AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法
AD域服务器配置使用手册
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
windowsAD域故障排除
windowsAD域故障排除AD域故障汇总Q1、客户机无法加入到域?一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。
普通用户登录进来,更改按钮为灰色不可用。
并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。
解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
三、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。
DNS不可用时,也可以利用浏览服务,但会比较慢。
2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。
所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如gdb.local,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。
”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。
加入域时,如果输入的域名为NetBIOS格式,如gdb,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。
而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。
主域控损坏Active Directory转移
手工删除Active Directory 数据三、我们在上一篇博文中已经把实验环境搭建好了,现在万事具备只欠损坏主域控制器,下面我们关掉主域控制器(DENVER)。
如下图所示:先在FIRENZE的Active Directory中把DENVER删除掉,使用“ntdsutil”工具,打开FIRENZE在命令行中输入“ntdsutil”命令后,如果记不清使用什么命令,可以使用?问一下。
使用“metadata cleanup”清理不使用的服务器的对象使用“connections”连接到一个特定域控制器使用“connect to server firenze”连接到自己,使用“quit”退出到上一级菜单中。
使用“select operation target”选择站点使用“list sites”就会显示出所有的站点,我们只有一个站点,这里的站点是用0代表。
使用“select site 0”就是选中站点了。
使用“list domains in site”列出所选站点中的域,只有 一个域,还是用0代表。
使用“select domain 0”选中这个域。
使用“list server for domain in site”列出所选域和站点中的服务器,列出了主域控制器DENVER和额外域控制器FIRENZE,还是用数字0和1代表。
使用“select server 0”就是选中了DENVER,因为我们是在删除主DENVER。
我们想要选的服务器已经选中了,使用“quit”退出到上一个菜单中。
使用“remove selected server”删除所先的对象DENVER,出现了一个确认对话框,选择“是”。
最后使用“quit”命令退出就可以了。
我们打开“Active Directory 站点和服务”下把“DENVER”选中,右击“删除”。
出现一个对话框,选择“是”现在“DENVER”已经没有了,展开site->default-first-site-name->servers,展开FIRENZE,右击“NTDS Settings”点“属性”,勾上全局编录前面的勾,点确定,如图所示:现在把“全局编录”也转到FIRENZE上了。
强制删除多余的域控制器
强制删除多余的域控制器很多企业都碰到过这样的问题:AD域中的某台域控制器由于软件或硬件问题而瘫痪,无法启动。
这时,如果想重新安装这台服务器,就需要先将它从域中删除。
但是,由于该服务器已经不能启动,所以无法使用Dcromo进行删除。
如果简单地从“AD用户和计算机”中删除该域控制器的话,它的信息依然会保留在AD数据库中,客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器,这会给AD的功能和性能带来很大影响。
本文针对这种问题提出了一套完整的解决方案,在利用Ntdsutil工具强制删除或控制器的同时,保证了整个AD域的功能不受到任何影响。
例如,企业AD中的一台Windows Server2003域控制器(DC1),由于硬件问题而瘫痪,无法启动。
企业希望将DC1从域中删除。
在强制删除DC1前,我们需要提前考虑以下问题:1.如果删除的DC是企业当前的一台和AD集成的DNS服务器,要考虑是否需要将DNS服务器,要考虑是否需要将DNS记录迁移到其他DNS 服务器上。
