域控制器备份与恢复

域控制器活动目录之备份与恢复

作者：IT专家网论坛出处：IT专家网论坛2007-06-20 10:53

大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦……

大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:

1、整个网络中有且仅有一台域控制器;

首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:

点击我用箭头指出的“高级模式”:

再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:

在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:

在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里，我为了节省时间，就仅仅备份一下系统数据了:

在上图的左下角，“备份媒体或文件名”里可以选择备份的路径，并且支持网络备份的。选择好备份文件的存放路径后，就可以点击“开始备份”了:

点击“开始备份”后，会出现如下画面:

在上面的选项中，点击“计划”，系统会提示你“保存当前备份设置”，保存完成后，会出现下面的画面:

在这里要输入正确的具有管理员权限的帐号和密码才可以，输入后点“确定”，就会出现一个“计划的作业选项”:

点击上述画面中的“属性”:

在这里，可以设置计划作业，以方便系统以后自动按照计划进行备份，就不用一次次的手动备份了。设置完成后，就回到了刚刚的画面:

这次点击“高级”:

在这里，可选择一些如数据备份完成后验证其完整性之类的选项，这个大家可以根据需要进行选择，主要向大家简单介绍一下五个备份类型:

正常:备份所有选择的文件夹和文件，不依赖于任何标记，但会清除标记

副本:备份所有选择的文件夹和文件，不依赖于任何标记，但不会清除标记

增量:只备份选择的且有标记的文件夹和文件，但是会清除标记;

差异:只备份选择的且有标记的文件夹和文件，且不清除标记;

每日:以天为单位，每天发生变化的文件都会被备份;

这五种备份类型具体如何应用，如何配合使用，请大家结合自己的实际情况决定。配置好这些备份参数以后，就可以进行备份操作了:

整个备份时间还是比较长的，大约要20分钟左右，当然具体还要根据你的系统中的数据量来决定性的，在我这个实验环境里10分钟不到就OK了。备份完成后，我们可以在备份目录下找到这个备份文件，其大小为:537M。

有人可能会问，一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话，那么你就会知道，其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件，最大的就是那个System32文件夹，所以537M就不足为奇了。OK，备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了，首先你得重新安装操作系统，在我这里由于用的是虚拟机，所以我只要把前面的更改删除就可以了。嘿嘿，用虚机就是有这种好处，什么时候物理机也可以这样就好了。然后在开机的时候按F8:

在这里，我们要选择，第七项:“目录服务还原模式(只用于Windows域控制器)”，真不知道这句话是微软找谁来翻译的，我觉得括号里的文字应该翻译成:“只用于恢复Windows

域控制器”才比较合适，这句话不知道害过多少人，我就见过不少网络管理员是先把服务器提升为域控制器，然后再执行恢复操作，其实大家难道忘记了，我们刚刚备份的文件里有活动目录信息的。

在Windows的登陆窗口，如果你的服务器只是成员服务器，那么请输入本地管理员的密码，如果是域控制器，请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。

继续点击“开始-运行”，输入“Ntbackup”，并回车:

这回可别再选择备份向导了，要用“还原向导(高级)”:

点“下一步”，出来如下画面:

在“文件”上击右键:

点击“文件编录”:

输入备份文件所在的位置，然后确定:

然后点击“下一步”:

在上述画面中确认无误的话，就可以点击“完成”了:

在出来的警告窗口上点击“确定”:

这个画面和备份的画面差不多吧?几分种后就可以完成，完成后，系统会要求你重新启动计算机。重启后，你就会发现这台成员服务器已经变成域控制器了，并且和以前的一模一样。

2、多域控制器环境下的活动目录恢复

可能看到这个标题有人就会问，怎么一上来就讲恢复啊?不用备份吗?是的，如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过，从Windows 2000域开始，采用的是多宿主复制的机构，也就是所有的活动目录修改都会被复制到所有的域控制器上，所以是不需要备份的。只要看一下怎么恢复就可以了。

