域控制器修复过程

域控制器修复过程第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象通过重新安装进行恢复的步骤和创建新DC的步骤相同。

要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。

理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory站点中；清理操作如下所述。

步骤2和步骤3是在阅读本文时假设您已具备的知识。

有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。

清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：1.在命令行中，键入ntdsutil。

2.在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。

3.现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

4.在metadata cleanup提示符下键入connections，然后按Enter键。

5.键入connect to server <服务器名>，然后按Enter键。

其中<服务器名>是从其上清除元数据的DC（同一域中的任何工作正常的DC）。

6.键入quit，然后按Enter键。

将返回元数据清除菜单。

7.键入select operation target，然后按Enter键。

8.键入list domains，然后按Enter键。

将列出目录林中所有的域，其中每一个域都和一个编号相关联。

9.键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。

10.键入list sites，然后按Enter键。

11.键入select site <编号>，然后按Enter键，其中<编号> 是指该DC 所在站点的编号。

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

Windows域控制器的灾难恢复作者：胡磊来源：《科学与财富》2010年第05期一、概述安徽人民广播电台Link2000音频工作站系统就是建立在网络平台上的。

为了保证安全播出在这个网络中的公用光纤磁盘阵列柜(以下简称磁盘阵列)使用了2台安装了Windows2000 Advance Server操作系统的HP GL570服务器(Server1和Server2)。

两台服务器都可以成为主、备用服务器。

当其中一台服务器出现故障的时候,另一台服务器能够在最短时间内接管磁盘阵列。

保证整个音频工作站系统的正常运行并且有足够的时间来处理服务器故障。

两台服务器是基于Microsoft Cluster(群集)的结构,保证了系统的正常运作。

为了防止两台服务器同时出现故障以及磁盘阵列故障,在设计系统时我们还做了一台PC机和IDE磁盘柜作为出现故障时可以备用的第三备用,及时从光纤磁盘阵列复制数据库文件和必要的音频文件到IDE磁盘柜。

二、环境分析因为网络中所有的服务器和用户计算机都处在的域中。

主域控制器是SERVER1,SERVER2、SERVERBACK都是额外域控制器,其他用户计算机都是域成员。

逻辑图形如下:活动目录是构建Windows2000域的前提条件。

也就是说区别于NT网络只能构建单域模式,Windows2000支持域都是建立在活动目录上的。

所有域控制器之间都要互相传递活动目录信息,我台使用的是单域网络,所以域控制器之间复制的信息也可以称为域信息。

在域中SERVER1是主域控制器,其他控制器都是额外域控制器。

而构架主机、域命名主机、RID主机、主域控制器模拟器、基础结构主机这些主机角色一般都安放在主域控制器中,也就是这里所说的SERVER1中。

三、故障现象当时我们遇到的情况是这样的:SERVER1作为主域控制器和全局编录GC。

机器中构成RAID0的两块硬盘出现故障,其中日常引导的硬盘出现硬件故障不能引导机器,导致作为主域控制器河全局编录GC的SERVER1无法启动;而作为镜像的硬盘也被写入坏数据不能引导,启动时总是出现蓝屏。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

