提升為域控制器故障
1. 如果域控壞了,最常見的問題是哪些
你是想測試額外域控制器是否起作用是吧,可以嘗試把主域控制器關閉或者離線,然後讓客戶端用域賬號登錄,看看訪問許可權是否正常,比如訪問你們公司的文件伺服器(此文件伺服器也是加了域的),看看是否能按你所登錄的域賬號擁有的許可權進行訪問,然後在試試組策略是否應用起來,在檢查下DNS解析,比如瀏覽下網站等,這些都檢查完了,基本大致就沒什麼問題,可以嘗試下加域,退域,創建域用戶(有可能會不成功,因為需要RID主機在線),然後再用新建的用戶進行登錄,基本就這些了!
2. 同一個域內,如果主域控制器發生了故障,那麼額外域控制器是不是就提升為了主控制器了呢
你好,不會的。你要手動去做,操作主機解色轉移。
具體操作,請參考網上。
3. 主域控制器壞了,怎麼辦
在多域控制器環境下,主域控制器由於硬體故障突然損壞,而又事先又沒有做好備份,如何使額外域控制器接替它的工作,使Active Directory正常運行,並在硬體修理好之後,如何使損壞的主域控制器恢復。
________________________________________
Active Directory操作主機角色概述
環境分析
從AD中清除主域控制器DC-01.test.com 對象
在額外域控制器上通過ntdsutil.exe工具執行奪取五種FMSO操作
設置額外域控制器為GC(全局編錄)
重新安裝並恢復損壞主域控制器
附:用於檢測AD中五種操作主機角色的腳本
________________________________________
一、Active Directory操作主機角色概述
Active Directory 定義了五種操作主機角色(又稱FSMO):
架構主機 schema master、
域命名主機 domain naming master
相對標識號 (RID) 主機 RID master
主域控制器模擬器 (PDCE)
基礎結構主機 infrastructure master
而每種操作主機角色負擔不同的工作,具有不同的功能:
架構主機
具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。 架構主機是基於目錄林的,整個目錄林中只有一個架構主機。
域命名主機
具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC:
向目錄林中添加新域。
從目錄林中刪除現有的域。
添加或刪除描述外部目錄的交叉引用對象。
相對標識號 (RID) 主機
此操作主機負責向其它 DC 分配 RID 池。只有一個伺服器執行此任務。在創建安全主體(例如用戶、
組或計算機)時,需要將 RID 與域范圍內的標識符相結合,以創建唯一的安全標識符 (SID)。 每一個
Windows 2000 DC 都會收到用於創建對象的 RID 池(默認為 512)。RID 主機通過分配不同的池來確保這
些 ID 在每一個 DC 上都是唯一的。通過 RID 主機,還可以在同一目錄林中的不同域之間移動所有對象。
域命名主機是基於目錄林的,整個目錄林中只有一個域命名主機。相對標識號(RID)主機是基於域的,目錄林中的每個域都有自己的相對標識號(RID)主機
PDCE
主域控制器模擬器提供以下主要功能:
向後兼容低級客戶端和伺服器,允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境將密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗後,它會與 PDCE 取得聯系,以查看該密碼是否可以在那裡得到驗證,也許其原因在於密碼更改還沒有被復制到驗證 DC 中。
時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。
PDCE是基於域的,目錄林中的每個域都有自己的PDCE。
基礎結構主機
基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時,此引用包含該對象的
全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動,則在域中擔
當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。
基礎結構主機是基於域的,目錄林中的每個域都有自己的基礎結構主機
默認,這五種FMSO存在於目錄林根域的第一台DC(主域控制器)上,而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在於子域中的第一台DC。
________________________________________
二、環境分析
公司Test.com(虛擬)有一台主域控制器DC-01.test.com,還有一台額外域控制器DC-02.test.com。現主域控制器(DC-01.test.com)由於硬體故障突然損壞,事先又沒有DC-01.test.com的系統狀態備份,沒辦法通過備份修復主域控制器(DC-01.test.com),我們怎麼讓額外域控制器(DC-02.test.com)替代主域控制器,使Acitvie Directory繼續正常運行,並在損壞的主域控制器硬體修理好之後,如何使損壞的主域控制器恢復。
如果你的第一台DC壞了,還有額外域控制器正常,需要在一台額外域控制器上奪取這五種FMSO,並需要把額外域控制器設置為GC。
________________________________________
三、從AD中清除主域控制器DC-01.test.com對象
