服务器的配置和操作指南。

⒈介绍⑴目的本文档旨在详细介绍如何配置和操作AD主备域服务器，以确保域的高可用性和故障恢复能力。

⑵背景AD主备域服务器是一种实现域控制器高可用性的解决方案。

通过配置AD主备域服务器，可以在主域控制器出现故障时，快速切换到备域控制器，从而确保系统的连续性和可用性。

⒉配置主备域服务器⑴硬件要求在配置主备域服务器之前，首先需要检查硬件要求是否满足。

确保备用服务器具有足够的处理能力、内存和磁盘空间。

⑵安装操作系统在备用服务器上安装相同的操作系统版本，并确保操作系统的补丁或更新与主服务器保持一致。

⑶安装域控制器角色使用域管理员帐户登录备用服务器，并安装域控制器角色。

在安装过程中，选择将服务器添加到现有的域中作为备用域控制器。

⑷配置复制配置备用域控制器与主域控制器之间的复制关系。

通过运行适当的命令或使用Active Directory Sites and Services工具，确保域信息得以复制到备用服务器上。

⑸测试切换功能在主域控制器正常运行时，测试备用域控制器的切换功能。

模拟主域控制器的故障，并验证备用域控制器是否能够正常工作并接管域控制器的职责。

⒊恢复故障⑴主域控制器故障的识别当主域控制器出现故障时，及时识别问题所在，并确保备用域控制器已准备好接管工作。

⑵切换到备用域控制器通过适当的步骤和命令，切换到备用域控制器。

确保备用域控制器能够正常工作，并向客户端提供所需的服务和功能。

⑶故障修复一旦备用域控制器接管了主域控制器的功能，必须尽快修复主域控制器上的故障，并重新将其纳入系统。

⒋监控与维护⑴监控备用域控制器定期监控备用域控制器的性能和状态。

确保备用服务器能够正常工作，并及时发现潜在的故障或问题。

⑵定期备份数据定期备份所有域控制器的数据，包括主域控制器和备用域控制器。

确保备份数据的完整性和可恢复性。

⑶更新和维护及时安装操作系统和应用程序的补丁和更新。

主域控器与备份域控器之间的角色转换平滑过渡：1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制（PDC&BDC）2、再查看一下FSMO（五种主控角色）的owner，安装Windows Server 安装光盘中的Support目录下的support tools工具，3、然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，4、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出。

5、输入？回车可看到以下信息：1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点，服务器，域，角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入：1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，7、这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。

