Windows Server 2003环境下域控制器挂掉后的处理步骤

Windows 2003 server 域控制器坏掉后(FSMO强占)--实践文章导读：FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO只有在DC上才有，但不是每个DC都有，下面先简单解释下这5种角色存在的位置和作用：Schema master (架构主机）Domain naming master (域命名主机）PDC Emulator (PDC 仿真器）RID Master （RID主机）Infrastructure Master (基础结构主机）第1和第2个角色在林中只出现一次，也既是说在整个森林只有一台DC是具有这个角色（森林级别的角色）后面3个角色在域中只出现一次，也既是说在整在域中只有一台DC是具有这种角色（域级别的角色）这5种角色可以在一台DC上全部出现，也可以分布其他的DC上，来减轻DC的负荷，使整个域运行的更高效。

当你在建立第一个域的时候是一个全新的森林全新的域，那么这5种角色会在你的第一台DC上，当你建立域辅助主控也就是说额外控制器时，这台额外在默认情况下是不会具有任何一种角色，除非你手动把部分角色转移或强占到这台额外DC上，因为在同一个域，这些角色只能出现一次，当你转移后或强占后，那么原来的那台DC就没有了那个角色，当然就不能担当这个角色所起所有功能和作用。

所以，当某一台拥有某些角色的DC宕机之后，这个域会出现很多问题，特别是PDC主控坏掉起不来的时候，那么整个域的身份验证将变的不可用，如果Schema master不可用，那么在安装exchange服务器的时候将不能进行森林和域的拓展，等等，总之这5个角色是非常重要，除了 infrastructure master 这个角色是这5个中最无关紧要的角色，当只有一个域或森林而且所有的DC都是GC的时候，这个角色根本就没用，当然我们最好是使它为可用，来保证我们的域的完整行。

用户环境描述：用户现有Windows2003域控制器两台，两台域控制器上分别安装有DNS服务器，共同维护现有活动目录集成区域。

现在存在的问题和要求：问题：用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定，现在需要对主域控制器进行重新安装系统以解决这个问题。

要求：因为域控制器上存储有大量用户帐号信息，所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。

同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产生影响。

解决方案：主要步骤：1.备份现有主域控制器和备份域控制器系统2.检查和配置活动目录集成的DNS区域3.把GC（全局编录）移置到额外域控制器上4.转移域里的5种角色5.在主域控制器上运行DCPROMO删除AD，额外域控制器被提升为主域控制器6.删除AD成功后，重新安装Windows2003，再运行DCPROMO安装AD，将该计算机配置成为本域中的额外域控制器。

7.在新安装的服务器上安装并配置DNS服务器8.测试系统详细步骤：1.备份现有主域控制器和备份域控制器操作系统1)准备一张包含GHOST8.3程序的可引导光盘2)进入服务器BIOS更改服务器引导顺序，将光盘放在启动设备的第一位。

3)启动电脑到DOS状态4)启动ghost，如下图，依次点击local\Partition\ToImage5)下面是选择要备份的分区，保存的位置和文件名选择镜像文件保存的位置6)选择压缩压缩方式（如下图）：2.检查和配置活动目录集成的DNS区域1)检查主域控制器DNS配置首选DNS应该设置为辅助域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全2)检查辅助域控制器DNS配置首选DNS应该设置为主域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全3.把GC（全局编录）移置到额外域控制器上1)使用域管理员帐户登陆到主域控制器上2)请单击“开始”，指向“设置”，单击“控制面板”，双击“管理工具”，然后双击“ActiveDirectory站点和服务”。

域控制器降级基础知识如果您通过使⽤ Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引⽤，然后再使⽤相同的域名将⼀个新域提升到同⼀林中。

Windows 2000 ⽀持⼯具中包含的 Replmon.exe 或 Repadmin.exe 之类的⼯具可帮助您确定是否发⽣过端到端复制。

Windows 2000 SP3 及更早的全局编录服务器删除对象和命名上下⽂的速度要明显⽐ Windows Server 2003 慢。

Windows Server 2003 域控制器1. Windows Server 2003 域控制器在默认情况下⽀持强制降级。

单击“开始”，单击“运⾏”，然后键⼊以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使⽤ Active Directory 安装向导”页中，单击“下⼀步”。

4. 在“强制删除 Active Directory”页中，单击“下⼀步”。

5. 在“管理员密码”中，键⼊您要为本地 SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下⼀步”。

6. 在“摘要”中，单击“下⼀步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执⾏元数据清除。

如果您通过使⽤ Ntdsutil 中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引⽤，然后再使⽤相同的域名将⼀个新域提升到同⼀林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下⽂的速度要明显⽐ Windows Server 2003 慢。