3.1在額外域控制器(DC-02.test.com)上通過ntdsutil.exe工具把主域控制器(DC-01.test.com)從AD中刪除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出現對話框,按「確定「刪除DC-01主控伺服器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中DC-01伺服器對象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安裝Windows 2000 support tool,安裝程序在windows 2000光碟中的support\tools目錄下。打開ADSI EDIT工具,展開Domain NC[DC-02.test.com],展開OU=Domain controllers,右擊CN=DC-01,然後選擇Delete,把DC-01伺服器對象刪除,如圖1:
3.3 在Active Directory Sites and Service中刪除DC-01伺服器對象
打開Administrative tools中的Active Directory Sites and Service,展開Sites,展開Default-First-Site-Name,展開Servers,右擊DC-01,選擇Delete,單擊Yes按鈕,如圖2:
________________________________________
四、在額外域控制器上通過ntdsutil.exe工具執行奪取五種FMSO操作
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
出現對話框,按「確定「
fsmo maintenance:Seize infrastructure master
出現對話框,按「確定「
fsmo maintenance:Seize PDC
出現對話框,按「確定「
fsmo maintenance:Seize RID master
出現對話框,按「確定「
fsmo maintenance:Seize schema master
出現對話框,按「確定「
fsmo maintenance:quit
ntdsutil: quit
(註:Seize是在原FSMO不在線時進行操作,如果原FSMO在線,需要使用Transfer操作)
________________________________________
五、設置額外控制(DC-02.test.com)為GC(全局編錄)
打開Administrative Tools中的Active Directory Sites and Services,展開Sites,展開Default-First-Site-Name,展開Servers,展開DC-02.test.com(額外控制器),右擊NTDS Settings選擇Properties,然後在"Global Catalog"前面打勾,單擊"確定"按鈕,然後重新啟動伺服器。
________________________________________
六、重新安裝並恢復損壞主域控制器
修理好DC-01.test.com損壞的硬體之後,在DC-01.test.com伺服器重新安裝Windows 2000 Server,安裝好Windows 2000 Server之後,再運行Dcpromo升成額外的域控制器;如果你需要使DC-01.test.com擔任五種FMSO角色,通過ntdsutil工具進行角色轉換,進行Transfer操作就行了(注意:不能用Seize)。並通過Active Directory Sites and Services設置DC-01.test.com為GC,取消DC-02.test.com的GC功能。
建議domain naming master不要和RID master在一台DC上,而domain naming master同時必須為GC。
4. 電腦加入工作域,不能連接域控制器是什麼問題
建議你可以這樣試一試:
1.在工作組電腦上運行"\\域電腦的IP",這時正常應該會彈出對話框要求輸入域用戶名和密碼,域用戶名的輸入格式例如"A\USER1",其中A為域名,USER1為域用戶名.
2.如果運行"\\域電腦的IP"後,收到提示信息說"找不到網路路徑",請確定在域電腦上的防火牆的例外中勾選"文件和列印機共享".
這個問題我認為跟域控制器沒關系.3.運行欄輸入GPEDIT.MSC 打開組策略,然後在裡面確認來賓帳戶為啟用狀態。在允許從網路訪問我的電腦裡面加入guest。拒絕從網路訪問我的電腦裡面刪除guest和everyone
實在解決不了的話,可以去電腦商城找一位網路員幫你解決 希望以上的回答對你有幫助.
5. 加域的電腦登入系統時提示window無法與此域連接,以為域控制器存在故障或不可用,
進域控制器看看賬號分配是不是正常,看就是看許可權設置是不是正確。
6. 加入域時提示域控制器出錯
這個問題不好直接回答,原因有很多,你可以參照我下面的內容
1.只能和主域同一網段,才能加入域,不是一個網段要額外加wins服務。
2.域控制是否有防火牆等軟體的干擾
3.查看 DNS/WINS設置是否正確, 加域的時候使用全域名
4.xp的客戶機網路組件,軟體等環境是否正常
如果還不能解決,你能否提供更多的錯誤信息,我給你看看
7. windows 無法與此域連接,原因是域控制器存在故障或不可用,或者沒有找到計算機帳戶,請稍後再試。
網卡有問題,要不就是網線是虛接的.
