主域控制器和额外域控制器问题讨论
主域控制器和额外域控制器问题讨论
字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客
当主域控制器因为物理损坏,我想把额外域控制器升级为主域控制器。不知有没有人会?我也来说两句查看全部回复
最新回复
∙tomdoctor (2005-1-08 14:41:09)
运行ntdsutil 把操作角色seize过来
∙qjping (2005-1-11 21:41:08)
请问楼上有没有操作过?
∙tutuit (2005-1-17 08:36:32)
往上搜索一下,有关seize的资料一大堆
∙tutuit (2005-1-17 08:36:45)
网上搜索一下,有关seize的资料一大堆
∙xwbest (2005-1-17 13:37:41)
把所有的角色夺过来就可以了
我试过的
而且没任何问提?不过我有一个角色找了半天才拿过来的
∙housten (2005-1-28 14:15:57)
QUOTE:
最初由xwbest 发布
[B]把所有的角色夺过来就可以了
我试过的
而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]
你成功过!太好了,能讲讲具体步骤吗!
因为我试验过几次,都不成功。关掉主域控制器后,在额外域控制器上夺取了5个角色和GC,重新建立DNS,都不行。不知是那里出问题了。
∙xwbest (2005-1-28 17:08:41)
为什么要重新建立DNS
我做的时候额外域控制器上的DNS与主域一样
是起额外域控制器时自动建立没必要重建
如果重建会有问题的
∙xwbest (2005-1-28 17:16:50)
而且客户机不用做任何的改动
连额外域控制器上也不必该原来的DNS回自动转过来的
我讲的是客户机的DNS不动也可以用
∙stevenxia (2005-1-29 09:21:05)
看看这篇文章,希望对你有所帮助:
AD恢复主域控制器
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
--------------------------------------------------------------------------------
目录
Active Directory操作主机角色概述
环境分析
从AD中清除主域控制器https://www.360docs.net/doc/6319030035.html, 对象
在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本
参考信息
作者介绍
--------------------------------------------------------------------------------
一、Active Directory操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机schema master、
域命名主机domain naming master
相对标识号(RID) 主机RID master
主域控制器模拟器(PDCE)
基础结构主机infrastructure master
而每种操作主机角色负担不同的工作,具有不同的功能:
架构主机
具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。
具有域命名主机角色的DC 是可以执行以下任务的唯一DC:向目录林中添加新域。从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号(RID)
主机此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、组或计算机)时,需要将RID 与域范围内的标识符相结合,以创建唯一的安全标识符(SID)。每一个Windows 2000 DC 都会收到用于创建对象的RID 池(默认为512)。RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。通过RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机
PDCE
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。本机Windows 2000 环境将密码更改转发到PDCE。每当DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证DC 中。
时间同步—目录林中各个域的PDCE 都会与目录林的根域中的PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的
全局唯一标识符(GUID)、安全标识符(SID) 和可分辨的名称(DN)。如果被引用的对象移动,则在域中担
当结构主机角色的DC 会负责更新该域中跨域对象引用中的SID 和DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。
--------------------------------------------------------------------------------
二、环境分析
公司https://www.360docs.net/doc/6319030035.html,(虚拟)有一台主域控制器https://www.360docs.net/doc/6319030035.html,,还有一台额外域控制器
https://www.360docs.net/doc/6319030035.html,。现主域控制器(https://www.360docs.net/doc/6319030035.html,)由于硬件故障突然损坏,事先又没有