如果在删除了 Active Directory 的计算机上的资源访问控制项 (ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独⽴服务器来说是不可⽤的。

既然要写一个完整的教程就从什么都没有的时候写起吧！一、安装windows 2003 Server的操作系统。

最好使用 Enterprise企业版的，现在应该是sp2的版本了，而且一定要带R2。

带有许多非常不错的功能哦。

为了保证域控制器的稳定，强烈建议安装原版，优化的会给你带来许多莫名其妙的问题。

安装开始后，最初屏幕会提示按F6键以便安装第三方的SCSI或RAID驱动，如果你的磁盘认不出来，就需要在这个阶段进行安装。

截图如下：全新安装需要给磁盘分区，建议这分出C区即可，别的可以装完系统后再做，这样比较快。

注意无论怎么分，系统都会在最后自动留出8M空间，这是必须的（好在现在空间不值钱，呵呵）。

截图如下：磁盘格式务必使用NTFS，别和我提FAT，不是一个级别的东西，啥啥都不支持。

截图如下：服务器连接数的默认设置是5，注意这里的连接指的是并发连接，设大一点没关系，微软不找你的麻烦就行了。

截图如下：计算机的名称建议采用微软推荐的命名方式：**-***。

连接线前面可以是单位或部门的缩写，后面是具体机器名的缩写。

当设备日益增多时，这种命名方式会给你带来非常多的便利。

截图如下：典型网络设置是自动从DHCP服务器获取的。

因为服务器的IP地址不应该是动态分配的（呵呵，领导找不到，乐就大了），所以这里要选择自定义设置，截图如下：选择Internet协议TCP/IP这一项的属性。

注意，因为这台机器要作为第一个域控制器，这里的DNS要设置为本机的IP地址或是127.0.0.1 ，网关我就不写了，但你的要设置正确，不然DNS的递归测试会失败。

至于访问外网的事不用担心。

后面就会讲到。

截图如下：接下来的界面会询问你加入工作组（默认），还是加入域。

因为正在安装的就是第一台域控制器，所以这时还没有域可以加入，直接点击下一步。

截图如下：这之后就应该很顺利的安装完成并自动重启了。

你会看到windows 2003的登录界面。

输入用户名administrator以及安装时设定的密码，进入系统。

windows2003 服务器版server 如何建域，退域。

图文详解2010-11-28 12:21:58| 分类：计算机类| 标签：组建2003域 win2003服务器 ad 安装域删除域|字号大中小订阅“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

安装域控制器的过程就是安装Active Directory 的过程。

删除域控制器的过程就是删除ActiveDirectory 的过程。

操作要点：“开始| 管理工具| 配置您的服务器向导”，在“服务器角色”中选择“域控制器(Active Directory)”，如果该计算机不是域控制器，则启动“Active Directory 安装向导”后会安装域控制器；如果该计算机已经是域控制器，则会删除域控制器。

操作详解：一、安装域控制器的条件：1、已安装了Windows Server 2003 操作系统；2、服务器上至少要有一个NTFS 分区；3、一个DNS 域名；如果网络中有多个域，各个域名不能重复；4、一个DNS 服务器；负责域名的解析，用于定位域控制器的位置，多个域控制器可共用一个DNS 服务器。

二、域规划：建立域控制器时应该先进行规划，明确该域控制器所管理的域，还需要明确各域之间的关系，这样才不会造成混乱。

在安装活动目录过程中，有两步的选择最重要，如下图：600)makesmallpic(this,600,1800);"> 600)makesmallpic(this,600,1800);">在建立域控制器时，有以下几种情形：1、建立网络中的第一个域选项1：新域的域控制器；选项2：在新林中的域。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

Win2003 server额外域控不能单独工作的问题当主控制器关掉，额外域控制器并不能充当域控制器角色，客户端无法进入域，打开服务器系统事件查看器，可以根据上面的报错更快的知道那些地方设置有问题，我这次遇到的情况是服务器系统事件查看器显示错误事件ID 1030 1058。

处理方法如下：一．检查AD设置1. 查看域控DNS地址，主域控的首选DNS地址为本身IP地址，备用DNS地址为额外域控的地址，相应的，额外域控的首选DNS为本身，备用DNS设为主域控的IP地址。

2. 依次在主域和额外域控上打开DNS管理介面,对正向查找区域“_”,“”.反向查找区域“xx.xx.xx.* subnet”属性进行查看，确定设置如下，如不是，则进行修改3 在主域打开“Active Directory站点和服务”，点选额外域DC属性，查看全局编录是否打勾三．核实Netlogon 、FRS和DFS 服务已启动1. 单击“开始”，指向“管理工具”，然后单击“服务”。