8. 求救:ad域控制器壞了之後重做時出現的問題
AD
CONTROLLER出現什麼硬體故障?是否可修復?如果可修復,修復以後AD能夠啟動起來。然後進行ROLE的遷移工作。如果在第一台AD離線的情況上,提升其他伺服器為PDC,沒有任何意義,並且存在有風險。
9. 額外域控制升級為主域控制器
一、 實驗環境:域名為.com1、 原主域控制器System: windows 20003 Server FQDN: PDC.test.comIP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、 輔助域控制器System: windows 2003 ServerFQDN:BDC.test.comIP: 192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、 Exchange 2003 ServerFQDN:mail.test.comIP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也許有人會問,做輔域升級要裝個Exchange干什麼?其實我的目的是為了證明我的升級是否成功,因為Exchange和AD是緊密集成的,如果升級失敗的話,Exchange應該就會停止工作。如果升級成功,對Exchange應該就沒有影響,其實現在我們很多的生產環境中有很多這樣的情況。二、實驗目的:在主域控制器(PDC)出現故障的時候通過提升輔域控制器(BDC)為主域控制,從而不影響所有依靠AD的服務。三、實驗步驟1、 安裝域控制器。第一台域控制器的安裝我這里就不在說明了,但要注意一點的是,兩台域控器都要安裝DNS組件。在第一台域控制安裝好後,下面開始安裝第二台域控制器(BDC),首先將要提升為輔助域控制的計算機的計算機名,IP地址及DNS跟據上面設置好以後,並加入到現有域,加入域後以域管理員的身份登陸,開始進行安裝第二台域控制器。2、在安裝輔助域控器前先看一下我們的Exchange Server工作是否正常,到Exchange Server 中建立兩個用戶test1和test2,並為他們分別建立一個郵箱,下面使用他們相互發送郵件進行測試,如圖。 3、 我們發現發送郵件測試成功,這證明Exchange是正常的。下面正式開始安裝第二台域控制器。也是就輔助域控制器(BDC)。4、 以域管理員身份登陸要提升為輔助域控制器的計算機,點【開始】->【運行】在運行里輸入dcpromo打開活動目錄安裝向導,.點兩個【下一步】, 打開如圖.5、 這里由於是安裝第二台域控制器,所以選擇【現有域的額外域控制器】,點【下一步】。 8、幾分鍾後安裝完成,提示重新啟動計算機,重新啟動計算機,此時你的計算機已經成為了test.com域的輔助域控制了。此時在活動目錄用戶和計算機的域控制器里已經有兩台域控制了,如圖: 9、再查看一下FSMO(五種主控角色)的owner,安裝Windows Server安裝光碟中的Support目錄下的support tools工具,然後打開提示符輸入:netdom query fsmo 以輸出FSMO的owner,如圖: 10、 現在五個角色的woner 都是PDC,我的就是要把這個五個角色轉移到BDC上,使BDC成為這五個角色的owner。11、現在登陸PDC(主域控制器),進入命令提示符窗口,在命令提示符下輸入:ntdsutil 回車,再輸入:roles 回車,再輸入connections 回車,再輸入connect to server BDC --> (備註:這里的dc-1是指伺服器名稱),提示綁定成功後,輸入q退出,如圖:12、 輸入?回車可看到以下信息:
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的伺服器上覆蓋域角色
Seize infrastructure master - 在已連接的伺服器上覆蓋結構角色
Seize PDC - 在已連接的伺服器上覆蓋 PDC 角色
Seize RID master - 在已連接的伺服器上覆蓋 RID 角色
Seize schema master - 在已連接的伺服器上覆蓋架構角色
Select operation target - 選擇的站點,伺服器,域,角色和命名上下文