https://www.360docs.net/doc/6319030035.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.360docs.net/doc/6319030035.html,),我们怎么让额外域控制器(https://www.360docs.net/doc/6319030035.html,)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
--------------------------------------------------------------------------------
三、从AD中清除主域控制器https://www.360docs.net/doc/6319030035.html,对象
3.1在额外域控制器(https://www.360docs.net/doc/6319030035.html,)上通过ntdsutil.exe工具把主域控制器(https://www.360docs.net/doc/6319030035.html,)从A
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain https://www.360docs.net/doc/6319030035.html,
server connections:quit
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具,展开Domain NC[https://www.360docs.net/doc/6319030035.html,],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开
Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮,如图2:--------------------------------------------------------------------------------
四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain https://www.360docs.net/doc/6319030035.html,
server connections:quit
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
出现对话框,按“确定“
fsmo maintenance:Seize infrastructure master
出现对话框,按“确定“
fsmo maintenance:Seize PDC
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)--------------------------------------------------------------------------------
五、设置额外控制(https://www.360docs.net/doc/6319030035.html,)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开
Default-First-Site-Name,展开Servers,展开https://www.360docs.net/doc/6319030035.html,(额外控制器),右击NTDS Settings 选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
--------------------------------------------------------------------------------
六、重新安装并恢复损坏主域控制器
修理好https://www.360docs.net/doc/6319030035.html,损坏的硬件之后,在https://www.360docs.net/doc/6319030035.html,服务器重新安装Windows 2000 Server,安装好Windows 2000 Server之后,再运行Dcpromo升成额外的域控制器;如果你需要使https://www.360docs.net/doc/6319030035.html,担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer操作就行了(注意:不能用Seize)。并通过Active Directory Sites and Services设置https://www.360docs.net/doc/6319030035.html, 为GC,取消https://www.360docs.net/doc/6319030035.html,的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。
主备域配置讲解
1、确认额外域控制域已经关闭。顺序开启磁盘阵列柜、主域控制器。 2、检查网络适配器的DNS是否配置正确,因为域控制器创建后,DNS会被重新配。 3、点击“开始”—“程序”—“管理工具”—“群集管理器”,开始配置第一台群集管理器; 3、在“打开连接”的欢迎框中,要选择“创建新群集”,创建第一台群集管理器而言; 4、在“向导”中,直接“下一步”; 5、配置“群集名称和域”时,域名不要改动,群集名可以根据个人喜好填写; 6、选择计算机名时,默认的为本机名称,可以“下一步”继续; 7、在群集配置时,计算机自动搜索并配置磁盘阵列柜,挑选磁盘阵列柜中一个最小的磁盘来作为仲裁磁盘(如果之前划分过1G大小的磁盘,此时会将该盘作为仲裁磁盘。仲裁磁盘故障可能导致整个群集失效;所以,除了进行群集管理外,不要使用仲裁磁盘执行其它任务。 ),此处,如有错误可以点击日志察看,非红色警告可以继续“下一步”; 8、群集的IP地址,必须是网络中没有被使用的IP地址,可以是临时的IP地址,在群集创建完成后可以变更的; 9、群集服务帐户的用户名为创建域控制器时配置的域用户名称和密码,本文配置用户为LM; 10、在提示推荐配置时,可以详细察看配置明细,如需要可以保存配置日志; 11、创建群集时,如果存在严重错误,会有红色进度条警示,非红色警示可以“下一步”; 12、恭喜“完成”; 13、群集管理器创建完成后,系统自动登录群集,在群集管理器中可以看到本机的名称已经登录;在右侧的栏中为“运行”状态; 14、配置管理群集:右键点击左栏群集的根目录,点击“属性”; 15、需要察看配置的是“网络优先级”内容,将私网服务(心跳服务)的网卡(Private)排在第一位,公网网卡(Public)服务排在后; 16、右键察看两块网卡的属性,公网网卡的角色为“所有通讯(混合网络)”,私网网卡的角色为“只用于内部群集通讯(专用网络)”; 至此,群集创建完毕,双机热备的第一台服务器系统部分已经完成,可以进行其他的服务安装了。 配置备份服务器 17、首先一定确认磁盘阵列柜和主域控制器的已经开启并且群集已经安装完毕。 18、启动额外域控制器。点击“开始”—“程序”—“管理工具”—“群集管理器”,开始添加群集管理器; 19、在“打开连接”的欢迎框中,要选择“添加节点到群集”; 20、查找或输入前面所创建的群集名称;群集服务配置向导会自动提供前面在安装主域控制器时选定的用户名称,输入该用户名称的口令后一路点击下一步并最终结束配置。 21、打开“群集管理器”,如果配置正确,将看到主域控制器和额外域控制器两个节点的名称,表明群集已被正常配置并已开始运行。
辅助域控及dns设置详解
服务器规划 主域控制器 https://www.360docs.net/doc/6319030035.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.10/24 首选DNS:192.168.1.10 备用DNS:192.168.1.11 额外域控制器 https://www.360docs.net/doc/6319030035.html,+DNS 操作系统:Microsoft Windows Server 2003 网卡信息:IP:192.168.1.11/24 首选DNS:192.168.1.11 备用DNS:192.168.1.10 安装步骤: 1 安装前,额外域控制器的DNS指向主域控 2 安装DNS服务但不设置 3 安装额外域控,如果主域控中dns和AD集成,额外域控制器会在安装ad后自动同步dns 记录. 4 安装后修改额外域控制器的DNS指向本机(可选)。 一、额外域控制器安装及相关设置 在做额外域控的机器上运行DCPROMO,安装额外域控制器。 安装完毕后,重启。 1、在dcserver主域控器DNS管理界面里 1)选中正向区域的“_https://www.360docs.net/doc/6319030035.html,“,点右键属性,确认区域类型: “Active Director 集成区域”;更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2)再“名称服务器”标签中,将额外域控制器全域名及IP添加进来 3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4)依次在“https://www.360docs.net/doc/6319030035.html,”和反向查找区域“192.168.1.x. subnet”做以上各步履,在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务(升级额外域控时未配置DNS服务)安装完毕,打开DNS管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP,备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”,点选DCBAK ->NTDS右击属性,将“全局编录”打勾,点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS地址添加) 至此,主域控与额外域控可负载均衡(应该是这么叫吧),若一个域控损坏,客户端登陆不受影响。
Windows 2008 主域控与辅助域控通讯端口
Windows 2008 主域控与辅助域控通讯端口 现在有个客户的需求是要在外地部署辅助域控,并且对安全要求极高,因此需要知道辅助域控正常工作需要开启哪些端口?谢谢!最好可以有微软官方的说明文档 回答:根据您的描述,我对这个问题的理解是: 您想了解Windows Server 2008主域控与辅助域控之间需要开启哪些端口。因为客户需要在外地部署辅助域控且对安全要求很高。 由于域控的服务较多,需要的端口也比较多,我列出我们所需要的端口供您参考。同时我们确实也有官方文档具体讲述这些内容,我在回复最后提供了文章链接给您,供您参考: 1. 复制:下表列出了 Active Directory 和 AD DS 复制的端口分配。
2. 信任 3. 全局编录 4. DNS: 下表列出了域名系统 (DNS) 的端口要求。
5. DHCP: 下表列出了动态主机配置协议 (DHCP) 的端口要求。 6. 用户和计算机身份验证 7. 组策略: 下表列出了组策略的端口要求。除了下表中的端口之外,客户端计算机还必须能够通过 Internet 控制消息协议 (ICMP) 联系域控制器。ICMP 用于慢速链接检测。
具体的信息,我们可以参考如下文章: Active Directory 和 Active Directory 域服务端口要求 https://www.360docs.net/doc/6319030035.html,/zh-cn/library/dd772723(WS.10).aspx 如何为域控制器配置 Windows Server2003 防火墙 https://www.360docs.net/doc/6319030035.html,/kb/555381/zh-cn Windows 服务器系统的服务概述和网络端口要求 https://www.360docs.net/doc/6319030035.html,/kb/832017/zh-cn 徐颖彧微软全球技术支持中心 Windows 2008 主域控与辅助域控通讯端口的相关文章请参考 域控制器端口 域客户端登录用到的端口 域客户端远程管理端口 无法远程管理域客户端 主域控制器与辅域控制器通讯端口 Windows 2008 主域控与辅助域控通讯端口 分支域控制器同步端口 活动目录是可以跨网段的 —gnaw0725
