域控制器降级
域控制器降级也就是删除Active Directory服务的过程,即将域控制器降级为成员服务器或独立服务器。当有新服务器接替域控制器的工作或者网络重新规划的情况下,可能就需要执行此操作。
实施域控制器降级需要注意以下事项:
n 如果该域内还有其他域控制器,则该域控制器会被降级为成员服务器;
n 如果该域控制器是域内最后一个域控制器,则该域控制器会被降级为独立服务器;
n 如果该域控制器还担任了“全局编录”,则在实施降级操作前,请先确认网络中还有其他“全局编录”,否则,将影响用户的登录操作。
1、使用域管理员帐号登录该域控制器,依次选择“Start”—“Run”—输入命令dcpromo—单击“OK”按钮,启动“Active Directory Domain Service Installation Wizard”;
2、单击“Next”,提示该域控制器是全局编录服务器,单击“OK”按钮;
3、如果这台域控制器是域内最后一台域控制器,则选择“Delete the domain because this server is the last domain controller in the domain”,降级后,该域控制器会变成独立服务器,否则,该域控制器会降级为成员服务器。单击“Next”按钮;
4、设定降级后的administrator密码,单击“Next”按钮;
5、出现如下“Summary”对话框,单击“Next”按钮;
6、开始降级操作;
7、完成后,单击“Finish”结束;
8、提示需要重启服务器,单击“Restart Now”执行重启操作;
9、至此,域控制器降级操作完成,随后就可以发现,降级后的计算机被移动到了Active Directory的Computer组中;
辅助域控及dns设置
主域控制器 https://www.360docs.net/doc/5a8108172.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.10/24 首选DNS:192.168.1.10 备用DNS:192.168.1.11 额外域控制器 https://www.360docs.net/doc/5a8108172.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.11/24 首选DNS:192.168.1.11 备用DNS:192.168.1.10 安装步骤: 1 安装前,额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成,额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。 一、额外域控制器安装及相关设置 在做额外域控的机器上运行DCPROMO,安装额外域控制器。 安装完毕后,重启。 1、在dcserver主域控器DNS管理界面里 1)选中正向区域的“_https://www.360docs.net/doc/5a8108172.html,“,点右键属性,确认区域类型: “Active Director 集成区域”;更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2)再“名称服务器”标签中,将额外域控制器全域名及IP添加进来 3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4)依次在“https://www.360docs.net/doc/5a8108172.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履,在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务(升级额外域控时未配置DNS服务)安装完毕,打开DNS管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP,备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”,点选DCBAK ->NTDS右击属性,将“全局编录”打勾,点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS地址添加) 至此,主域控与额外域控可负载均衡(应该是这么叫吧),若一个域控损坏,客户端登陆不受影响。 二、主域控制器FSMO角色的迁移
需要注意的域控制器五种错误操作
需要注意的域控制器五种错误操作 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是笔者在这儿要建议大家一个字:等!除了PDC仿真器这个角色以外,其它角
域控服务器迁移步骤(精)
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
Windows server 域控制器 迁移 操作主机
Windows域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中,右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中,键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”。 5. 单击其中要改的选项卡,然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中,右键单击“Active Directory 架构”,然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中,右键单击“Active Directory 架构”,然后单击“操作主机”。
域控制器建立完整教程
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
如何降域(主域控挂掉后的方法)
Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/5a8108172.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的,目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机 默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析
win2003域控制器 升级 迁移到win2008R2详细步骤
win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下: 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2003 Enterprise Edition SP1 提供服务: Domain Control、DNS 完成升级后,增加 Server2008为域控制器 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2008 R2 enterprise 提供服务: Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中
3、对Forest(林)、 Domian(域)和RODC(域控制器)进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具,该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下,复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意:扩展操作在DC2003(域控制器)上进行操作。 开始-运行-CMD,进入D分区的ADPREP目录输入 adprep /forestprep 根据提示,选择”C “,并按下 Enter键继续。(林拓展)
网络管理员需注意的域控制器五种错误操作
管好域控制器对于一个网络管理员来说,是专业性的技术体现。笔者通过多年经验,以及论坛上朋友们的种种方案,总结了域控制器的常见五种错误操作,希望能够与广大技术爱好者共享。 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。所以,笔者认为“预防永远大于急救”。笔者的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,没有发生过任何软件问题。毕竟,对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。
简述Win 2003域控制器的迁移
简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。 说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤: 步骤1.备份DC的安装
(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常 (5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server https://www.360docs.net/doc/5a8108172.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize
AD域的迁移
主域控制器的迁移 现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。 目的:将主域控制器迁移到新的服务器6850上 步骤:1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作: (1)运行dcpromo命令 (3)弹出Active Directory安装向导,点“下一步” (4)这里以默认,点“下一步”