如果进行了迁移,则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。
2.如果删除的域控制器是一台全局编录服务器,要考虑是否全局编录迁移到其他DC上。
3.如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色,要将这些角色重新分配给一台活动的DC。
经过系统分析,发现系统当前状况如下:1.除当前瘫痪的域控制器DC1以外,域中还存在另一台域控制器BAKSRV。
2.DC1担任着域中的所有五个FSMO角色。
3.DC1是域中的惟一的一台全局编录服务器。
4.DC1是域中的惟一的一台DNS服务器,拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器,客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。
对系统进行分析评估之后,在删除DC1之前,必须使BAKSRV担负起DC1以前所担负的所有角色,否则将会造成用户无法登录域,网络资源不可访问等多个严重问题。
企业ad域实施步骤
企业AD域的实施步骤主要包括以下部分,具体长度为500-800字:1. 安装和配置DNS服务:AD域控制器需要依赖于DNS服务来正确解析域和控制器的名称。
这一过程涉及到安装DNS服务器、配置DNS区域和记录,以及安装和配置反向查找等步骤。
2. 安装和配置Active Directory:这是实施AD域的核心步骤,需要安装Active Directory服务,创建域控制器,设置域控的属性,然后加入到域中。
3. 创建用户和计算机账户:在Active Directory中创建相应的用户和计算机账户,并对账户的属性进行必要的设置,如密码策略、安全策略等。
4. 安装并配置网络策略:这一步骤可以用来限制对网络资源的访问,增强网络安全,并确保网络设备的配置符合AD域的要求。
5. 实施备份策略:为了应对可能出现的系统故障或数据丢失,需要实施备份策略,以确保数据的安全。
6. 培训员工:为了让员工熟悉新的AD域环境,需要进行相应的培训,包括如何使用新的网络资源,如何访问网络资源等。
7. 监控和优化:在AD域实施后,需要持续监控网络性能,优化网络环境,确保AD域的稳定运行。
具体步骤如下:1. 安装和配置DNS服务:首先,需要安装DNS服务器,并设置正确的DNS区域和记录。
确保DNS服务能够正确解析域名。
在进行这些步骤时,需要遵循微软官方文档和资源,并参考相关的安全最佳实践。
2. 安装和配置Active Directory:这一步骤需要一定的技术知识,并需要参考微软官方文档和资源。
首先,需要创建一个新的域控制器,并设置正确的DNS和安全设置。
然后,将域控制器加入到现有的Active Directory森林中。
在此过程中,需要保证所有工作站的配置正确,并能够与域控制器正常通信。
3. 创建用户和计算机账户:在Active Directory中创建相应的用户和计算机账户,并设置相应的属性。
需要遵循微软的安全策略和最佳实践,并确保所有账户的安全性。
主域控制器损坏后
主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~本贴说明:....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!!AD、DC说明:.域名:..主域:DC-ISA-NLB-1..副域:DC-ISA-NLB-2.系统:2003企业版故障情况:(真实环境跑完全过程..)..主域崩溃,副域无法正常工作,如:....无法浏览 中 Active Directory用户和计算机,提示无法连接错误;....AD管理项目均报错,组策略.....等;....域用户无法登录;解决方法:(以上是在副域上操作)..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录;..使用命令:ntdsutil.....AD工具..过程:(大概6-8分钟).登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。
建議您登入要指派FSMO 角色的網域控制站。
登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
.按一下[開始],按一下[執行],在[開啟]方塊中輸入ntdsutil,然後按一下[確定]。
.輸入roles,再按下ENTER。
.輸入connections,再按下ENTER。
.輸入connect to server servername,然後按ENTER,其中servername是您要指派FSMO 角色的網域控制站之名稱。
.在server connections提示字元中輸入q,然後按下ENTER。
.輸入seize role,其中role是您要抓取的角色。
主域损坏后辅域升级为主域并清理
主域损坏后辅域升级为主域并清理主域控崩溃,恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时,为了保证业务的正常运转,需要将网络中的额外域控制器升级到主域控制器角色。