主域控制器和额外域控制器问题讨论
主域控制器和额外域控制器问题讨论 字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客 当主域控制器因为物理损坏,我想把额外域控制器升级为主域控制器。不知有没有人会?我也来说两句查看全部回复 最新回复 ∙tomdoctor (2005-1-08 14:41:09) 运行ntdsutil 把操作角色seize过来 ∙qjping (2005-1-11 21:41:08) 请问楼上有没有操作过? ∙tutuit (2005-1-17 08:36:32) 往上搜索一下,有关seize的资料一大堆 ∙tutuit (2005-1-17 08:36:45) 网上搜索一下,有关seize的资料一大堆 ∙xwbest (2005-1-17 13:37:41) 把所有的角色夺过来就可以了 我试过的 而且没任何问提?不过我有一个角色找了半天才拿过来的 ∙housten (2005-1-28 14:15:57) QUOTE: 最初由xwbest 发布 [B]把所有的角色夺过来就可以了 我试过的 而且没任何问提?不过我有一个角色找了半天才拿过来的[/B] 你成功过!太好了,能讲讲具体步骤吗! 因为我试验过几次,都不成功。关掉主域控制器后,在额外域控制器上夺取了5个角色和GC,重新建立DNS,都不行。不知是那里出问题了。
∙xwbest (2005-1-28 17:08:41) 为什么要重新建立DNS 我做的时候额外域控制器上的DNS与主域一样 是起额外域控制器时自动建立没必要重建 如果重建会有问题的 ∙xwbest (2005-1-28 17:16:50) 而且客户机不用做任何的改动 连额外域控制器上也不必该原来的DNS回自动转过来的 我讲的是客户机的DNS不动也可以用 ∙stevenxia (2005-1-29 09:21:05) 看看这篇文章,希望对你有所帮助: AD恢复主域控制器 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 -------------------------------------------------------------------------------- 目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.360docs.net/doc/6319030035.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录) 重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本 参考信息 作者介绍 -------------------------------------------------------------------------------- 一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机schema master、 域命名主机domain naming master 相对标识号(RID) 主机RID master 主域控制器模拟器(PDCE) 基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。
Win2003 server额外域控不能单独工作的问题
Win2003 server额外域控不能单独工作的问题 当主控制器关掉,额外域控制器并不能充当域控制器角色,客户端无法进入域,打开服务器系统事件查看器,可以根据上面的报错更快的知道那些地方设置有问题,我这次遇到的情况是 服务器系统事件查看器显示错误事件ID 1030 1058。处理方法如下:
一.检查AD设置 1. 查看域控DNS地址,主域控的首选DNS地址为本身IP地址,备用DNS地址为额外域控的地址,相应的,额外域控的首选DNS为本身,备用DNS设为主域控的IP地址。
2. 依次在主域和额外域控上打开DNS管理介面,对正向查找区域“_https://www.360docs.net/doc/6319030035.html,”,“https://www.360docs.net/doc/6319030035.html,”.反向查找区域“xx.xx.xx.* subnet”属性进行查看,确定设置如下,如不是,则进行修改
3 在主域打开“Active Directory站点和服务”,点选额外域DC属性,查看全局编录是否打勾
三.核实Netlogon 、FRS和DFS 服务已启动 1. 单击“开始”,指向“管理工具”,然后单击“服务”。 2. 在“服务”列表中,单击“Distributed File System”服务,“File Replication Service“服务和Netlogon 服务。验证“状态”列下的值是否为“已启动”。验证“启动类型”列下的值是否为“自动”。如果“状态”值或“启动类型”值不正确,请按照下列步骤操作: a. 右键单击“Distributed File System”服务,“File Replication Service“服务和Netlogon 服务,然后单击“属性”。 b. 在“启动类型”列表中,单击“自动”。 c. 在“服务状态”区域中,如果未启动服务,单击“启动”。 d. 单击“确定”。 四.检查Sysvol 文件夹的内容和权限 SYSVOL是用来存储域公共文件服务器副本的共享文件夹,例如我们用得最多的组策略设置、脚本等都是存在这个共享目录中的。如果组织内有多台域控制器,那么它们就在域中所有的域控制器之间通过FRS服务相互复制。而NETLOGON共享则是SYSVOL目录中一个文件夹Scripts的共享名,顾名思义就是用来保存脚本信息的。 