2. 在“服务”列表中，单击“Distributed File System”服务，“File Replication Service“服务和Netlogon 服务。

验证“状态”列下的值是否为“已启动”。

验证“启动类型”列下的值是否为“自动”。

如果“状态”值或“启动类型”值不正确，请按照下列步骤操作：a. 右键单击“Distributed File System”服务，“File Replication Service“服务和Netlogon 服务，然后单击“属性”。

b. 在“启动类型”列表中，单击“自动”。

c. 在“服务状态”区域中，如果未启动服务，单击“启动”。

d. 单击“确定”。

四．检查Sysvol 文件夹的内容和权限SYSVOL是用来存储域公共文件服务器副本的共享文件夹，例如我们用得最多的组策略设置、脚本等都是存在这个共享目录中的。

如果组织内有多台域控制器，那么它们就在域中所有的域控制器之间通过FRS服务相互复制。

一、降域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”。

2. 如果不成功，则单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval强制降级，我们的服务器属于强制降级操作3. 单击“确定”。

4. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

5. 如果您要删除的计算机是全局编录服务器，请单击消息窗口中的“确定”。

6. 在“删除Active Directory”页中，确保已清除“这个服务器是域中的最后一个域控制器”复选框，然后单击“下一步”。

7. 在“网络凭据”页中，键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称，然后单击“下一步”。

8. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

9. 在“摘要”页上，单击“下一步”。

10. 重启计算机，降域成功。

二、升域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:2.操作形态兼容性模板：这里是一个兼容性的要求，直接点击“下一步”:3.域控制器类型：在这里有新域的域控制器和现有域的额外域控制器两个选项，由于这是新建的第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:4.创建一个新域：有创建一个新的在新林中的域、在现有域树中的子域、在现有的林中的域树三个选项，因为是第一台域控，所以选择“在新林中的域”，点击下一步5.新的域名：在这里我们要指定一个域名，我在这里指定的是，输入新建域的域名，我们将新的域起名为，点击下一步BIOS域名：TARADIO，点击下一步7.数据库和日志文件文件夹：在这里要指定Active Directory数据库和日志的存放位置，采取默认，点击下一步8.共享的系统卷：c:\WAIDOWS\SYSVOL, 点击下一步9.DNS注册诊断：这里有三个选项，第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

在WINDOWS 2003 SERVER上利用域服务器设置管理域用户与计算机的相关操作第一步：安装WINDOWS 2003 SERVER，打补丁，安装防病毒软件，并设置IP地址第二步：在WINDOWS 2003 SERVER添加域服务器1、打开“管理您的服务器” ，选择“添加或删除角色”2、在弹出的“预备步骤”中单击“下一步”3、在“服务器角色”中选择“域控制器（Active Directory）”4、在“选择总结”中单击“下一步”5、在“Active Directory安装向导”中单击“下一步”6、“在操作系统兼容性”中单击“下一步”7、在“域控制器类型”中选择“新域的域控制器”8、在“创建一个新域”中选择“在新林中的域”9、在“新域名”中输入你所建域的名称，也可以是“teacher”“Stu”等等。

10、在“NetBIOS域名”中自己命名NetBIOS域名11、“在数据库和日志文件文件夹”中单击“下一步”12、在“共享系统卷”中单击“下一步”13、在“DNS注册诊断”中单击“下一步”14、在“权限”中单击“下一步”15、在“目录服务还原模式的管理员密码”中输入自行设置的还原密码16、在“摘要”中单击“下一步”17、这时出现下面的界面，系统开始配置Active Directory，并提示插入WINDOWS2003 SERVER安装盘，需要一点时间18、安装完成后显示出下，单击“完成”19、显示“此服务器现在是域控制器”，单击“完成”20、这时，重启计算机。

回到“配置您的服务器向导”，你会发现其中多了“域控制器（Active Directory）”至此，第二步工作完成。

第三步：在域控制器中批量生成用户1、在EXCEL中为每个学生生成一个用户名和密码。

说明：a) WINDOWS 2003 SERVER默认密码要求比较高，如果要给学生设置比较容易记的密码，需要事先更改WINDOWS 2003 SERVER中的设置，具体办法如下：“开始”—“程序”—“管理工具”—“域安全策略”，打开“安全设置”选择“账户策略”—“密码策略”，将其中的“密码必须符合复杂性要求”禁用；并修改“密码长度最小值”。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