域控制器的好处是可以帮助网络管理员轻松地管理网络中的电脑和用户，防止用户进行非法操作。

当一台域控制器崩溃后，如果说网络中的电脑和用户不多，那么还可以通过重新配置的方法来处理。

如果网络中有上百台电脑怎么办，你难道可以记得原来的所有配置吗？那么唯一的方法是在对域控制器进行每次配置后，都做一次备份。

下面就告诉大家如何进行域控制器的备份和还原。

域控制器的备份步骤在域控制器的：开始-运行当中输入“Ntbcakup”命令敲回车，我们可以看到系统的备份还原向导界面，如下图所示：在这里单击“备份向导”按钮，弹出备份系统的界面，这里选择“system state”文件进行备份，单击“浏览”按钮指定备份的文件夹路径，如图所示；单击“开始备份”按钮，这里开始备份的过程，这里时间较长大概在半个小时左右，如图所示：域控制器的还原步骤恢复的过程也非常简单，需要重新启动操作，开机时按F8进入启动项选择菜单，选择“目录服务器还原模式”选项，单击回车进入系统，如图：启动操作系统这里进入登陆对话框，这里需要注意的是这里所说提到的管理员密码不是当前的管理员密码，是当初建立域控制器时的域控制器恢复密码，如图所示：这一步同样在开始-运行中输入“NTBACKUP”命令启动系统备份还原向导，如图：点击“还原向导”按钮弹出还原向导界面，点击“浏览”按钮找到我们备份的活动目录数据库单击选择，在“还原的项目”区域勾选文件，如图所示：单击“下一步”按钮，弹出“完成还原向导”对话框，如图：单击“高级”按钮，弹出“还原位置”对话框，这里选择“原来位置”选项，单击“下一步”按钮，弹出警告对话框点击“确定”按钮，如图：这里选择“替换现有文件”选项，单击“下一步”按钮，如图：这里按默认，单击“下一步”按钮，如图：单击“完成”按钮，还原向导设置完成，如图：这一步大概半个小时会还原完成。

这时可以重新启动系统再次进入“活动目录恢复”模式启动，当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）.登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。

建議您登入要指派FSMO 角色的網域控制站。

登入的使用者必須是要傳輸架構主機，或網域命名主機角色的企業系統管理員群組成員；或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色，其所在網域的網域系統管理員群組之成員。

.按一下[開始]，按一下[執行]，在[開啟]方塊中輸入ntdsutil，然後按一下[確定]。

.輸入roles，再按下ENTER。

.輸入connections，再按下ENTER。

.輸入connect to server servername，然後按ENTER，其中servername是您要指派FSMO 角色的網域控制站之名稱。

.在server connections提示字元中輸入q，然後按下ENTER。

.輸入seize role，其中role是您要抓取的角色。

Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器，如果没有，还是老老实实地去做全盘备份和恢复吧。

实验环境：●域名：●第一台域控制器：⏹计算机名：⏹IP：192.168.5.1⏹子网掩码：255.255.255.0⏹DNS：192.168.5.1⏹并且FSMO五种角色及GC全部在第一台域控上。

●第二台域控制器：⏹计算机名：⏹IP：192.168.5.2⏹子网掩码：255.255.255.0⏹DNS：192.168.5.2灾难情况第一台域控制器由于硬件原因，导致无法启动。

客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了。

操作目的让第二台额外域控制器来接替第一台的工作，也就是说把FSMO和GC全部转移到额外域控制器上来。

操作步骤首先，要把第一台域控制器的所有信息从活动目录里面删除。

点击“开始-运行”，输入：“cmd”并回车，在命令提示符下输入：“ntdsutil”，然后回车。

选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令：显示一下Site中的域：结果找到两个，其中“1”是我建的子域，所以这里要先择“0”：通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。

所以这里要选择“0”：选中后，按“q”退出到上一层菜单：接下去删除服务器信息，出现提示后点是。

在上图中点击“是”：然后再按2个“q”退出。

再使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象。

打开后，找到如下位置：点击右键，然后选“删除”就可以了。

在“管理工具”里，打开“AD站点和服务”，找到如下位置：把复制连接也删除了：把FSMO角色强行夺取过来。

先要连接到目标服务器上：连接成功后，按“q”退出到上层菜单，并且看一下帮助信息：这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。

灾难恢复方法一.目的本文对域控制器的灾难恢复提供指导二．摘要本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复三．目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本四．正文1. Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