我们的网络拓扑如下,单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS,并且互为复制。
我们将通过NTDSUTIL工具来占用dc01的操作主机角色,并且设置DC02为全局编录 .这里将dc01.hisense.local离线来模拟主域控制崩溃。
1.占用操作主机角色(1)在开始-所有程序-Windows Support Tools-命令提示符(2)输入ntdsutil(3)输入roles(4)输入connections(5)输入connect to server dc02.hisense.local(6)输入quit(7)占用域命名主机角色,输入seize domain naming master ,回车,出现对话框,点是从上图可以看出先进行主机角色的传送,当传送不能成功时进行占用。
(8)占用基础架构主机角色,输入seize infrastructure master(9)占用PDC,输入seize pdc(10)占用RID角色,输入seize RID master(11)占用架构主机角色,输入seize schema master(12)输入2次quit,退出ntdsutil,输入netdom query fsmo,查看操作主机角色至此,所有操作主机角色已经到了DC02.hisense.local上了。
2.在DC02上设置全局编录(1)开始-管理工具-Active Directory 站点和服务(2)单击sites-“default-first-site-name”-servers,选择dc02,右键单击NTDS Sites,选择属性(3)在查询策略中,选择default query policy,并选中全局编录。
2008 AD 域服务部署配置 额外域控 adprep命令
选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时,可以选择以下可能的部署配置之一:向域中添加新的域控制器向林中添加新的子域,或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时,用于安装新域树的选项才会出现。
创建新的林下列各部分将详细介绍上述的每个部署配置。
向域中添加新的域控制器如果域中已有一个域控制器,则可以向该域添加其他域控制器,以提高网络服务的可用性和可靠性。
通过添加其他域控制器,有助于提供容错,平衡现有域控制器的负载,以及向站点提供其他基础结构支持。
当域中有多个域控制器时,如果某个域控制器出现故障或必须断开连接,该域可继续正常工作。
此外,多个域控制器使客户端在登录网络时可以更方便地连接到域控制器,从而还可以提高性能。
准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前,必须通过运行Adprep.exe 来准备林和域。
请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。
此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性,并且可以修改对新对象和现有对象的权限。
根据需要为环境运行以下adprep 参数:添加运行Windows Server 2008 R2 的域控制器之前,请在承载架构操作主机角色(架构主机)的林中的域控制器上运行一次adprep /forestprep。
若要运行此命令,您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。
此外,请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中,在承载基础结构操作主机角色(基础结构主机)的域控制器上运行一次adprep /domainprep /gpprep。
解决网络DNS解析错误的方法
解决网络DNS解析错误的方法DNS(Domain Name System)解析错误是指在访问网页或者进行网络连接时,当计算机无法将域名解析为对应的IP地址时出现的问题。
这个错误可能会导致网络连接中断、网页加载缓慢或完全无法访问等影响用户体验的情况。
本文将介绍几种解决网络DNS解析错误的方法,以帮助读者快速解决这类问题。
方法一:刷新DNS缓存DNS解析错误有时可能是由于计算机本地DNS缓存中的数据已过期或损坏所致。
刷新DNS缓存是解决此类问题的简单方法。
在Windows操作系统中,可以通过以下步骤刷新DNS缓存:1. 打开命令提示符。
在开始菜单的搜索栏中键入“cmd”,然后按下回车键。
2. 在命令提示符中,输入以下命令并按下回车键:ipconfig /flushdns3. 稍等片刻,直到屏幕显示“成功地刷新DNS 解析缓存。
”的消息。
4. 关闭命令提示符,重新启动电脑。
在Mac操作系统中,可以通过以下步骤刷新DNS缓存:1. 打开终端应用程序。
可以在“应用程序”文件夹中找到终端。
2. 在终端中,输入以下命令并按下回车键:sudo killall -HUP mDNSResponder3. 输入管理员密码并按下回车键。