Server2003主域控制器损坏后，备份域控制器抢夺五种角色一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master二、环境分析有一台主域控制器，还有一台额外域控制器。

(操作系统都是server 2003)现主域控制器（DC- ）由于硬件故障突然损坏，事先又没有 的系统状态备份，没办法通过备份修复主域控制器（DC- ），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to server DC-02select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

1、域控制器的创建，域控制器的创建是以后其他工作的基础，在安装win2003之后创建的，win2003安装后首要配置网卡的ip地址，内网：ip地址192.168.0.1 掩码255.255.255.0 网关（空）DNS 192.168.0.1 192.168.0.2（第二个域控制器地址）外网：ip地址101.195.10.6 掩码255.255.255.0网关101.195.10.210DNS 101.195.10.6 101.195.10.7（第二个域控制器地址）Ip地址配置完成后开始创建域控制器：“开始”—“程序”—“管理工具”—“配置您的服务器向导”2、在欢迎窗口中直接点击“下一步”；3、“配置步骤”中点击“下一步”；4、配置向导会检测本机河网络中的配置，如果服务器中的两个网卡有其中一块没有插入网线，向导会有警告提示，但不会影响后续的配置，可以直接“继续”通过；5、如果是配置群集中的第一个域控制器，在单选中要选择“第一台服务器的典型配置”；6、在“AD域名”的配置中，可以根据管理员自己的喜好填写域名如，“apple.local”；7、Netbios不用改动，用系统默认的名称即可；8、“转发DNS查询”中，推荐选择“否，不转发查询”；9、“选择总结”中直接“下一步”通过，并在“服务器向导”中“确定”重新启动计算机；10、配置NAT Internet连接时要特别注意，此处要选择外网的网卡名称，并去除防火墙保护的选项，此项如果选择会在，以后的其他计算机加入域时，造成麻烦；11、点击“完成”，结束路由和远程访问的配置；12、如果win2003的安装盘不在光驱内或盘符有改动，会有“插入安装盘”的提示；13、“服务器配置过程”中每个配置项，都有绿色的标记标示通过，点击“确定”通过；14、随后的服务器向导会提示“此服务器现在已配置好”，点击“完成”，标致着域控制器已经配置完成，接下来，要配置一名“域用户”角色；15、在“开始”—“程序”—“管理工具”—“Active Directory用户和计算机”项中配置；16、右键点击左栏中的“Users”，“新建”—“用户”；17、填写用户的姓名和登录名后，点击“下一步”；18、用户名的密码设置必须要复杂，否则，无法通过，去除“用户下次登录时更改密码”的选项，推荐选择“用户不能更改密码”和“密码永不过期”两项；19、用户创建“完成”后，要选择用户所属的组群；20、右键点击新建用户的名称，在用户“属性”中选择“隶属于”选项卡；21、在“添加”按键处，添加两个组群，“Domain Admins”和“Enterprise Admins”；至此，域控制器和域用户安装配置结束，可以进行群集的安装了。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

1.重新启动域控制器。

2.在启动菜单中按F8 键，然后单击Directory Services Restore Mode（目录服务还原模式）。

3.如果存在多种安装，请选择适当的一种，然后在登录提示符下以管理员身份登录。

4.启动命令提示，然后键入ntdsutil.exe。

注意：要获取可在Ntdsutil 提示符下使用的命令列表，
请键入?。

5.在Ntdsutil 提示符下，键入files。

6.在“文件维护”提示符下，使用以下两个过程之一或同时使用这两个过程：
o要移动数据，请键入move db to %s，其中%s是要移动的数据库所在的驱动器和文件夹。

o要移动日志文件，请键入move logs to %s，其中%s是要移动的日志文件所在的驱动器和文件夹。

7.要查看日志文件或数据库，请键入info。

要验证位于新位置的数据库的完整性，请键入
integrity。

8.键入quit，然后键入quit以返回到命令提示符。

9.以普通模式重新启动计算机。

注意：移动数据库和日志文件时，必须备份域控制器。

如果您没有及时按F8 键来选择安装方法，则请执行下列操作：
1.以管理员身份登录，在“控制面板”中双击系统，然后单击高级选项卡。

2.单击“启动和故障恢复”，然后验证是否选中Display list of operating systems for XX
seconds（将操作系统列表显示XX 秒钟）复选框。

3.重新启动域控制器，然后按F8 键。

windows 2003 域控制器的备份与恢复windows 2003 域控制器的备份与恢复在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

在这里，我为了节省时间，就仅仅备份一下系统数据了:在上图的左下角，“备份媒体或文件名”里可以选择备份的路径，并且支持网络备份的。