先来说明一下实验环境:

域名:https://www.wendangku.net/doc/5615539024.html,

第一台域控制器:

计算机名:https://www.wendangku.net/doc/5615539024.html,

IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1

并且FSMO五种角色及GC全部在第一台域控上。

第二台域控制器:

计算机名:https://www.wendangku.net/doc/5615539024.html,

IP:192.168.5.2

子网掩码:255.255.255.0

DNS:192.168.5.2

灾难情况:第一台域控制器由于硬件原因，导致无法启动。

这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了，我们的目的就是要让第二台额外域控制器来接替第一台的工作，也就是说把FSMO 和GC全部转移到额外域控制器上来。这里要分成两步:

一、首先，要把第一台域控制器的所有信息从活动目录里面删除:

(1)、点击“开始-运行”，输入:“cmd”并回车，在命令提示符下输入:“ntdsutil”，然后回车，如果你不是很清楚“ntdsutil”的使用方法，可以用“?”然后回车的方法来调用使用说明:

在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:

然后我们要显示一下Site中的域:

结果找到两个，其中“1”是我建的子域，所以这里要先择“0”:

通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。所以这里要选择“0”:

选中后，按“q”退出到上一层菜单:

在上图中点击“是”:

然后再按2个“q”退出。

(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象，

ADSI EDIT在SUPPORT TOOLS工具包里，打开后，找到如下位置:

击右键，然后选“删除”就可以了。

(3)、在“管理工具”里，打开“AD站点和服务”，找到如下位置:

把复制连接也删除了:

主域控挂掉后的方法

主域控挂掉后的方法.txt婚姻是键盘，太多秩序和规则；爱情是鼠标，一点就通。男人自比主机，内存最重要；女人好似显示器，一切都看得出来。Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.wendangku.net/doc/5615539024.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

域控服务器迁移步骤(精)

域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车， 再输入:roles 回车， 再输入connections 回车， 再输入connect to server 192.168.1.20 （连接到额外域控制器） 提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20， 右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。 然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

升级新域控后,手动删除旧主域控服务器

添加新域控后，手动删除旧主域控制器 如何手动删除/清除遗留的DC？我有一个DC，由于硬件损坏导致系统无法正常使用，DC的名字为DC02。 我重新安装了一台新的DC，取名为DC03。 我的问题是： 1 当类似有DC损坏，我重新安装新的DC时，是否可以将新的DC取名为DC02，这样会有问题么？ 2 如果向我上面那些安装新的DC03，原有的DC02的信息还在AD的数据库中，因为DC02已经无法降级，我该如何正确的将DC02从AD中清除掉 回答：根据您的描述，我了解到您想知道如何手动删除DC及清除AD中遗留信息。 根据我的经验，针对我们现在所遇到的情况，我建议我们可以如下操作。 1. 当我们把新服务器命名为DC02，则在提升域控操作之前，我们必须手动将AD中有关DC02的元数据清除干净。 2. 清除AD中DC02元数据的方法，我们可以参照 (KB216498)https://www.wendangku.net/doc/5615539024.html,/kb/216498/zh-cn 1. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。 2. 在命令提示符处，键入 ntdsutil，然后按 Enter。 3. 键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

4. 键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set credsDomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。 5. 键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。 6. 键入 quit，然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target，然后按 Enter。 8. 键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。 9. 键入 select domain number，然后按 Enter；其中 number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。 11. 键入 select site number，然后按 Enter；其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。 12. 键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。 13. 键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除

Windows server 域控制器 迁移 操作主机

Windows域迁移方法 1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色（又称FSMO）： 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向“所有任务”，然后单击“操作主机”。 5. 单击其中要改的选项卡，然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中，右键单击“Active Directory 架构”，然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中，右键单击“Active Directory 架构”，然后单击“操作主机”。