域控服务器系统备份和恢复说明系统备份与恢复公司局域网中域控服务器担任DNS服务、AD服务2种角色，AD 服务和DNS服务可以通过备份系统状态一起备份。

在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS服务，C盘镜像文件和这2个服务每7天备份一次，备份文件名称加日期，分别存放在2T硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC镜像文件备份”1 系统原始状态备份1.1、备份方案准备一套GHOST软件，或带GHOST软件的U盘系统原始状态需要备份，第一步备份C盘分区的镜像1.2、备份过程第一步：备份系统分区镜像在域控服务器BOIS中设置从U盘启动，带有GHOST软件的U盘插入服务器usb接口，启动域控服务器，一会进去如下图所示，选择启动GHOST11.2软件，如下图：GHOST软件版权说明页面：备份方式选择Partition—To Image：磁盘分区情况与源分区C盘的选择：源分区C盘选择确认：C盘镜像保存路径选择：镜像保持名字起名规则：系统版本—日期—时间镜像压缩程度选择：备份确认：至次，C盘镜像备份完成。

2 域控服务器恢复2.1、恢复过程恢复分区镜像在域控服务器BOIS中设置从U盘启动，带有GHOST软件的U盘插入服务器usb接口，启动域控服务器，一会进去如下图所示，选择启动GHOST11.2软件，如下图：GHOST软件版权说明页面：恢复方式选择Partition—From Image：要恢复的镜像文件选择路径：选择备份镜像源分区C盘选择确认：目标硬盘路径选择：目标分区路径选择：确认选择：恢复确认：选yes，等待重启至次，C盘镜像恢复完成3 AD服务和DNS服务备份与恢复3.1、备份方案AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。

其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非 Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于 Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或 Windows NT 4.0 的客户端）、Windows2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务 (FRS 的分段目录和文件。

主域控制器突然暴毙之灾难恢复本实验讲述的是在多域控制器的环境下，主域控制器由于硬件故障突然损坏，而事先又没有做好主域控制器的备份，如何使额外域控制器接替它的工作，从而使Active Directory 正常运行，等待硬件修理好之后，在恢复主域控制器的职能。

在实验之前,我先来介绍FSMO角色,也就是AD定义的五种操作角色架构主机 schema master域命名主机 domain naming master相对标识号主机 RID master主域控制器模拟器（PDCE）基础结构主机 infrastructure master而每种角色负担不同的工作，具有不同的功能：架构主机：更新目录架构，架构主机是基于目录林的，整个目录林中只有一个架构主机域命名主机：向目录林中添加新域，从目录林中删除现有的域,是基于目录林的，整个林中只有一个域命名主机相对标识号主机：负责向其他DC分配RID池，在创建用户、组和添加计算机时，将RID和域标识符结合来创建唯一的安全标识符(SID)，基于域的，目录林中的不同的域都有自己的相对标识号主机PDCE：向后兼容低级客户端和服务器，允许以前版本的域控制器加入到现有域环境中，负担密码的验证工作，时间的同步—确保目录林中的每个域的PDCE都与目录林中根域的PDCE进行同步，PDCE也是基于域的，每个域中都有自己的PDCE基础结构主机：确保所有域间操作对象的一致性，当引用包含该对象的全局唯一标识符(GUID)、安全标识符(SID)和可分辨的名称(DN).如果被引用的对象移动，则在域中担当结构主机角色的DC会负责更新该域中跨域对象引用中的SID和DN。

是基于域的，目录林中每个域都有自己的基础结构主机。

默认这五种FSMO存在于目录林中根域的第一台DC上，而子域中的相对表示号主机、PDCE、基础结构主机存在于子域中的第一台DC上。

接着上一篇域的搭建后，我们来进行主域控制器的灾难恢复.步骤三：FSMO角色的转移步骤四：主域控制器职能的恢复在FSMO角色的转移之前，先让主域控制器损坏，如下图：一从AD中清除主域控制器Florence 对象在Berlin上通过ntdsutil.exe工具把主域控制器Florence从AD中删除命令为：c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain server connections:quitselect operation target: list sitesselect operation target: select site 0select operation target: List domains in siteselect operation target: select domain 0select operation target: List servers for domain in site select operation target: select server ０select operation target: quitmetadata cleanup:Remove selected serverremove selected server按回车后，出现下面的对话框点击是即可在berlin 上打开active directory sites and servers中的sites下的default-fir st-site-name-----servers删除florence，如下图所示；二使用ADSI EDIT 工具删除active directory users and computers 中的Do main controllers 中的florence服务器对象。