4. 关闭终端。
方法二:更换DNS服务器DNS解析错误也可能是由于当前使用的DNS服务器出现问题所导致。
更换DNS服务器可以帮助解决此类问题。
在Windows操作系统中,可以通过以下步骤更换DNS服务器:1. 打开控制面板。
可以在开始菜单中找到控制面板选项。
2. 在控制面板中,选择“网络和Internet”。
3. 点击“网络和共享中心”。
4. 在左侧导航栏中,选择“更改适配器设置”。
5. 右键单击当前使用的网络连接,选择“属性”。
6. 在弹出的对话框中,找到“Internet协议版本4(TCP/IPv4)”,并点击“属性”。
7. 在新弹出的对话框中,选择“使用下面的DNS服务器地址”。
8. 输入新的首选DNS服务器和备用DNS服务器地址。
AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法
AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。
当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。
(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:服务器的安装;主控制器的安装;额外控制器的安装。
接下来我们分步实现······为了更加了解DC和DNS的关系,安装前请先参阅:安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时,可将成员服务器升级为域控制器。
Active Directory 将DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的IP 地址。
在Active Directory 安装期间,在DNS 中动态注册服务(SRV) 和地址(A) 资源记录,这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。
ad域解决方案
AD域解决方案1. 概述AD(Active Directory)域是微软公司开发的一种目录服务,用于在Windows网络中管理用户身份、资源访问和权限控制。
AD域解决方案是一种将AD域部署在企业网络中的方法,可以实现集中管理和控制用户、计算机和其他网络资源的目的。
本文将介绍AD域解决方案的基本原理、部署步骤和一些常见问题的解决方法。
2. AD域解决方案的基本原理AD域解决方案基于一种底层的目录服务架构,其中包括以下关键组件:2.1. 域控制器(Domain Controller)域控制器是AD域中最关键的组件之一,它负责存储和管理用户账户、组策略、安全策略等信息。
每个AD域至少需要一个域控制器来进行运行,并且可以有多个域控制器来提供冗余与负载均衡。
2.2. 域(Domain)域是AD域的逻辑单元,它包含一组用户账户、计算机账户和安全策略。
在域中,用户可以通过他们的账户认证和访问网络资源。
2.3. 组(Group)组是域中的一种容器,可以用来管理和授权一组用户账户的访问权限。
组可以根据不同的标准进行分类,例如按部门、按角色等。
2.4. 组策略(Group Policy)组策略是一种集中管理和应用于域中用户和计算机的安全设置、应用程序设置和其他配置的机制。
通过组策略,管理员可以轻松地定义和实施网络安全策略、应用程序设置和用户配置。
3. AD域解决方案的部署步骤3.1. 规划在部署AD域解决方案之前,需要进行一些规划工作。
例如,确定域的名称、域控制器的数量和位置、组织单位(OU)的结构等。
此外,还需要考虑到网络拓扑、安全需求和对现有系统的影响。
安装域控制器是部署AD域解决方案的关键步骤之一。
在安装过程中,需要选择域控制器的角色、安全选项和其他配置。
安装完成后,域控制器会自动复制和同步域中的用户、组和策略信息。
3.3. 配置域和组织单位在安装完成后,可以使用AD域管理工具配置域和组织单位的属性和策略。
通过配置域和组织单位,可以实现对用户和计算机账户的精细管理和控制。
AD域常见问题解决方法
一、打印机共享设置
在加入AD域后,可能会对原来的打印 机共享设置发生改变,导致原来的打印机 不能多台电脑共享,可按照以下步骤解决:
• (1)确保连接打印机的电脑已经加入AD域,内网一直连上,打印机驱
程正确安装。 • (2)查看连接打印机的电脑的计算机名: 在桌面右击我的电脑属性计算机名,然后记下“完整的计算机名称, 这里的示例是“gdxcc-pc-10-177”
• 点击“网上邻居”在右边面板上点击“整个网络”选择
“Microsoft Windows Network”点击“Xcc” • Xcc就是我们加入AD域后新的计算机工作组,理论上我厂所有入域电 脑都在该工作组上,各用户只需按名称就能找到想要迁移原来本机用 户配置时会对输入法的设置造成影响,可 按以下步骤解决:
• 点击“下一步”选择“连接到这台打印
机”,按一下格式输入计算机名和共享打 印机名:\\计算计算机名\共享打印机名, 注意,前面是两个斜杠,后面是一个斜杠, 示例图如下:
• 点击下一步即可安装共享打印机
二、共享文档的查看