主备域服务器安装指南一、准备工作1.安装两台server2008R2虚拟机;这两台虚拟机需要在不同的存储、不同的物理机上运行;只有这样;两个虚拟机同时宕机的概率会比较小;才能实现互为主备;互相切换..2.两个server2008的用户名administrator密码unis123;关闭防火墙;关闭systemupdate;打开远程访问..3.配置密码策略gpedit.msc4.分别配置两个server的主机名AD-1\AD-2和IP地址注意DNS是互为DNS..二、安装主AD域1.在AD-1上;运行dcpromo2.进入AD域服务安装界面;点击下一步；操作系统兼容性;点击下一步；3.选择在新林中新建域；命名林根域：unissoft-nj4.选择林功能级别：server2008R2；勾选DNS；下一步；5.提示无法创建该DNS服务器的委派;因为这台server没有安装过DNS服务器;忽略警告;选择“是”..6.数据库、配置文件选择默认的C盘;下一步；7.配置AD域账户unissoft-nj/administrator的密码unis123；这个密码不同于之前的系统administrator的密码;之前的administrator及密码是本地密码不是域控用户和密码..8.域控制器信息摘要;下一步；等待DNS安装完成;勾选完成后重新启动..9.安装完成重启系统后;重新登录到AD-1;使用域管理员账户unissoft-nj/administrator和密码unis123登录..10.查看计算机信息;计算机全名AD-1.unissoft-nj;域：unissoft-nj11.查看网络配置;此时的DNS信息被更改为;重新配置DNS信息13.从AD-2服务器上pingunissoft-nj能解析到;证明unissoft-nj主域完成..三、安装备AD域1.将AD-2加入到unissoft-nj域控制器计算机属性—更改---隶属于域：unissoft-nj;确定；2.输入unissoft-nj的用户名administrator和密码unis123；提示加入unissoft-nj成功;需要重启系统后生效..3.完成重启系统后;重新登录到AD-2;使用域管理员账户unissoft-nj/administrator和密码unis123登录..4.查看计算机信息;加入unissoft-nj成功..5.关闭域控防火墙;默认域控安装完成后;域控防火墙是打开的..6.在AD-2上;运行dcpromo7.进入AD域服务安装界面;点击下一步；操作系统兼容性;点击下一步；8.选择现有林---向现有域添加域控制器;点击下一步；9.键入域名：unissoft-nj;下一步；选择域unissoft-nj下一步；10.选择站点默认;点击下一步；检查DNS配置；11.域控制器选项;选择DNS服务器;选择全局编录；下一步;对提示选择“是”12.选择默认的目录C盘13.目录服务还原模式的Administrator的密码;不同于域administrator..设置为Unis123U大写;下一步；14.配置信息摘要;完成后重新启动系统..15.重启后;登录AD-2系统unissoft-nj/administrator;查看服务器管理器；可以看到AD域服务和DNS服务器;说明备AD域安装完成..四、测试AD主备域1.测试：在AD-1上建立用户admin密码unis123开始—程序—管理工具—ActiveDirectory用户和计算机--Users结果：查看AD-2上用户信息;有admin用户..结论：新建用户可以从AD-1正常同步到AD-2..2.测试：在AD-2上建立用户user001user002user003结果：查看AD-1上用户信息;有用户user001user002user003；结论：新建用户可以从AD-2正常同步到AD-1..3.测试：在AD-1上删除用户user003结果：查看AD-2上用户信息;已经没有user003；结论：删除用户可以从AD-1正常同步到AD-2..4.测试：在AD-2上更改admin密码;更改为unis；结果：登录到AD-191使用旧密码unis123登录;无法登陆；使用新密码unis可以正常登陆..结论：更改用户密码可以从AD-2正常同步到AD-1..5.测试：AD-1和AD-2不同情况下;第三台主机设置DNS=unissoft-nj的情况；结果:。

主备域服务器在当今数字化的时代，企业和组织对于信息技术的依赖程度越来越高。

其中，网络系统的稳定运行对于业务的正常开展至关重要。

而主备域服务器作为网络架构中的重要组成部分，扮演着保障系统可靠性和数据安全性的关键角色。

主备域服务器，简单来说，就是为了确保在主服务器出现故障或异常时，备用服务器能够迅速接管服务，从而最大程度地减少业务中断带来的损失。

这就好比在一场接力比赛中，主运动员如果意外摔倒，备用运动员能够立即补上，保证比赛的继续进行。

主服务器通常承担着主要的工作负载，处理日常的业务请求和数据处理任务。

它就像是战场上的先锋，冲锋在前，应对各种挑战。

而备用服务器则时刻处于待命状态，密切监视着主服务器的运行状况，随时准备在需要时挺身而出。

为了实现主备服务器之间的无缝切换，需要一系列的技术和策略来支持。

首先，数据的同步是至关重要的。

主服务器上的关键数据，如用户信息、配置文件、业务数据等，必须实时或定期地同步到备用服务器上，以确保备用服务器在接管时拥有最新、完整的数据。

这就像是给备用服务器提供了一份详细的作战地图，让它在关键时刻能够迅速找到方向。

其次，监控机制也是不可或缺的。

通过各种监控工具和技术，对主服务器的性能指标、系统状态、网络连接等进行实时监测。

一旦发现主服务器出现异常，如 CPU 使用率过高、内存不足、网络中断等，立即触发切换机制，启动备用服务器。

在实际的应用场景中，主备域服务器的配置和部署需要根据具体的业务需求和系统架构来进行。

对于一些对业务连续性要求极高的行业，如金融、医疗、电信等，主备域服务器的配置往往更加复杂和严格。

例如，在金融领域，交易系统的每一秒钟都至关重要，任何的业务中断都可能导致巨大的经济损失和声誉风险。

因此，金融机构通常会采用多重备份、异地容灾等技术手段，确保主备域服务器的高可用性。

而在医疗行业，患者的病历数据和医疗设备的运行状态都需要实时在线，主备域服务器的稳定运行关系到患者的生命安全。