(5)选“现有域的额外域控制器”,点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了) 加入过程中可能会碰到问题,如果有的话 参考https://www.360docs.net/doc/5a8108172.html,/archiver/tid-151189.html https://www.360docs.net/doc/5a8108172.html,/t/20030910/10/2243270.html# 然后到google上去查找! 运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/5a8108172.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0
List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象
域控制器降级操作指南
域控制器降级操作指南 1. Windows Server 2003 域控制器在默认情况下支持强制降级。单击“开始”,单击“运行”,然后键入以下命令: dcpromo /forceremoval 2. 单击“确定”。 3. 在“欢迎使用Active Directory 安装向导”页中,单击“下一步”。 4. 在“强制删除Active Directory”页中,单击“下一步”。 5. 在“管理员密码”中,键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码,然后单击“下一步”。 6. 在“摘要”中,单击“下一步”。 7. 在林中继续存在的域控制器上,对已降级的域控制器执行元数据清除。 如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域,请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用,然后再使用相同的域名将一个新域提升到同一林中。Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。 如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的,则可能必须重新配置这些权限,因为这些组对成员服务器或独立服务器来说是不可用的。如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器,则您不必再配置访问控制列表(ACL)。如果您希望将该计算机保留为成员服务器或独立服务器,则必须转换或替换基于域本地组的任何权限。有关从域控制器中删除Active Directory 后对权限有何影响的更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章。使用 dcpromo /forceremoval 命令后,在继续存在的域控制器上不会删除被降级的计算机的元数据。 将域控制器强制降级后,您必须完成以下任务(如果适用): 1. 从域中删除计算机帐户。 2. 验证DNS 记录(例如A 记录、CNAME 记录和SRV 记录)是否已删除;如果它们仍然存在,则将它们删除。 3. 验证FRS 成员对象(FRS 和DFS)是否已删除;如果它们仍然存在,则将它们删除。 4. 如果被降级的计算机是任何安全组的成员,请将其从这些组中删除。 5. 删除对被降级的服务器的任何DFS 引用(例如,链接或根副本)。 6. 继续存在的域控制器必须占用以前由被强制降级的域控制器所拥有的任何操作主机角色(也称为灵活的单主机操作或FSMO)。有关更多信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章: 使用Ntdsutil.exe 占用FSMO 角色或将其转移到域控制器 7. 如果您要降级的域控制器是DNS 服务器或全局编录服务器,则必须创建一个新的GC 或DNS 服务器,以满足林中的负载平衡、容错和配置设置。[专业建EXCHANGE服务器找plumlee] 8. 当您使用NTDSUTIL 中的删除选定服务器命令时,NTDSDSA 对象(该对象是到您强制降级的域控制器的入站连接的父对象)将被删除。该命令不会删除“站点和服务”管理单元中出现的父服务器对象。如果不使用相同的计算机名将域控制器提升到林中,请使用“Active Directory 站点和服务”MMC 管理单元删除该服务器
如何迁移域控制器+FSMO+5个角色和GC
如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签:2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作: 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。 3. 键入 roles,然后按 Enter。 注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。 4. 键入 connections,然后按 Enter。 5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入 q,然后按 Enter。 7. 键入 transfer role,其中 role 是要转移的角色。要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。例如,要转移 RID 主机角色,键入 transfer rid master。PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。键入 q,然后按 Enter,退出 Ntdsutil 实用工具。
域服务器备份和恢复 图解
域服务器备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows
2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面
如何设置域控制器(图文介绍)
目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
Windows域(AD)迁移方案
域迁移方案 一、事前准备: 先分别建立两个位于不同林的域,内建Server若干,结构如下: https://www.360docs.net/doc/5a8108172.html, ADC02 172.16.1.2/24 https://www.360docs.net/doc/5a8108172.html, EXS01 172.16.1.101/24 https://www.360docs.net/doc/5a8108172.html, ADC01 172.16.1.1/24 其中: https://www.360docs.net/doc/5a8108172.html,: ADC01作为https://www.360docs.net/doc/5a8108172.html,主域控制器,操作系统为Windows Server 2008 R2,并安装有DHCP服务,作用域范围为172.16.1.100/24——172.16.1.200/24。 ADC02作为https://www.360docs.net/doc/5a8108172.html,的辅助域控制器,操作系统为Windows Server 2008 R2 Exs01为https://www.360docs.net/doc/5a8108172.html,的Mail服务器,操作系统为Windows Server 2003 SP2,Exchange 版本为2003 TMG01为防火墙,加入到https://www.360docs.net/doc/5a8108172.html,网域,操作系统为Windows Server 2008 R2,Forefront TMG为2010 Client为加入到此https://www.360docs.net/doc/5a8108172.html,网域的客户端PC,由DHCP Server分配IP https://www.360docs.net/doc/5a8108172.html,:
Ad-cntse为https://www.360docs.net/doc/5a8108172.html,的域控制器,操作系统为Windows Server 2008 R2,为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2 Exs-centse作为https://www.360docs.net/doc/5a8108172.html,的Mail Server,操作系统为Windows Server 2003 SP2,Exchange 版本为2003. 备注:所有的Server均处在同一个网段172.16.1.x/24 二、https://www.360docs.net/doc/5a8108172.html,的User结构: 如图,其中红色圈中部分为自建组别,OA User为普通办公人员组别,拥有Mail账号,admins为管理员群组,Terminal User为终端机用户组别,均没有Mail账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定 三、设定域信任关系: 1、设定DNS转发器: 在https://www.360docs.net/doc/5a8108172.html,域控制器Ad-cntse的DNS管理器设定把https://www.360docs.net/doc/5a8108172.html,的解析交给https://www.360docs.net/doc/5a8108172.html,的DNS,同理,把https://www.360docs.net/doc/5a8108172.html,域控制器ads01的DNS管理器把https://www.360docs.net/doc/5a8108172.html, 的解析交给https://www.360docs.net/doc/5a8108172.html,的DNS。如下图:
域控制器迁移以及修改服务器ip
windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档: 《How to promote a domain controller to a global catalog server》:
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.360docs.net/doc/5a8108172.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30