加入AD域后,大家可能发现原来网上 邻居的共享连接已经打不开,造成这样的 原因是AD域会对以前的共享结构发生改变。 加入AD域后,全厂电脑的计算机都在同一 个工作组上,可按以下步骤查看你想要访 问的计算机:
1010点击点击开始开始控制面板控制面板区域和语言选项区域和语言选项选择选择语言语言面板然面板然后点击后点击详细信息详细信息点击后如下图所示只要点击点击后如下图所示只要点击添加添加或或删删除除项则可对用户想要使用输入法进行设置项则可对用户想要使用输入法进行设置1111关于防病毒软件加入ad域后我们会默认安装诺顿杀毒软件企业版以前用户使用的杀毒软件会被卸载
AD域控配置步骤
AD域控配置步骤AD域控(Active Directory Domain Controller)是微软Windows操作系统中的一项重要功能,用于管理和组织网络中的计算机资源和用户。
配置AD域控需要进行一系列的步骤,下面将详细介绍。
第一步:规划和准备在配置AD域控之前,需要进行规划和准备工作。
首先要确定域控制器的硬件需求,如CPU、内存和硬盘空间等。
其次,需要确定域控制器的操作系统,Windows Server版本的选择应根据实际需求和计划。
同时,应确定域名的名称和网络设置,包括IP地址和子网掩码等。
第二步:安装操作系统在确定好硬件和操作系统版本之后,将操作系统安装到域控制器上。
按照操作系统的安装向导进行操作,选择安装类型为“新安装”或“添加/删除 Windows 组件”,然后进行系统的基本配置。
第三步:安装Active Directory域服务角色安装完操作系统后,需要安装Active Directory域服务角色来配置AD域控。
在“服务器管理器”中,单击“角色”右侧的“添加角色”链接,然后在“添加角色向导”中选择“Active Directory 域服务”角色,按照向导的指示完成安装过程。
第四步:创建新的域或加入现有域创建新的域是指在域控制器上创建一个新的域,而加入现有域是指将域控制器连接到一个已经存在的域中。
根据实际需求选择其中一种方式进行操作。
如果选择创建新的域,需要执行以下步骤:1. 打开“服务器管理器”,在左侧导航栏中单击“工具” -> “Active Directory 用户与计算机”。
2.在“活动目录用户和计算机”控制台中,右键单击“域”节点,然后选择“新建域”。
3.在“新建域向导”中,选择“新建林”或“新建树”或“现有林”或“现有树”,然后按照向导完成域的创建。
如果选择加入现有域,需要执行以下步骤:1. 打开“服务器管理器”,在左侧导航栏中单击“工具” -> “Active Directory 用户与计算机”。
AD域、DNS分离+额外域控制器安装,及主域控制器损坏解决方法
A D域、D N S分离+额外域控制器安装,及主域控制器损坏解决方法-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIANAD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。
当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。
(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)huanjing.png对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:1.DNS服务器的安装;2.DC主控制器的安装;3.DC额外控制器的安装。
接下来我们分步实现······为了更加了解DC和DNS的关系,安装前请先参阅:/zh-cn/library/cc739159(v=ws.10)安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。
从AD中删除损坏的域控制器.doc
首先要建立信任关系(即用来连接的凭据)
才能连接到dc,连接后返回选择操作对象状态(Connect to server服务器的FQDN,注:设置好DNS,以便域名解析)
首先选择损坏的DC所在的站点
然后在该站点中选择损坏的DC所在的域
广东科学技术职业学院
计算机工程技术学院(软件学院)
实验报告
专业计算机网络技术班级成绩评定______
学号56姓名梁钧皓(合作者____号____)教师签名龚发根
实验三题目从AD中删除损坏的域控制器第周星期第节
一、实验目的与要求(此栏实验前由老师填写)
在实际工作中,企业活动目录中的DC有可能出现问题,比如:DC硬件损坏、DC无法正常工作,这时就要对活动目录数据库进行维护
1)在字符界面下先运行ntdsutil,进入roles状态
2)然后运行select.operations.target进入选择操作对象状态。
方法与前面一样,只不过这次是选择一台准备成为相应操作主机角色的DC
3)再依次运行seize指令夺取五种操作主机角色
4)最后返回,退出nt置其它完好的DC为GC
三、实验步骤(此栏实验前由老师填写)
假设london计算机是nwtraders.msft林根域的第一台DC,并把denver配置成该域的一台额外域控制器。
现假设出现了如下两种情况,手上又没有有效的备份:
第一:london计算机硬件损坏,请你对活动目录进行维护,保证活动目录正常工作。
第二:london计算机无法正常工作,但还能进行活动目录还原模式,请你对活动目录进行维护,保证活动目录正常工作。
设置好dns以便域名解析首先选择损坏的dc所在的站点然后在该站点中选择损坏的dc所在的域再从所选站点和域中选择已经损坏的dc服务器返回到metadataclean状态利用remoreselectedserver删除损坏的dc在备份域dc上打开ad用户和计算机从域控制器ou中删除损坏的dc把备份域dc提升为主控在备份dc上利用ntdsutil夺取fmso操作主机角色在字符界面下先运行ntdsutil进入roles状态然后运行selectoperationstarget进入选择操作对象状态
域控制器错误及解决方法
域控制器错误及相关解决办法1、用户帐户被意外锁定,并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考:/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时,可能会发生此问题。
解决方案若要解决此问题,请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。
若要删除 W32.Randex.F 蠕虫病毒使用扫描。
有关如何执行病毒扫描或如何获取最新的病毒定义的信息,请参阅您的防病毒软件文档或与制造商联系。
2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考:/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时,可写域控制器将执行检查以确定是否允许此操作。
如果不允许此操作,是将返回错误代码。
这是预期的行为。
但是,不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。
安装此修补程序后,服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。
在其他的方案中仍被记录该事件。
3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考:/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。
若要防止 Windows 操作系统和第三方客户端使用弱加密算法,以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。
主域故障的解决方法
主域控制器损坏后,备份域控制器抢夺五种角色在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
________________________________________Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC(全局编录)重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色(又称FSMO):架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作,具有不同的功能:架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC:向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。
只有一个服务器执行此任务。
在创建安全主体(例如用户、组或计算机)时,需要将RID 与域范围内的标识符相结合,以创建唯一的安全标识符(SID)。
每一个Windows 2000 DC 都会收到用于创建对象的RID 池(默认为512)。
ad域解决方案
AD 域解决方案1. 介绍Active Directory(AD)是一种由微软开发的目录服务,用于管理网络中的用户、计算机和其他资源。
AD 域是基于 AD 的一种架构,它提供了一种集中管理和控制用户身份、访问权限和策略的方式。
本文档将介绍 AD 域解决方案,包括其背景、优势以及实施步骤。
2. 背景在传统的网络环境中,每个服务器或应用程序通常都有自己的用户数据库和身份验证系统。
这种分散的用户管理方式存在一些问题,比如用户需要记住多个用户名和密码、管理员需要单独管理每个系统的用户等。
为了解决这些问题,AD 域应运而生。
AD 域的核心思想是将所有用户、计算机和其他网络资源集中管理。
用户只需要在 AD 域中创建一个帐户,就可以访问域中的所有资源,而不需要为每个资源都分别创建用户帐户。
管理员可以通过 AD 域的集中管理工具来管理用户、授权和策略,大大简化了用户管理和权限控制。
3. 优势3.1 集中管理AD 域提供了一个集中管理的框架,管理员可以在一个地方管理所有用户、计算机和其他资源的身份验证和访问权限。
这样可以大大简化用户管理和权限控制,提高操作效率。
3.2 单一登录用户只需要在 AD 域中创建一个帐户,并使用统一的登录认证,就可以访问域中的所有资源。