4.1要确保Sysvol NETLOGON共享可用,在命令提示符下对每个域控制器运行net share命令,在文件夹列表中查找“SYSVOL”和“NETLOGON”。 如无共享,则做如下操作重建Netlogon和Sysvol共享(假设文件夹结构内容正常,只是共享丢失) 1、运行Regedit,打开注册表编辑器,找到如下键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameter s\Backup/Restore\Process at Startup 然后在右边找到BurFlags,将其值改为D4(16进制,D4,也称为的授权模式还原)2、再分别运行如下命令停止重启相关服务 net stop netlogon & net start netlogon net stop ntfrs & net start ntfrs 3、查看共享恢复是否正常net share 4.2如果Sysvol文件丢失,则须新建Sysvol,做如下处理 1.按照原有的实际结构手动建立
最全面的额外域控制升级为主域控制器实验方法
额外域控制升级为主域控制器实验 一、实验环境:域名为https://www.360docs.net/doc/6319030035.html, 原主域控制器 System: windows 20003 Server FQDN: https://www.360docs.net/doc/6319030035.html, IP:192.168.10.100 Mask:255.255.255.0 DNS:192.168.10.1 二、实验目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。一般公司部署两台AD server来维持正常运行,一台为主域控制器,另外一台为额外域控制器,如果主ADserver损坏可通过额外的域控制器来维持环境正常运行,如果之前没有通过备份,同时AD由于硬件设备而导致不能正常工作,这个时候我们就需要将额外的域控制器提升为主AD。 三、以下介绍三种额外域提升为主域方法 四、实验步骤: 1. 安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS 跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。 2. 以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图. 3. 这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。如图 4. 这里输入你的域管理员的用户名和密码,点【下一步】。如图: 5. 这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图: 辅助域控制器 System: windows 2003 Server FQDN:https://www.360docs.net/doc/6319030035.html, IP: 192.168.10.101 Mask: 255.255.255.0 DNS:192.168.10.1
域控制器配置详解
2003双机热备之一系统安装 本文所述双机热备是采用微软公司Windows2003 Server操作系统,非第三方管理软件。硬件需求: 1、两台服务器,一台为主域控制器,另一台为额外域控制器; 2、每台服务器配置两块网卡,和两块阵列卡(一块做本地服务器磁盘阵列,另一块连接磁盘柜阵列); 3、一台用来共享资源的存储设备(本文为Dell221s磁盘阵列柜); 4、一条点对点的反转网线(充做心跳线);两条将服务器接入网络的网线。 系统安装: 主域控制器和额外域控制器可以分两个时间段来完成,这也是群集的最大特点,可以不停机的进行数据转移。以下一同描述主域控制器和额外控制器的安装: 1、服务器分为主域控制器(主服务器)和额外域控制器(从服务器),这里将主域控制器标名为hrb0,将额外域控制器标名为hrb1;
2、将hrb0 的第一块网卡做为外网(局域网)使用的网卡,标明public,第二块网卡做为私网(与hrb1的连接)使用的网卡,标明private; 3、在主服务器上安装Windows 2003 Server Enterprise(过程略); 4、配置tcp/ip协议: 外网: 掩码:网关: DNS:(把对方服务器IP作为本机的主DNS,本机地址做备用DNS) 内网: 掩码:(网关空) DNS: (把对方服务器IP作为本机的主DNS,本机地址做备用DNS) 5、安装补丁; 6、其它相关配置完成后,关闭服务器,准备连接磁盘阵列; 7、将磁盘阵列柜的应用模式调至"群集模式"(在盘柜的背面有滑动开关,调至靠近模块拉手一侧);由于在"群集模式"下,RAID卡会占用ID15的槽位,所以ID15槽位的磁盘在以后的配置应用过程中不会起到作用,建议将盘柜ID15槽位的硬盘取下,做为以后的备用硬盘。 8、将主域控制器的RAID卡连接线接至磁盘柜的EMM插口,磁盘阵列的另一EMM插口留
辅域控升级成主域控
辅域控升级成主域控 一. 其实,对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。如果说有区别的话,那就是第一台域控制器上拥有FSMO. 二. 什么是FSMO? FSMO的英文全称为Flexible Single Master Operations. 这些角色包括: ★架构主机 (Schema master) -架构主机角色是林范围的角色,每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。 ★域命名主机 (Domain naming master) -域命名主机角色是林范围的角色,每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。 ★RID 主机 (RID master) - RID 主机角色是域范围的角色,每个域一个。此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。 ★PDC 模拟器 (PDC emulator) - PDC 模拟器角色是域范围的角色,每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。 ★结构主机 (Infrastructure master) -结构主机角色是域范围的角色,每个域一个。此角色供域控制器使用,用于成功运行 adprep /forestprep 命令,以及更新跨域引用的对象的 SID 属性和可分辨名称属性。 Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给 林根域中的第一台域控制器. 三. 现在我们要做的事情就是: 将FSMO角色转移到另一台域控制器上. 使用的工具是:ntdsutil.exe(在命令行直接运行). 关于ntdsutil.exe的使用可以参考微软的相应文档. 1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器 https://www.360docs.net/doc/6319030035.html,/kb/255504/zh-cn 2.域控制器降级失败后如何删除 Active Directory 中的数据 https://www.360docs.net/doc/6319030035.html,/kb/216498/ 3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有) https://www.360docs.net/doc/6319030035.html,/kb/216498/zh-cn
额外域控制升级为主域控制器
额外域控制升级为主域控制器(一) 一、实验环境: 域名为 1、原主域控制器 System: windows 20003 Server FQDN: IP:192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、辅助域控制器 System: windows 2003 Server FQDN: IP:192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、Exchange 2003 Server FQDN: IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1 也许有人会问,做辅域升级要装个Exchange干什么? 其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。如果升级成功,对Exchange 应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。 二、实验目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。 三、实验步骤 1、安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的 是,两台域控器都要安装DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中 建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。 3、我们发现发送邮件测试成功,这证明Exchange是正常的。下面正式开始安装第 二台域控制器。也是就辅助域控制器(BDC)。 4、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】 在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图. 5、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下 一步】。如图
域控 子域控
域控子域控 域控是一种常见的网络管理工具,用于集中管理域内计算机和用户。域控制器(Domain Controller,DC)是在Windows Server中实现域的核心组件,它可以将所有域内的计算机和用 户统一管理起来,为组织提供高效的管理和控制。在一个域内,所有计算机和用户都必须通过域控制器进行认证和授权才能访问资源和服务。同时,域控制器还提供了一些其他功能,如安全策略管理、组策略管理、软件分发和更新等,使得管理员能够更加方便地管理整个域。 除了单一的域控制器,还有一种可以管理特定子域(子域)的域控制器。子域控制器(Subdomain Controller,SDC)是在Windows Server中实现子域的核心组件。它可以将所有子域内的计算机和用户统一管理起来,为组织提供高效的管理和控制。与域控制器类似,子域控制器也提供了认证、授权、安全策略管理、组策略管理、软件分发和更新等功能。在某些情况下,子域控制器可以更好地满足组织的需要,比如可以更加细粒度地管理用户和计算机、更好地隔离不同的业务部门等。 需要注意的是,子域控制器通常是在已经存在主域的情况下创建的,而不是独立存在。创建子域控制器需要先在主域中创建子域,然后才可以在子域中创建相应的子域控制器。在部署和管理子域控制器的时候,需要注意以下几个方面: 1. 设计子域结构:子域结构的设计需要考虑到业务需求、安全需求和管理需求等因素。比如,可以根据不同的业务部门或地理位置来划分子域,从而实现更细粒度的管理和隔离。
2. 配置域名系统(DNS):子域控制器必须使用正确的DNS 设置才能正常工作。在部署子域控制器之前,需要先在DNS 服务器中配置子域的DNS区域和相应的DNS记录,并将子域控制器指定为DNS服务器。 3. 配置网络连接和安全:子域控制器需要与主域控制器和其他子域控制器进行通信,因此需要确保网络连接可靠和安全。此外,还需要配置相应的安全策略和权限,以确保子域控制器和子域内的计算机和用户的安全。 4. 配置备份和恢复:域控制器是关键的网络组件,因此需要做好备份和恢复的准备工作。在部署子域控制器之前,需要制定相应的备份和恢复策略,并测试备份和恢复功能,以确保在发生故障或灾难的情况下能够及时恢复数据和服务。 总之,子域控制器是域控制器的重要补充。它可以为组织提供更加细粒度的管理和隔离,满足不同部门和业务的需求。在部署和管理子域控制器的过程中,需要注意设计子域结构、配置DNS、网络连接和安全、备份和恢复等方面的问题,以保证子域控制器的正常运行和安全性。
