活动目录灾难恢复_新

活动目录灾难恢复
活动目录的灾难恢复解决方案
前提：
1、操作系统、硬件损坏，计算机无法工作；
2、在所有的故障排除手段都已经失败；
3、故障排除的代价比恢复更高。

原则：
解决微软Windows域控制器上出现的问题，这些问题会影响到客服端、域和森林的正常运作，并且期望：用最短的时间、承受最小的损失、得到最好的可能结果；预防性维护措施
1、使用好的硬件；
2、在生产环境中部署新组件前先经行测试；
3、执行恢复操作时前在实验环境中测试；
4、尽量按照最佳实践或官方的标准做法去做；
5、尽量避免单点失败：如果条件允许，尽量在一个域中放一台以上的DC ；
6、在每一次的重大状态变更前做好备份；
AD关键文件
AD数据库文件（默认状态）：%SystemRoot%\NTDS
Ntds.dit（AD的数据库文件）
Edb.chk（检查点文件）
Edbxxxxx.log（edb.log超过10M后日志存放的位置；）
Res1.log,res2.log（保留日志文件,不写任何东西，没有太大用途，在系统无法系统时，可以释放20M的空间；）
SYSVOL:%SystemRoot%\SYSVOL
Junction point
Netlogon共享
组策略模板
三种不同的恢复方法
◆重建
重新安装操作系统+ Dcpromo.exe重新加入域，进行重新复制；
◆还原
用Ntbackup副本还原到一个已知的“好”的状态；
重新复制域中数据；
权威性还原/非权威性还原；
◆修复
利用Ntdsutil/Esentutl命令行工具检查AD数据库完整性；
修复AD数据库一般只作为最后手段；
（修复手段只有在前两种方法都难以适用的情况下，一般才尝试试用修复；比如说在没有其他的额外域控制器，整个Domain只有一个DC，又没有一个好的备份，只有尝试在这台DC上修复AD数据库）
涉及的命令及工具
◆NTBACKUP
◆Ntdsutil
抓取操作主机角色（包括：架构主机、域命名主机、PDC仿真器、RID主机、基础架构主机）；
元数据清除：DC / 域/ 站点；
权威性还原；
◆Esentutl
数据库验证和修复；
◆重做操作系统+ DCPROMO.EXE
NTBACKUP备份
◆相关概念
DC的联机模式和脱机模式
DC的联机模式则为DC的正常模式，脱机模式为按F8后进入目录还原模式，它
不会加载AD的数据库验证；
什么是系统状态？
◆特性
能在联机模式下备份AD和系统状态集，但还原必须在脱机模式下；
能够计划任务备份；
◆什么是“好的备份”？
内容：包含正常的系统状态和系统卷；
时限：默认情况下有效期为60天；
◆要点及最佳实践
某一DC的备份数据只能用于还原该DC，不能被用来还原另一个DC；
如果条件允许，尽量对每一个DC都进行备份
备份策略的最低备份要求（资源有限的情况下）：
所有具有操作主机角色的DC；
所有具有全局编录角色的DC；
根域中的第一个DC（森林根），非常重要；
备份的局限性
◆对远程机器上的系统状态（本身工具的限制）
它不能备份远程机器上的系统状态，也是由于AD数据库本身的特性所决定的；
◆备份时限= tombstoneLifetime的值
tombstoneLifetime为AD schema中的一个属性值
什么是“墓碑记录”？
默认=60天
为什么备份时限=墓碑记录生存周期？
◆不支持活动目录构架的还原
什么是AD目录构架？
可以打开Adsiedit.msc ，AD的编辑工具（它是Windows Support Tools的一个管理工具，安装了Windows Support Tools工具就可以了；）
点击开始/运行：adsiedit.msc，即出现如下图所示的编辑窗口：
点击ADSI Edit 展开AD的数据结构，出现包括Domain、Configuration、Schema三个内容；