这样可以减少用户记忆多个用户名和密码的负担,提高用户体验。
3.3 安全性AD 域提供了强大的安全功能,包括密码策略、访问控制和安全审计等。
管理员可以根据实际需求设置密码复杂度要求、访问控制策略,以及监控和审计用户的操作,从而提高网络安全性。
3.4 伸缩性AD 域可以根据组织的需求进行扩展和伸缩。
管理员可以添加新的域控制器来增加系统的容量和性能,同时可以使用跨域信任等功能来与其他 AD 域进行集成和访问控制。
4. 实施步骤4.1 规划在实施 AD 域解决方案之前,需要进行规划。
主要包括确定域的名称和结构、定义用户和组织单位的组织结构、确定域控制器的数量和位置等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。
当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。
这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。
(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。
先安装DC在安装DNS的话,需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS 得到DC向DNS注册的SRV记录,Cname记录,NS记录。
那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤:服务器的安装;主控制器的安装;额外控制器的安装。
接下来我们分步实现······为了更加了解DC和DNS的关系,安装前请先参阅:安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。
Active Directory 将 DNS 作为域控制器的位置机制,使网络上的计算机可以获取域控制器的 IP 地址。
在 Active Directory 安装期间,在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录,这些记录是域控制器定位程序 (Locator) 机制功能成功实现所必需的。
要在域或林中查找域控制器,客户端将在 DNS 中查询域控制器的 SRV 和 A DNS 资源记录,这些资源记录为客户端提供域控制器的名称和 IP 地址。
在这种环境中,SRV 和 A 资源记录被称为定位程序 DNS 资源记录。
(这里说明需要DNS支持)向林中添加域控制器时,将使用定位程序 DNS 资源记录更新 DNS 服务器上主持的 DNS 区域,同时标识域控制器。
为此,DNS 区域必须允许动态更新 (RFC 2136),同时,主持该区域的 DNS 服务器必须支持 SRV 资源记录 (RFC 2782) 才能公布 Active Directory 目录服务。
(这在安装DNS过程中是需要注意的一点)如果主持权威 DNS 区域的 DNS 服务器不是运行 Windows 2000 或 Windows Server 2003 的服务器,请与您的 DNS 管理员联系,确定该 DNS 服务器是否支持所需的标准。
如果服务器不支持所需标准,或者权威 DNS 区域不能被配置为允许动态更新,则需要对现有DNS 结构进行修改。
(这个也是很重要的一点这里需要更改“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”,这在接下来会提到)要点用来支持 Active Directory 的 DNS 服务器必须支持 SRV 资源记录,定位器机制才能运行。
建议安装 Active Directory 之前 DNS 结构应允许动态更新定位程序 DNS 资源记录(SRV 和 A),但是,您的 DNS 管理员可以在安装后手动添加这些资源记录。
安装 Active Directory 后,可在下列位置中的域控制器上找到这些记录:systemroot\System32\Config\(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”)另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”:图上标志的两点可看出它们是DC+DNS先后循序的要求和解决方法。
DNS服务器的安装1.安装DNS,需要给服务器指定静态IP地址,如下:这里要注意DNS要指定给DNS-srv 服务器本身IP,默认网关可以不用填写。
2.接下来安装域名系统(DNS)服务,先挂载WIN2003安装镜像,按照下边菜单选择“添加或删除应用程序”3.按照下图指向,选择“域名系统(DNS)”服务,点击确定。
4.完成后,可在“管理工具”中看见DNS服务了。
5.打开DNS服务,右键选择“配置DNS服务器”。
6.下一步7.正向解析就是指从域名解析到IP,反向就是IP到域名的解析。
这里我们选择第二项,正反向解析都做一下。
8.区域名称就是你想要定义的域名9.这里需要注意一下,请选择“允许非安全和安全动态更新”,因为接下来DC的安装需要动态更新的支持,当然我们可以选择“不允许动态更新”,我将会在接下的安装中更改更新设置。
(这在之前的参阅里边有提到过)10.接下来创建反向解析11.反向解析其实是需要一个一个填写的,但是很耗时间,我们一般填入子网段就可以,这里也是要求填入网段。
12.这里和之前正向解析情况一样,之后我们会改成“允许非安全和安全动态更新”13.在弹出的窗口中设置NDS的转发器,在转发器中输入“和“(谷歌提供的DNS)”(在该DNS服务器中无法解析的域名,该DNS服务器可以转发给其他指定的DNS服务器上进行解析,如向ISP(互联网服务提供商)的DNS服务器转发)14.我们建立好正反向解析后,接着在区域中添加主机记录,这里是正向解析做好主机添加后的情况15.右键“正向查找区域”,新建主机(A记录)16.名称可以任意输入,显示的FQDN就是提供DNS服务的域名,另外我们也可以选择同时创建相关的指针(PTR)记录,这样反向解析也会同时自动生成,我们这里没有选择,接下来我们会手动创建反向解析17.反向解析创建和正向解析创建的方法一样,后边指定主机IP和主机名就可以了,我们可以选择“浏览”以查看并指定我们需要的正向解析主机名18.选择好了,确定19.这样我就创建好正反向解析了,然后我们启动nslookup解析工具来验证我们创建DNS 解析的正确性20.如下情况说明我们创建成功21.另外我们还需要更改正向查找区域的属性中的“起始授权机构SOA”和“名称服务器”用以支持DNS区域被配置成“允许动态更新”生效。
这在声明中也有提到过。
DNS-setup2922.在域属性中浏览指定的SOA也就是主授权机构,名称服务器也做相应的指定。
至此,我们的DNS服务器配置完毕,接下来我们创建DC 主控制器DC主控制器的安装1.之前我们已经在DNS-srv服务器上安装好了DNS(说的好拗口,早知道就不起这个容易混淆的名字了),接下来我们开始在AD-zhu上安装主域控制器,先查看下主机情况2.确定在该主机上可以正常解析到DNS服务器3.在运行中输入“dcpromo”确定启动AD安装向导4.选择建立“新域的域控制器”5.这个新域建立在新的林中6.输入之前我们新创建的DNS全名7.这里出现的NetBIOS域名是向导默认通过你指定的DNS全名同时命名的NetBIOS域名,用以兼容早期Windows版本的用户来识别新的域。
8.选择默认安装位置,也可参考提示选择不同的保存位置以提高性能9.默认10.到这里就出现了之前我们一直在以的动态DNS更新支持,我们可以在正向查找区域的属性里更改动态更新的安全性,改成“非安全”即为支持动态更新。
至于反向可改可不改,因为DC的安装只要求正向解析,所以之前的反向解析也可不做,之后也可以通过手动做反向解析11.通过更改过后,重试DNS诊断通过12.根据实际生产情况选择兼容性13.设置一个还原模式密码14.这里会显示我们即将安装的服务器配置摘要,如果感觉有些选项不正确,可以点击上一步进行更改,确认无误,请下一步15.这时系统会自动配置你的DC,耐心等待结束16.重启完成DC的配置17.同时,我们可以在DNS-srv主机上刷新查看DNS记录,发现多了SRV 和 A DNS 资源记录,这是DNS用以定位DC的资源记录18.重启过后,在AD-zhu服务器上我们会发现AD管理器,说明安装完成19.查看系统属性,发现计算机名称有了的后缀,更说明创建成功DC额外控制器的安装1.安装完成主域控制器后,接下来我们再继续安装额外控制器,首先查看系统信息,IP地址也是静态指定的,另外顺便用nslookup检查一下与DNS服务器的连接情况2.和安装主控制器一样,我们也通过dcpromo启动AD安装向导3.选择现有域的额外控制器类型4.输入主域控制器的用户名密码和主域控制器名,下一步等待检测完成5.你可以直接输入主域控制器名,或者浏览存在的域控制器6.同样默认目录,下一步7.设置还原模式密码8.这时额外控制器开始从主域控制器复制文件和服务9.重启后也能够看见AD管理器出现了10.同样检查一下系统信息,查看是否成功添加11.另外,在DNS-srv服务器上也能看见相关解析记录也被注册了进去12.至此,额外控制器也安装完毕,之后我们会模拟主域损坏了改怎么解决的情况主域损坏,解决办法之前我们已经将所需要的环境部署完毕,接下来我们来进一步处理灾难情况下主DC损坏,如何使额外DC取代主DC担负起活动目录的职责。
环境状况如下图,AD-zhu意外损坏,而DNS-srv、AD-fu正常运行,客户端用于检测AD-fu是否成功取代AD-zhu。
1.首先我们来模拟一下灾难环境:让AD-zhu关机不在启动,之后不在出现在实验环境中。
2.在AD-fu额外控制器上打开命令提示符,输入ntdsutil启用工具,包含的命令内容可使用“”查看3.输入“metadata cleanup”进入清理模式,并连接到自身,当然也可以连接到其他命名方法。
4.连接到特定的域控制器后,会退到上一级,使用“select operation target”选择站点,服务器,域,角色和命名上下文5.首先列出存在的站点列表这里只存在一个站点,用“0”表示6.我们选择这个站点“select site 0”,并列出包含在这个站点中的域7.这个站点中只包含了一个“funsion”域,也是用0表示的8.选择这个域,并列出所选域和站点中的服务器9.这里列出了我们环境中存在的两个服务器。