多域控制器环境下A D灾难恢复

多域控制器环境下Active Directory灾难恢复 -------------------------------------------------------------------------------- 摘要 本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.wendangku.net/doc/5615539024.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 设置额外域控制器为ＧＣ（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）： 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、

如何将备用的域控制器升级到主域控制器111

如前面一片文章所提到的。比较麻烦的是，Exchange 2003的邮件服务器是安装在主域控制器上的，所以，主域控制器也被干掉了。 型号，做文件服务器的那台服务器也是域控制器，就要将这台文件服务器，升级到主域控制器了。 如果你没有执行过这样的动作，会觉得这是个很麻烦的事情。当我们操作过之后，你就会发现，其实这个不难。 首先，我们执行【netdom query fsmo】命令，来看一下目前的主域控制器是哪台。 然后依次执行下面的命令 ntdsutil roles connections connect to server https://www.wendangku.net/doc/5615539024.html, 下面就开始夺取主域控制器的命令了 seize domain naming master seize infrastructure master seize pdc seize rid master seize schema master slect operation target q命令式退出命令。 这样，我们这台域控制器，就成为了主域了。 最后，我们还要将这台服务器成为全局编目服务器。方法如下： 管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目，把空格勾上就好 本文转自☆★黑白前线★☆- https://www.wendangku.net/doc/5615539024.html, 转载请注明出处，侵权必究！ 原文链接：https://www.wendangku.net/doc/5615539024.html,/a/special/qyaq/server/2010/0429/3595.html 将额外控制器升级为主域控制器[原]

win2003域控制器 升级 迁移到win2008R2详细步骤

win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下： 计算机名： whdgap01.WHDG.local IP地址： 192.168.2.31/24 （DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24） 操作系统： Windows Server 2003 Enterprise Edition SP1 提供服务： Domain Control、DNS 完成升级后，增加 Server2008为域控制器 计算机名： whdgap01.WHDG.local IP地址： 192.168.2.31/24 （DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24） 操作系统： Windows Server 2008 R2 enterprise 提供服务： Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中

3、对Forest（林）、 Domian（域）和RODC（域控制器）进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具，该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下，复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意：扩展操作在DC2003（域控制器）上进行操作。 开始－运行－CMD，进入D分区的ADPREP目录输入 adprep /forestprep 根据提示，选择”C “，并按下 Enter键继续。（林拓展）

域控服务器备份和恢复

域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色，AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS服务，C盘镜像文件和这2个服务每7天备份一次，备份文件名称加日期，分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端）、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合，包括系统启动文件、系

统注册表、COM+类的注册数据库。 当备份系统状态时，AD会作为其中的一部分进行备份，所以选择系统自带备份工具（ntbackup）备份系统状态来备份AD。 为了安全，我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup，打开系统自带备份软件（也可以点击“开始-程序-附件-系统工具-备份”打开）。 按确定，进入备份工具欢迎页面 选择高级模式，进入高级模式欢迎页面：

如何降域(主域控挂掉后的方法)

Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.wendangku.net/doc/5615539024.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 ________________________________________ 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称FSMO）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机

此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一 个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来 确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有 对象。 域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制 到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的，目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象 的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担 当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机 默认，这五种FMSO存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 ________________________________________ 二、环境分析

简述Win 2003域控制器的迁移

简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一，由于域控制器的种种优势，当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时，种种问题也相应出现，对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生，网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几，我们在此便讨论一下这个问题。 说明：根据上图可知A为B的主域控，在此我们只给大家作了一个模拟环境，实际当中，主域和子域可以不在一个网段内，也可以分布在用VPN相连的Intranet内，其原理是一样的。我们在此仅对A域控下的B域控做迁移工作，迁移过程为：首先B域控迁移到准备替换DC的PC上，down掉B域控，使得客户端工作无影响，再次对B主机作重灌windows 2003 server ，并替换PC的DC，这个过程中要求对客户端无任何影响。以下为操作步骤： 步骤1.备份DC的安装