Domain：及对应与域中对象的状态；
Configuration ：AD的配置的一些信息；
Schema：及类的定义；
其中tombstoneLifetime定义的位置如下图所示：
右击其属性，打开其对话框，如图所示：
其中tombstoneLifetime的值为：
它没有定义，默认情况下为60天，也可以自己修改；
tombstoneLifetime值与备份的时限的关系：
由于AD数据库里做这项删除的时候，从物理上并没有直接删除掉，而是先将其做个标记，这个标记及为墓碑记录，然后通过DC之间的同步，同步到其它DC上去，只有达到tombstoneLifetime定义的值后（默认为60天），才会从物理上将其删除；
如果选择的备份的时限不一致，会导致AD中数据的不统一，如果AD中数据的不一致比较多，整个AD会比较混乱；
注意一点，在做AD恢复的时候SCHEMA中的信息是无法恢复的
工具Ntdsutil
◆元数据清除
删除孤立的DC / 域/ 站点；
Windows 2003增强：可直接通过GUI图形界面操作；
◆抓取操作主机
◆完整性检查和修复AD数据库
包装了Esentutl
◆权威性还原
使DC上选定的对象在域中具有权威性
Winnt32和Dcpromo
◆是什么？
重装操作系统+再次运行Dcpromo加入域（也就是域的重建过程）
◆何时使用？
同一域中至少存在另一台运行正常的DC；
（我们可以通过这台运行正常的DC来进行复制）
要重建的DC上没有特别的应用和服务需要保护
特别在没有DC的“好的备份”的情况下
◆最佳实践
为远程站点维护一台待机服务器（DC）
Windows 2003增强：以介质作为来源，恢复域的系统状态；
（我们在重做一台新的域控制器的时候，它可能要通过远端的DC来复制，由
于种种原因，如：网络问题、拷贝的AD的数据比较大，这时的复制可能会非常
困难，无法接受；Windows 2003提供了一种介质提升域控制器的方法；介质
提升的前提条件是：利用NTBACKUP对系统状态集先备份出来；）
DCPROMO/ADV
( 使用“从媒体安装”功能升级基于 Windows Server 2003 的域控制器)
非权威性还原
◆是什么？
AD还原的默认方法，对象恢复后会保持它们在备份时的版本号，及恢复后的AD 环境为NTBACKUP备份时的AD环境；
用NTBACKUP还原到已知的某个好的状态，并重新进入AD正常模式让其自由同步更新；
◆何时使用？
若一个域中有多台DC，其它DC中至少有一台是工作正常的，可以利用这些正常的DC来进行其它DC的还原；
域中只有单台DC
典型情况如硬件问题，这种情况只有是更换硬件，重做系统+DCPROMO.EXE 加入域，重新进行同步复制；
◆SYSVOL
只有在要还原的DC是域中的唯一DC时才需要进行SYSVOL的PRIMARY还原（下图第四个选项）
◆需要用到的工具
NTBACKUP
权威性还原
◆是什么？
本质是非权威性还原的一个扩展；
需要比非权威性还原多做一步：
提高还原对象属性的更新版本号，使其在目录中成为权威的拷贝
◆何时使用？
典型情况如意外修改或删除了AD中的对象
◆需要用到的工具
NTBACKUP + NTDSUTIL
◆用NTDSUTIL标记AD对象为权威
找到还含有该对象的DC，它已经在整个AD中做了复制，现已找不到一个好的拷贝了，只好通过NTBACKUP备份来还原对象；
在AD中有很多DC，但在其中一台DC上发现不小心修改或删除了一台计算机的信息，这个时候还没有到他的删除周期，在其他的DC上还存在着被修改或删除的计算机信息，它的属性和信息是好的，还是正确的，其实这个时候用不着拿以前的备份来还原这些信息，可以直接到还残留或属性还是正确的DC上面去做权威性的标记。