Transfer domain naming master - 將已連接的伺服器定為域命名主機
Transfer infrastructure master - 將已連接的伺服器定為結構主機
Transfer PDC - 將已連接的伺服器定為 PDC
Transfer RID master - 將已連接的伺服器定為 RID 主機
Transfer schema master - 將已連接的伺服器定為架構如圖:
10. Windows 無法與此域連接,原因是,域控制器存在故障或不可用,,,,,
出錯提示:「windows 無法與此域連接,原因是域控制器存在故障或不可用,或者沒有找到計算機帳戶,請稍後再試。如果此消息持續再現。請與系統管理員聯系以得到幫助」
管理員administrator身份可以進去操作,用自己的帳號就不行 ,試了幾次都這樣
昨天晚上下班前都好的 今早一開機就這樣.用GHOST還原後第一次可以登陸到域,以後不能登陸。
解決辦法
我採用的是先退出域,再加入域,OK。
原因分析
ghost系統之前是不能入域了。恢復後,和域伺服器脫離。
以下引自其他文章的解決辦法:
加入域後的計算機如果提示「windows 無法與此域連接,原因是域控制器存在故障或不可用,或者沒有找到計算機帳戶,請稍後再試。如果此消息持續再現。請與系統管理員聯系以得到幫助」目前我碰到得原因就是計算機名同名。
退出域,更改計算機名後,再加入域問題解決。
client一旦加入域之後,如果要使用ghost來恢復系統,那麼需要這么做:
1、安裝好client系統,安裝完最新的補丁,也可以考慮安裝一些基本軟體。
2、針對現有系統開始執行sysprep ,關於操作步驟,請參考
相關資料做這一步的目的,就是抽取硬體信息。做完之後,系統就會關機了。
3、對這台機器的引導區作ghost,以後恢復就用這個母盤恢復了。
Note:您會注意到上面的動作,並不是將client加入域之後再ghost,為什麼呢?ok,下面我說一下您之所以遇到這個問題的原因:
ad在設計的時候,為了保證client與dc之間安全的通信,要求client在加入域後,client的計算機賬戶需要定期與dc的計算機賬戶保持同步(這個期限默認是30天),也就是說,當client與dc發生驗證動作的時候,其實是先用計算機賬戶去驗證,然後才是用戶賬戶驗證(也就是您輸入用戶名和密碼)。那麼,為什麼要這么做呢?因為,用戶名和密碼是比較容易偽造的,如果在任何驗證發生之前,先校驗計算機賬戶的安全性,校驗通過之後,再校驗用戶賬戶,那麼整體驗證的安全性就得到了保證,相對於用戶帳戶,計算機賬戶就比較難以偽造。
微軟通過如下兩個方法來保障計算機賬戶驗證的安全:
其一、ad不允許任何用戶模式下的程序或者用戶模式下的交互動作,去干預或者設置計算機賬戶的同步(由這個同步動作建立的通道,微軟稱之為 security channel),
其二、計算機賬戶將會關聯計算機硬體信息,然後用形成計算機sid(sysprep的動作就是抽取了這部分信息)。
ok,那麼我們重現一下您遇到的問題。您可能在將client加入域後,沒有作sysprep,然後直接ghost。然後這台計算機啟動登錄到域,於是dc驗證當前client,通過驗證,隨後與client計算機賬戶進行同步(這個動作對用戶是透明的),好,這些都沒有問題。
過了一段時間,這段時間可能超過了30天,您使用之前的ghost進行恢復,然後再次嘗試登錄到域,dc驗證當前計算機賬戶的時候,與ad中的那個計算機賬戶對比,發現已經超過了30天,那麼出於安全考慮,認為該計算機賬戶是不可信任的(怕是偽造的),於是就給出一個錯誤信息「windows 無法與此域連接,原因是域控制器存在故障或不可用,或者沒有找到計算機帳戶,請稍後再試。如果此消息持續再現。請與系統管理員聯系以得到幫助」,在這種情況下,不是說dc有問題,而是說client的計算機賬戶有問題,請管理員出面解決。管理員該如何做呢?把ad中原來的計算機賬戶刪除,然後將客戶端重新加入域就可以了。
那麼30天的時間是否可以修改呢?是可以的,您甚至可以禁止這個同步動作.
這種情形常見於移動辦公,移動辦公的域賬戶,脫離域的時間可能超過30天。關於dc上不能使用還原卡或者使用ghost的問題.