域服务器的迁移
域服务器如何进行迁移 域服务器的迁移我想大家都有过这样的想法,不过迁移域服务器可不是一个简单的事,大家跟我来一起学习; 假设主域控制器的IP为,额外域控制器的IP为 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器上查看FSMO五种主控角色的owner拥有者,安装Windows Server 2003系统光盘中的Support目录下的support tools 工具, 然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上; 2.将域控角色转移到备份域服务器 在主域控服务器执行以下命令: 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车,
再输入:roles 回车, 再输入connections 回车, 再输入connect to server 连接到额外域控制器 提示绑定成功后,输入q退出; 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面; 五个步骤完成以后,进入,检查一下是否全部转移到备份服务器上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在上面; 3. 转移全局编录: 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开, 右击NTDS Settings点属性,勾上全局编录前面的勾;然后展开,右击NTDS Settings点属性,去掉全局编录前面的勾; 第三步:修改域控IP:
主域控制器 和 额外域控制器 同步原理
主域控制器与额外域控制器的同步原理 一、引言 随着企业规模的扩大和业务的多元化,对于数据管理和身份认证的要求也越来越高。在这样的背景下,域控制器(Domain Controller)成为了企业网络中的重要组件。其中,主域控制器(Primary Domain Controller,PDC)和额外域控制器(Backup Domain Controller,BDC)分别扮演着核心与备份的角色,它们之间的同步对于维护网络的稳定性和可靠性至关重要。本文将深入探讨主域控制器与额外域控制器的同步原理。 二、主域控制器与额外域控制器的角色与功能 1.主域控制器(PDC):作为域控制器中的核心,PDC负责管理网络中所有计算机账户的认证和授权。它存储了域的所有账户信息,包括用户账号、组账号和相关权限等。此外,PDC还负责处理用户的登录请求,验证用户身份并授权相应的访问权限。 2.额外域控制器(BDC):作为PDC的备份,BDC主要用于提供冗余和故障转移能力。它复制了PDC上的所有账户信息,并在需要时接管认证和授权任务。通过与PDC保持同步,BDC确保了在网络故障或PDC不可用时,仍能提供不间断的服务。 三、同步过程与机制 1.账户信息同步:PDC和BDC之间的账户信息同步是通过Kerberos协议和LDAP(轻型目录访问协议)完成的。Kerberos协议用于加密用户身份验证,而LDAP则用于目录服务之间的通信,实现账户信息的实时同步。 2.数据更新机制:当PDC上的账户信息发生变化时(如用户账号创建、删除或权限更改),这些更改会被立即复制到BDC上。这一过程通常由Windows操作系统自动完成,无需人工干预。
域控 子域控
域控子域控 在计算机网络中,域控或域控制器(Domain Controller,简称DC)是一种网络服务器,它是Windows域的中心节点,负责 向域成员提供认证和授权。每个域强制执行安全策略,并存储有关域中对象的详细信息。域控对于大型企业和组织来说非常重要,因为它们可以帮助管理数千个用户、计算机和应用程序。 域控的主要功能包括身份验证、管理、安全、资源和策略管理。首先,身份验证是域控的最基本功能,它要求用户提供有效的用户ID和密码,以便让他们访问网络资源。管理是指对域中 用户、计算机和组织管理资源的能力。安全方面则指保障整个域的安全,维护访问控制列表(ACL),确保域中的数据不会被未授权的用户访问。资源管理包括各种资源的分配和管理,如对文件、打印机、应用程序、设备等的访问控制和监控。最后,策略管理包括指定哪些用户可以访问特定资源,以及如何保护这些资源。 子域控,顾名思义,是域控中的一个小型子集合,它的功能与主域控相同。子域是一种使用层次结构组织域的方法,它将较大的域划分为较小的子域,这有助于管理相对较大的用户和计算机组。对于几千个或更多用户的大企业和组织来说,子域控管理小型组成单元是非常有用的。 子域控的工作方式类似于主域控。它存储域中所有对象的详细信息,包括用户、计算机、组和其他资源,并处理用户的验证和授权请求。不同之处在于子域控负责管理子域内的用户、计算机和组,而主域控则管理整个域。子域控与主域控使用相同
的认证和授权方法,并使用相同的组策略和安全模型。 事实上,子域控与主域控形成了一种授权的层次结构。主域控母板设置了域级别的策略、安全和管理规则。子域控可以覆盖母板设置并添加或删除特定于子域的规则,以便在组织内灵活地分配管理权限和控制权限。因此,使用子域控可以更轻松地管理和保护域内的资源。 总之,域控和子域控对于大型企业和组织来说是非常重要的,并且它们可以提供有力的安全、合规性和管理功能。通过正确配置和管理域控和子域控,组织可以有效地管理其用户和计算机,同时确保安全和投资回报。
【企业】企业使用域管理建议
企业使用域管理 一、工作组与域的区别 现公司所有电脑采用工作组的网络管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有
权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二、公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享