(1)选用一台PC，安装windows 2003 server，设置IP为192.168.10.2;主机名为adbak，重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择：现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码，权限为管理级，域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上，用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS：解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2，以及各个主机记录是否解析正常 (5)Active Directory站点和服务，设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下，键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入：ntdsutil-roles-connections-connections to server https://www.wendangku.net/doc/5615539024.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明)：[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize

AD域的迁移

主域控制器的迁移 现有环境：一台主域控制器（含AD和数据库及其WEB程序）；有一台备份域控制器；一台新的服务器6850。 目的：将主域控制器迁移到新的服务器6850上 步骤：1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作： （1）运行dcpromo命令 （3）弹出Active Directory安装向导，点“下一步” （4）这里以默认，点“下一步”

（5）选“现有域的额外域控制器”，点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置（没有截图了） 加入过程中可能会碰到问题，如果有的话 参考https://www.wendangku.net/doc/5615539024.html,/archiver/tid-151189.html https://www.wendangku.net/doc/5615539024.html,/t/20030910/10/2243270.html# 然后到google上去查找！ 运行ntdsutil

Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.wendangku.net/doc/5615539024.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0

List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象

AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法

AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装，我们已经知道如何同DNS 集成安装，而且集成安装的方法好处有：使DNS 也得到AD 的安全保护，DNS 的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS 服务器，并且即将安装的DC 控制器负载预计会很重，如果觉得DC 本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器（DNS-srv ）+主域控制器（AD-zhu ）+额外域控制器（AD-fu 点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。（其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址） huanjing.png 对于DC 和DNS 分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话，需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录，Cname 记录，NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤： 1.DNS 服务器的安装； 2.DC 主控制器的安装； 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系，安装前请先参阅：(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。Active https://www.wendangku.net/doc/5615539024.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30

主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果.. ..关于AD灾难恢复，最终测试.. 关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！ 其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～ 本贴说明： ....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！ AD、DC说明： .域名：https://www.wendangku.net/doc/5615539024.html, ..主域：DC-ISA-NLB-1 ..副域：DC-ISA-NLB-2 .系统：2003企业版 故障情况：（真实环境跑完全过程..） ..主域崩溃，副域无法正常工作，如： ....无法浏览https://www.wendangku.net/doc/5615539024.html, 中 Active Directory用户和计算机，提示无法连接错误； ....AD管理项目均报错，组策略.....等； ....域用户无法登录； 解决方法：（以上是在副域上操作） ..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录； ..使用命令：ntdsutil.....AD工具 ..过程：（大概6-8分钟） C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点O K’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...～～ 以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧： ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’； .....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’； ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA－NLB-1’； ...........a.选中分支‘NTDS Settings’； ...........b.点击‘删除’，对话框‘选择第三项’； .....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’； .....3.点击‘DC-ISA－NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’，全局编录前打上勾； 完工....以上搞点后，余下就可以慢慢修复你的主域了。

如何迁移域控制器+FSMO+5个角色和GC

如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签：2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作： 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。 3. 键入 roles，然后按 Enter。 注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。 4. 键入 connections，然后按 Enter。 5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处，键入 q，然后按 Enter。 7. 键入 transfer role，其中 role 是要转移的角色。要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。例如，要转移 RID 主机角色，键入 transfer rid master。PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

域服务器备份和恢复 图解

域服务器备份和恢复 1 目的 在公司的局域网中，域控服务器控制着客户机共享局域网资源和对外部网络的访问，角色非常重要。为了保证域控制服务器系统故障后，能够第一时间恢复域控服务器系统，提高恢复域控服务器系统的工作效率，避免重新安装域控服务器导致客户机需要重新加域等麻烦，特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色，其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份和服务器磁盘镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS和DHCP服务，这3个服务每30备份一次，备份文件名称加日期，分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹，然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非Windows