利用NTDSUTIL将其定义为权威性标记，这时它的版本号会加的特别高，过一段时间它会恢复过来。

恢复子树或整个数据库（不到万不得已的情况下，不要做整个AD数据库的恢复）
恢复时尽量定位到最特定的（最深层的）DN，降低影响面；
◆还原SYSVOL至相匹配的版本
目的是让SYSVOL和所备份时的SYSVOL相同，从而使整个恢复回来的AD具有一致性
在目录恢复模式下恢复SYSVOL至替换目录，一旦重启系统，将替换目录下的SYSVOL相应文件拷贝到原位置；
操作主机恢复
◆操作主机
五种角色应区别对待
◆转移操作主机角色
能转移尽量不要用获取
操作可逆
◆获取（抓取）操作主机角色
最后手段
原主机不能再恢复在线
1、操作主机
1．1、操作主机分类：
Active Directory域中有5种类型的操作主机，分别是：
◆架构主机（Schema Master）
◆域命名主机（Domain Naming Master）
◆PDC仿真器（PDC Emulator）
◆RID主机（RID Master）
◆基础结构主机（Infrastructure Master）
在每个林中，至少有5个指派给一个或多个域控制器的操作主机角色。

在每个林中，林范围的操作主机角色必须只出现一次。

在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。

1．2、林范围内的操作主机角色
每个林必须具有以下角色：架构主机和域命名主机。

在林中这些角色是唯一的。

这意味着在整个林中，只能有一个架构主机和一个域命名主机。

1．3、域范围内的操作主机角色
林中的每个域都必须有下列角色：RID主机、PDC主机和基础结构主机。

在每个域中这些角色都必须是唯一的。

即林中的每个域都只能有一个RID主机、PDC 主机以及基础结构主机。

2、架构主机
架构主机FSMO角色的拥有者是负责执行目录架构更新的DC。

该域控制器是唯一能够处理目录架构更新的域控制器。

架构更新完成后，该更新将从架构主机复制到目录中所有其他域控制器上。

每个目录中只有一台架构主机，操作者必须具备访问架构主机的权限。

3、域命名主机
域命名主机FSMO角色的拥有者是负责对目录的林范围的域名空间进行更改的DC.该域控制器是唯一能够在目录中添加或删除域的域控制器。

他也可以添加或删除在外部目录中对域的交叉引用。

在整个林中只能有一个域命名主机。

域命名主机是一个森林级别的角色，他的主要作用是管理森林中域的添加或者删除。

4、PDC仿真器
域中的PDC仿真器是域的权威。

林根目录的PDC仿真器成为企业的权威，应配
置他从外部源中收集时间。

所有PDC FSMO角色拥有者都遵循域的层级来选择其入站时间伙伴。

PDC 仿真器对于在企业中同步时间是必须的。

他完成的操作主要有：处理密码验证要求、统一域内的时间、向域内的NT4 BDC 提供复制数据源、修改组策略的模板、提供以老版本的支持。

5、RID主机
RID主机FSMO角色的拥有者是负责处理来自某一给定域中的所有域控制器的“RID池”请求的单个DC，他还负责在对象移动过程中将对象从其域中删除并放在其他域中。

RID主机的作用是，分配可用RID池给域内地DC和防止安全主体的SID 重复。

将相对ID（RID）序列分配给域中每个不同的域控制器。

在任何时候，林中的每个域中只能有一个域控制器作为RID主机。

每次当域控制器创建用户、组或者计算机对象时，就给该对象指派一个唯一的安全ID(SID).SID包含一个“域”SID（他与域中创建的所有SID相同）和一个RID（他对域中创建的每个SID是唯一的）。

6、基础架构主机
基础架构主机负责更新从他所在的域中的对象到其他域中对象的引用。

基础架构主机将其数据与全局编录的数据进行比较。

全局编录通过复制操作接收所有域中对象的定期更新，从而使全局编录的数据始终保持最新。

查看操作主机角色
在Active Directory 域网络中，可以通过3种方法来查看，分别是GUI界面、命令行、以及脚本。

GUI界面方式比较简单，这里只介绍GUI模式。

1、架构主机
架构主机可以使用“Active Directory 架构”查看，在默认情况下“Active Directory 架构”没有注册，需要注册后方可使用。

第1步，单击开始——运行，键入：regsvr32 schmmgmt ，系统显示如下图所示【Regsvr32】注册成功对话框。

第2步，单击确定按钮，完成动态链接库的注册。

第3步，单击开始——运行菜单，输入MMC，单击确定按钮，系统将显示【控制台根节点】窗口。

第4步，在【控制台根节点】窗口中，单击【文件】——【添加/删除管理单元】菜单，点击【添加】按钮，显示【添加独立管理单元】属性对话框，选择【Active Directory 架构】，单击【添加】——【关闭】按钮，完成【Active Directory架构】的添加，单击【确定】按钮，关闭【添加独立管理单元】属性对话框。

添加完成的Active Directory 架构【控制台根节点】。

第5步、在【控制台根节点】窗口中，鼠标右击【Active Directory 架构】图标，在弹出的菜单中选择【操作主机】选项，如图所示：
第6步，选择操作主机菜单后，系统将显示【更改架构主机】属性对话框，如图所示，从图中可以看出架构主机位于的域控制器。