利用BE12。

5对AD域控制器备份与恢复环境：Servera BE12.5 192.168.1.200Serverd AD 192.168.1.2031.首先打开Servera 的BE控制台，备份---新建备份作业---选择AD 主机Serverd----系统状态，确认默认子项下都勾选上。

如下图2.资源凭证----针对目标服务器AD主机进行身份骓检测并都要通过成功，不然以下备份会不成功。

图3.目标---设备和介质：选定之前创建的存储目标介质设备。

图：4.设置----常规：输入作业名称，备份方法，这里以完全备份为例，以下故默认即可。

图:5.microsoft AD-----这里启用GRT粒度技术并选择VSS，这在恢复时可以更具体的针对某个项目，用户邮箱，邮件等进行恢复操作。

图:6.完成上面准备操作后，点击执行，下一步运行等待备份作业的成功与否。

图：OK，作业成功完成了。

7．对于AD的备份，已经成功操作完成，以下就针对AD的恢复作业进行操作。

首先在这之前我们给AD创建俩个新的用户账号testc和testd，如图：8．然后进行对AD域控恢复操作，同样的在主机Servera 打开BE控制台，操作恢复作业---创建恢复作业----选择恢复选项列表。

图:(注：AD域控在恢复时一定要重启系统进入“目录恢复服务模式”，方便成功恢复作业操作)9．资源凭证：进行对AD域的检测通过（俩主机要有同样账号和密码），编辑选择一至的账户。

图10．源---设备：选择设备源，之前创建的设备源存储。

图：11．设置---常规：输入作业名称，选择如图中的选择。

图:12．设置---高级：勾选“恢复由文件复制服务管理的文件平…………..第一仲裁磁盘”.以下自定。

图:13．设置---Microsoft AD：选择选项即可，完成操作点执行，下一步运行恢复作业。

图14．等待作业运行状态，好了，作业成功恢复作业操作成功完成，有个警告提示重启AD域控。

域控服务器灾难恢复手册Domain Control Server Disaster Recovery Manual该手册用于域控系统的故障恢复。

要使不再使用或故障的域控服务器恢复正常使用，需要执行服务器退出到新建两个过程。

This manual is used for disaster recovery of domain control systems. To make the domain controller that is no longer to use or fail to return to normal, exit to the new server needs to perform two processes.服务器退出有两种情况：There are two situations server exits一种是域控服务器正常情况下，即域控服务当前没有故障，但需要换硬件或者升级版本时，就可以按照此种情况执行；参照以下步骤一、二、四执行；One is the domain control server is normal, that domain control service is currently no fault, but need to change the hardware or upgrade version, you can follow this situation; refer to the following steps one, two, four.二种是域控服务器异常，已不可提供正常服务，就可参照以下步骤三、四执行。

Another is the domain control server exception, can not provide normal services, you can refer to the following steps three and four.架构主机、域命名主机、PDC、RID、结构主机5个角色为testdc01，初始状态如下图所示：Schema Master, Domain Naming Master, PDC, RID, Infrastructure master initial to testdc01一、架构主机、域命名主机、PDC、RID、结构主机从testdc01迁移到testdc02Schema master, Domain naming master, PDC, RID, Infrastructure master from testdc01 migrate to testdc021、迁移PDC、RID、结构主机Migrate PDC, RID, Infrastructure master登录域控服务器testdc02，打开Active Directory 用户和计算机，右键——操作主机Login to the domain controller server testdc02, open Active Directory Users andComputers, and right-click the host依次点击“更改”，将PDC、RID、结构主机从testdc01迁移到testdc02Click "Change" to migrate the PDC, RID, Infrastructure master from testdc01 to testdc022、迁移域命名主机Migrate Domain naming master登录域控服务器testdc02，打开Active Directory 域和信任关系，右键——操作主机Login to the domain controller server testdc02, open Active Directory domains and trustrelationships, right-click——operate master点击“更改”，将域命名主机从testdc01迁移到testdc02Click "Change" to migrate the Domain naming master from testdc01 to testdc023、迁移架构主机Migrate the schema master先在testdc02上注册架构域控：regsvr32 C:\WINDOWS\system32\schmmgmt.dll First register the domain control on testdc02：regsvr32 C:\WINDOWS\system32\schmmgmt.dll点击开始菜单——运行——输入“mmc”，打开控制台——添加Active Directory架构管理单元Click Start Menu ——Run ——enter "mmc" to open the console ——add the Active Directory Schema Management unit按以下步骤迁移架构主机Follow these steps to migrate the Schema master使用netdom query fsmo 命令查看5个角色是否全部迁移到testdc02，全部迁移完毕才能继续执行第二步。

A D域、D N S分离+额外域控制器安装,及主域控制器损坏解决方法-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIANAD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）huanjing.png对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：1.DNS服务器的安装；2.DC主控制器的安装；3.DC额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：/zh-cn/library/cc739159(v=ws.10)安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。

域控制器错误及相关解决办法１、用户帐户被意外锁定，并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考：/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时，可能会发生此问题。

解决方案若要解决此问题，请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。

若要删除 W32.Randex.F 蠕虫病毒使用扫描。

有关如何执行病毒扫描或如何获取最新的病毒定义的信息，请参阅您的防病毒软件文档或与制造商联系。

2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考：/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时，可写域控制器将执行检查以确定是否允许此操作。

如果不允许此操作，是将返回错误代码。

这是预期的行为。

但是，不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。

安装此修补程序后，服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。

在其他的方案中仍被记录该事件。

3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考：/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。

若要防止 Windows 操作系统和第三方客户端使用弱加密算法，以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。

1.重新启动域控制器。

2.在启动菜单中按F8 键，然后单击Directory Services Restore Mode（目录服务还原模式）。

3.如果存在多种安装，请选择适当的一种，然后在登录提示符下以管理员身份登录。

4.启动命令提示，然后键入ntdsutil.exe。

注意：要获取可在Ntdsutil 提示符下使用的命令列表，
请键入?。

5.在Ntdsutil 提示符下，键入files。

6.在“文件维护”提示符下，使用以下两个过程之一或同时使用这两个过程：
o要移动数据，请键入move db to %s，其中%s是要移动的数据库所在的驱动器和文件夹。

o要移动日志文件，请键入move logs to %s，其中%s是要移动的日志文件所在的驱动器和文件夹。

7.要查看日志文件或数据库，请键入info。

要验证位于新位置的数据库的完整性，请键入
integrity。

8.键入quit，然后键入quit以返回到命令提示符。

9.以普通模式重新启动计算机。

注意：移动数据库和日志文件时，必须备份域控制器。

如果您没有及时按F8 键来选择安装方法，则请执行下列操作：
1.以管理员身份登录，在“控制面板”中双击系统，然后单击高级选项卡。

2.单击“启动和故障恢复”，然后验证是否选中Display list of operating systems for XX
seconds（将操作系统列表显示XX 秒钟）复选框。

3.重新启动域控制器，然后按F8 键。

windows 2003 域控制器的备份与恢复windows 2003 域控制器的备份与恢复在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

在这里，我为了节省时间，就仅仅备份一下系统数据了:在上图的左下角，“备份媒体或文件名”里可以选择备份的路径，并且支持网络备份的。