2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端）、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合，包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时，AD会作为其中的一部分进行备份，所以我们选择系统自带备份工具（ntbackup）备份系统状态来备份AD。 AD中计算机帐户密码（即登录票据）默然30天更新一次，逻辑删除时限默然为60天，所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup，打开系统自带备份软件（也可以点击“开始-程序-附件-备份”打开）。 按确定，进入备份工具欢迎页面

主域控损坏Active Directory转移

手工删除Active Directory 数据 三、我们在上一篇博文中已经把实验环境搭建好了，现在万事具备只欠损坏主域控制器，下面我们关掉主域控制器（DENVER）。如下图所示：先在FIRENZE的Active Directory中把DENVER删除掉，使用“ntdsutil”工具，打开FIRENZE在命令行中输入“ntdsutil”命令后，如果记不清使用什么命令，可以使用？问一下。 使用“metadata cleanup”清理不使用的服务器的对象 使用“connections”连接到一个特定域控制器

使用“connect to server firenze”连接到自己，使用“quit”退出到上一级菜单中。 使用“select operation target”选择站点

使用“list sites”就会显示出所有的站点，我们只有一个站点，这里的站点是用0代表。 使用“select site 0”就是选中站点了。 使用“list domains in site”列出所选站点中的域，只有https://www.wendangku.net/doc/5615539024.html, 一个域，还是用0代表。

使用“select domain 0”选中https://www.wendangku.net/doc/5615539024.html,这个域。 使用“list server for domain in site”列出所选域和站点中的服务器，列出了主域控制器DENVER和额外域控制器FIRENZE，还是用数字0和1代表。 使用“select server 0”就是选中了DENVER，因为我们是在删除主DENVER。

我们想要选的服务器已经选中了，使用“quit”退出到上一个菜单中。 使用“remove selected server”删除所先的对象DENVER，出现了一个确认对话框，选择“是”。 最后使用“quit”命令退出就可以了。 我们打开“Active Directory 站点和服务”下把“DENVER”选中，右击“删除”。

Windows域(AD)迁移方案

域迁移方案 一、事前准备： 先分别建立两个位于不同林的域，内建Server若干，结构如下： https://www.wendangku.net/doc/5615539024.html, ADC02 172.16.1.2/24 https://www.wendangku.net/doc/5615539024.html, EXS01 172.16.1.101/24 https://www.wendangku.net/doc/5615539024.html, ADC01 172.16.1.1/24 其中： https://www.wendangku.net/doc/5615539024.html,： ADC01作为https://www.wendangku.net/doc/5615539024.html,主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。 ADC02作为https://www.wendangku.net/doc/5615539024.html,的辅助域控制器，操作系统为Windows Server 2008 R2 Exs01为https://www.wendangku.net/doc/5615539024.html,的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003 TMG01为防火墙，加入到https://www.wendangku.net/doc/5615539024.html,网域，操作系统为Windows Server 2008 R2，Forefront TMG为2010 Client为加入到此https://www.wendangku.net/doc/5615539024.html,网域的客户端PC，由DHCP Server分配IP https://www.wendangku.net/doc/5615539024.html,：

Ad-cntse为https://www.wendangku.net/doc/5615539024.html,的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2 Exs-centse作为https://www.wendangku.net/doc/5615539024.html,的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003. 备注：所有的Server均处在同一个网段172.16.1.x/24 二、https://www.wendangku.net/doc/5615539024.html,的User结构： 如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组，Terminal User为终端机用户组别，均没有Mail账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定 三、设定域信任关系： 1、设定DNS转发器： 在https://www.wendangku.net/doc/5615539024.html,域控制器Ad-cntse的DNS管理器设定把https://www.wendangku.net/doc/5615539024.html,的解析交给https://www.wendangku.net/doc/5615539024.html,的DNS，同理，把https://www.wendangku.net/doc/5615539024.html,域控制器ads01的DNS管理器把https://www.wendangku.net/doc/5615539024.html, 的解析交给https://www.wendangku.net/doc/5615539024.html,的DNS。如下图：