2、域命名主机
域命名主机可以通过Active Directory域和信任关系即可查看。

第1步，单击【开始】——【管理工具】——【Active Directory域和信任关系】，系统显示如图所示窗口：
第2步，右击【Active Directory域和信任关系】，在弹出的菜单中选择【操作主机】选项，在弹出的更改操作主机的窗口中显示，域命名操作主机名，如图所示：
从图中可以可以看出域命名主机位于哪台域控上面。

3、RID主机、PDC仿真器、基础结构主机
RID主机、PDC仿真器、基础结构主机可以使用【Active Directory 用户和计算机】查看。

第1步、点击【开始】——【管理工具】——【Active Directory 用户和计算机】，系统将弹出名为：【Active Directory 用户和计算机】的对话框，右击域名，在弹出的菜单
中选择【操作主机】选项，【操作主机】属性对话框显示了RID主机、PDC主机、结构主机所在的域控制器，如图所示：
全局编录恢复
◆ 全局编录
包含整个森林中所有DC 上的子集； ◆ 提示
一般而言配置多个GC 并没有坏处 有些环境强烈依赖于GC 全局编录服务器概述
全局编录是一个信息仓库，包含在活动目录中所有对象连接请求信息的子集，如用户登录ID 、姓名、Exchange 再分布式列表和邮件地址等方面将利用全局编录。

默认情况下在活动目录中创建的第一台域控制器为全局编录服务器，其他的域服务器也可以作为全局编录服务器来平衡网络流量。

全局编录服务器的作用： 1）、存储对象信息副本； 2）、存储通用组成员身份信息； 3）、提供用户主体名称身份验证； 4）、验证林内的对象参考。

查看全局编录服务器
这里只介绍GUI 界面方式
第1步、单击【开始】——【管理工具】——【Active Directory 站点和服务】，系统将显示如图所示的管理控制台，在左侧的域控制器列表中，找到要查看的站点并展开，右击【NTDS Settings】，从弹出的菜单中选择【属性】。

第2步、系统显示【NTDS Settings 属性】对话框，【全局编录】左侧的复选框如果选中，则表明当前的域控制器是一台全局编录服务器，如果没有选中，则表明当前的域控制器不是一台全局编录服务器。

全局编录服务器在Active Directory 中十分重要，如果全局编录服务器出现故障，则用户不能登录到域中访问资源。

全局编录服务器中存储的是林中所有域的只读副本，如果域的数量过多，Active Directory 对象特别多的情况下，全局编录服务器数据库会很大。

全局编录的复制拓扑是由信息一致性检查器（KCC）自动生成的。

但是，全局编录仅负责到已被指派为全局编录的其他域控制器。

全局编录服务器规划原则
由于全局编录服务器的特殊地位，在部署全局编录服务器之前，应遵守以下原则：
◆每个站点是否拥有全局编录服务器；
◆提升全局编录服务器可能带来的影响；
◆哪些域控制器需要提升全局编录服务器。

灾难恢复验证
◆以正常模式重新引导
◆检查目录和系统事件日志是否存在错误消息
◆最好的一种方法就是找一台新的客户端，尝试去加入域，去检测这台域控制器
是否运行正常
◆使用工具
Repadmin（Windows Support Tools中）
Dcdiag
．．．．．．
场景讨论：
◆场景：
DC关键硬件彻底损坏，需要更换服务器
DC系统瘫痪，无法进入操作系统
◆目的：
更换硬件或重做系统后，维持原先的环境正常运行
◆解决方法：
更换硬件或重做系统后做非权威性还原或DCPROMO
如果坏掉的DC存在的域中含有多个额外的域控制器，且这些额外的域控制器中至少存在一台运行正常的DC，那么可以直接通过这台好的DC进行复
制，更新同步；
如果坏掉的DC是其所在域的唯一一台域控制器，没有其它的额外域控制器，且更换的硬件有所不同，其执行AD的灾难恢复方法：
要在与执行备份的计算机具有不同硬件的计算机上，执行Windows 2003 Active Directory 域控制器的灾难恢复，请按照下列步骤操作。

警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。

提示：硬件状态的不同，在做AD的灾难恢复时并不是完全没有限制的。

比如：硬件的体系结构（网卡、图形适配器、CPU的个数要尽量一致），系统盘的大小、新的硬件的系统卷一定要比原先的大，不能小，至少要一致，等等。

1.执行域控制器的完全备份，包括系统状态和系统卷的驱动器备份。

2.在新的计算机上，执行 Windows Server 2003 的全新安装（最好选择不带SP1的企业版Windows Server 2003光盘来安装新的操作系统），将其安装为工作组中的独立服务器。

注意：文件系统、安装驱动器以及 Windows 安装文件夹名称必须与所还原的服务器相同。

此外，当您要还原的计算机与执行备份的计算机具有类似的视频总线时，恢复结果通常会更好。

例如，如果原始系统使用 AGP 总线，而要还原到的系统使用 PCI 视频总线，则恢复可能比较困难。

3.执行灾难恢复。

为此，请按照下列步骤操作：
a. 单击“开始”，指向“程序”，指向“附件”，指向“系统工具”，然后单击“备份”。

b. 单击“还原向导”，然后在“还原向导”对话框中单击“下一步”。

c. 单击“导入文件”，单击“浏览”，找到保存备份文件的磁盘，然后单击“打开”。

d. 单击“确定”。

e. 在“还原项目”列表中，单击以选中要还原的计算机分区和“系统状态”对应的复选框。

f. 单击“下一步”，然后单击“高级”。

g. 在“将文件还原到”列表中，单击“原位置”，然后单击“下一步”。

h. 单击“无条件替换磁盘上的文件”，然后单击“下一步”。

i. 执行“还原向导”中其余的步骤，完成灾难恢复。

j. 在还原的域控制器中，将“BurFlags”值更改为“d4”。

为此，请按照下列步骤操作：
1）.单击“开始”，然后单击“运行”。

2）.在“打开”框中，键入regedit，然后单击“确定”。

3）.在左窗格中，展开“我的电脑”。

4）.展开“HKEY_LOCAL_MACHINE”，然后展开“SYSTEM”。

5）.展开“CurrentControlSet”，然后展开“Services”。

6）.展开“NtFrs”，然后展开“Parameters”。

7）.展开“Backup/Restore”，然后单击“Process at Startup”。

8）.在右窗格中，右键单击“BurFlags”，然后单击“修改”。

9）.在“数值数据”框中，键入d4，然后单击“确定”。

注意：如果还原的域控制器的“BurFlags”值没有更改为“d4”，sysvol 可能无法共享。

成功完成灾难恢复过程后，可能会出现以下三种情形：
•情形 1：Windows 成功启动。

•情形 2：当您尝试启动 Windows 时，Windows 停止响应或挂起，但是当您选择“安全模式”选项时，Windows 成功启动。

出现这种情况的原因是新的计算机中存在总线体系结构芯片集或不兼容的驱动程序。

您可能必须运行就地修复或升级操作。

•情形 3：计算机在“正常启动Windows”模式和安全模式中都停止响应。

您必须运行就地修复或升级。

这通常是由不匹配的硬件抽象层 (HAL) 所导致的。

要使操作系统能够成功启动，您可能需要在 Windows 启动过程中按 F7 以强制使用 HAL 的标准版本。

要解决情形 2 和情形 3中描述的问题，请执行就地升级或修复。

为此，请按照下列步骤操作：
a. 使用 Windows 2003 CD-ROM 启动计算机。

在您接受许可协议，并且安装程序搜索要修复的以前的 Windows 安装之后，将开始修复操作。

b. 安装程序找到损坏的安装后，请按 R 修复所选的安装。

安装程序将重新枚举计算机的硬件（包括 HAL），并执行就地升级，同时保留您的程序和用户设置。

此过程还将使用可用于修复操作的准确信息刷新 %SystemRoot%\Repair 文件夹。

注意：如果就地修复操作失败，并且Windows 在每次开机自检(POST) 后都重新启动，请使用恢复控制台启动计算机，然后运行下面的命令以禁用ACPI：
disable acpi
禁用ACPI 后，请重新启动就地修复。

要强制Windows 使用标准PC HAL，请在系统提示下面的消息时按F7：
如果您需要安装第三方SCSI 或RAID 驱动程序，请按F6。

修复或升级操作启动，并且安装程序进入Windows 安装程序的图形用户界面(GUI) 部分后，Windows 通常可以成功安装。

重要说明：当在安装过程的GUI 部分中显示“可选组件”对话框时，请确保选中“网络组件”下的“DNS”复选框。

此外，还请确保选中“Internet 信息服务”下的“SMTP”复选框。

选中“SMTP”复选框时，以下相关服务也会被安装到Internet 信息服务(IIS) 下：•公用文件
•Internet 信息服务管理单元
•万维网服务器
注意：如果安装了Microsoft Exchange Server，请不要单击以选中“Internet 信息服务”下的“SMTP 服务”复选框。

在这种情况下，Exchange Server 会提供SMTP 服务的安装。

不过，Active Directory 要求您安装其他的IIS 项目，例如，公用文件、Internet 信息服务管理单元和万维网服务器。

如果支持动态更新协议的DNS 安装位于域中的另一台成员服务器上，在就地升级要恢复的Windows 2003 域控制器的过程中，您必须安装“可选组件”的DNS 选项。

需要安装该选项的主要原因是Active Directory 以前绑定到的网络适配器实际上已被删除。

新的网络适配器将保留当前的协议，但是它们的设置已丢失，并且在就地升级和
修复操作中，您无法重新配置这些选项。

在升级和修复过程中，如果域控制器无法访问支持动态更新协议的DNS 服务器，将不会还原任何目录服务组件。

您可以通过在事件查看器中查看所有与Active Directory 有关的丢失的事件日志来了解这一点。

仅显示系统日志、应用程序日志和安全日志。

因此，必须将DNS 安装到不同的硬件上正在进行就地修复和升级的域控制器上。

在类似的硬件上，这通常不会有什么问题，因为网络适配器相同，并且保留了所有的协议设置。

4.完成就地升级和修复操作后，启动注册表编辑器，然后验证ClientProtocols 项是否位于下面的注册表子项下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
为此，请按照下列步骤操作：
a. 单击“开始”，然后单击“运行”。

b. 在“打开”框中，键入regedit，然后单击“确定”。

c. 在左窗格中，展开“我的电脑”。

d. 展开“HKEY_LOCAL_MACHINE”，然后展开“SOFTWARE”。

e. 展开“Microsoft”，然后展开“Rpc”。

如果没有ClientProtocols 项，说明用于还原操作的网络适配器与原服务器的适配器不同。

当网络适配器被意外地从服务器中删除时，ClientProtocols 项将被删除。

如果没有ClientProtocols 注册表项以及它所包含的值，将无法实现网络连接。

如果没有ClientProtocols 项，您可以手动重新创建它以及它所包含的所有值，也可以使用注册表编辑器从另一个Windows 2003 域控制器中导入它。

•要从另一个Windows 2000 域控制器中导出ClientProtocols 项，请按照下列步骤操作：
a. 单击“开始”，然后单击“运行”。

b. 在“打开”框中，键入regedit，然后单击“确定”。

c. 在左窗格中，展开“我的电脑”。

d. 展开“HKEY_LOCAL_MACHINE”，然后展开“SOFTWARE”。

e. 展开“Microsoft”，然后展开“Rpc”。

f. 单击“ClientProtocols”。

g. 在“注册表”菜单上，单击“导出注册表文件”。

h. 在“保存在”列表中，选择一个可移动媒体设备或网络共享。

i. 在“文件名”框中，键入文件名，然后单击“保存”。

j. 在恢复的服务器上，双击该 .reg 文件以导入注册表项。

•要手动重新创建ClientProtocols 项及其值，请按照下列步骤操作：
a. 单击“开始”，然后单击“运行”。

b. 在“打开”框中，键入regedit，然后单击“确定”。

c. 在左窗格中，展开“我的电脑”。

d. 展开“HKEY_LOCAL_MACHINE”，然后展开“SOFTWARE”。

e. 展开“Microsoft”，然后展开“Rpc”。

f. 右键单击“Rpc”，指向“新建”，然后单击“项”。

g. 键入ClientProtocols。

h. 右键单击“ClientProtocols”，指向“新建”，然后单击“字符串值”。

i. 在右窗格中，为数值名称键入ncacn_http。

j. 右键单击“ncacn_http”，然后单击“修改”。

k. 在“数值数据”框中，键入rpcrt4.dll，然后单击“确定”。

l. 重复步骤h 到步骤k，在ClientProtocols 注册表项中创建下列注册表值：
5.重新启动服务器。

6.重新配置服务器的Internet 协议(IP) 设置，以便“首选DNS 服务器”指向它自身的IP 地址。

如果在单独的Windows 2000 成员服务器上配置DNS，则可以将主DNS 指向该DNS 成员服务器，并且在本文后面介绍的步骤9 中，可以在重新启动服务器后将DNS 从恢复的域控制器中删除。