域控 子域控
域控子域控 域控是一种集中管理和认证用户、计算机和其他网络资源的方式,它是可靠的安全机制,用于控制网络上的访问和资源分配。子域是一个独立的区域,它可以由父域管理,并拥有自己的安全策略和管理规则。 域控参考内容: 1. 域控是Windows域环境中的核心组件。它通过验证用户账 户和密码来控制对资源的访问,包括网络共享、打印机等。 2. 域控的工作方式是基于Kerberos协议的。当用户尝试连接 到域中的资源时,域控会使用Kerberos协议验证用户的身份。 3. 域控提供了一种可扩展的用户管理方式。管理员可以通过域控对用户和计算机进行管理和配置,包括添加、删除、修改用户和计算机账户等。 4. 域控还提供了安全策略和审核机制,这些可以帮助网络管理员处理安全事件,保护网络安全。 5. 域控在Windows Server中有两种类型:主域控制器(PDC)和辅助域控制器(BDC)。PDC是域控的主要副本,它可以 修改域上的任何信息。BDC是PDC的备份副本,它只能读取 域上的信息,并不能修改。 子域控参考内容: 1. 子域是一个独立的区域,它可以由父域管理,但有自己的安全策略和管理规则。子域的设立可以帮助企业更好地组织资源和数据。 2. 子域控制器与主域控制器的工作方式基本相同,但只控制子域中的资源。子域控制器需要复制域中的部分信息,而不是整
个域。 3. 子域控制器可以帮助提高安全性。通过禁止子域控制器之间的互相访问,可以避免攻击者获得整个域的访问权限。 4. 子域控制器的域名必须符合主域的命名规则,例如,“子域.主域.后缀名”。 5. 子域控制器可以创建子子域,以建立更深层次的组织架构。但是,这也会增加管理和维护的复杂度。
实战环境下的主域控制器系统重装方案
用户环境描述: 用户现有Windows2003域控制器两台,两台域控制器上分别安装有DNSi 艮务器,共同维护现有活动目录集成区域。 现在存在的问题和要求: 问题:用户主域控制器前段时间因为感染病毒和其他软件问题导致主 域控制器运行很不稳定,现在需要对主域控制器进行重新安装系统以 解决这个问题。 要求:因为域控制器上存储有大量用户帐号信息,所以在对域控制器 进行系统安装的时候要求不能造成用户帐户信息丢失。同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产 生影响。 解决方案: 主要步骤: 1. 备份现有主域控制器和备份域控制器系统 2. 检查和配置活动目录集成的DNSK域 3. 把GC(全局编录)移置到额外域控制器上 4. 转移域里的5种角色 5. 在主域控制器上运行DCPROh«AD,额外域控制器被提升为主 域控制器 6. 删除AD成功后,重新安装Windows2003再运行DCPROM^ AD, 将该计算机配置成为本域中的额外域控制器。
7. 在新安装的服务器上安装并配置DNSI艮务器 8. 测试系统 详细步骤: 1. 备份现有主域控制器和备份域控制器操作系统 1)准备一张包含GHOST8.醒序的可引导光盘 2)进入服务器BIOS更改服务器引导顺序,将光盘放在启动设备的第一位。 3)启动电脑到DOS犬态 4)启动ghost,如下图,依次点击local\Partition\ToImage 5)下面是选择要备份的分区,保存的位置和文件名 选择镜像文件保存的位置 6)选择压缩压缩方式(如下图): 2. 检查和配置活动目录集成的DNSK域 1)检查主域控制器DNSS己置 首选DN驰该设置为辅助域控制器安装的DNSI艮务器 点击开始---程序-----管理工具---DNS---右键相关正向区域----选 择“属性”查看主域控制器的DNSI艮务器如下所示: 类型:应该为“ ActiveDirectory 集成区域” 复制:应该为“ ActiveDirectory 域中的所有域控制器” 动态更新为:安全 2)检查辅助域控制器DNSSE置 首选DN驰该设置为主域控制器安装的DNSI艮务器
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
AD域DNS分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS集成安装,而且集成安装的方法好处有:使DNS也得到AD的安全保护,DNS的区域复制也更安全,并且集成DNS只广播修改的部分,相信更多情况下大家选择集成安装的方式是因 为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS服务器,并且即将安装的DC控制器负载预计会很重,如果觉得DC本身的负担太重,可把DNS另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS服务器(DNS-srv)+主域控制器(AD-zhu)+额外域控制器(AD-fu点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址)
huanjing.png 对于DC和DNS分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS。先安装DC在安装DNS的话,需要注意的就是DC 安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录,Cname记录,NS记录。那么我们就以先安装DNS为例,对于
用来支持Active Directory 的DNS 服务器必须支持SRV 资源记录,定位器机制才能运行。 建议安装Active Directory 之前DNS 结构应允许动态更新定位程序DNS 资源记录(SRV 和A),但是,您的DNS 管理员可以在安装后手动添加这些资源记录。 安装Active Directory 后,可在下列位置中的域控制器上找到这些记录: systemroot\System32\Config\Netlogon.dns(这说明DNS设置为“不允许动态更新”时,我们可以手动更新,但是有难度,且非常麻烦,所以一般建议选择“允许动态更新”) 另外我们说DC和DNS安装顺序没有太严格要求可从“参阅里面的连接”: