本页内容步骤细节本章给出了本指南第 3 章所列步骤的循序渐进的信息。 步骤:备份系统状态以下步骤只备份系统状态,而不备份域控制器上的系统磁盘或任何其他数据。 步骤要求 | • | 可登录本地计算机,或以远程管理模式启用远程域控制器上的终端服务,以备份系统状态 | | • | 凭据:域管理员、本地管理员或备份操作员 | | • | 工具:备份 |
过程步骤 备份域控制器上的系统状态 1. | 使用具有域管理员或备份操作员凭据的帐户登录域控制器。 | 2. | 启动 Windows 备份向导。 | • | 在命令提示符或 Run 文本框中,键入 ntbackup ,然后按 ENTER。 或 | | • | 依次单击 Start > Programs > Accessories > System Tools > Backup。 |
| 3. | 默认情况下, Always Start in Wizard Mode 复选框已选中。可不管此选项,单击 Next。 | 4. | 选择 Back up files and settings 选项,然后单击 Next。 | 5. | 选择 Let me choose what to back up 选项,然后单击 Next。 | 6. | 在 Items to Back Up 窗口,单击加号展开 My Computer 。 | 7. | 从展开的 My Computer列表中,选中 SystemState 选项,然后单击 Next。 | 8. | 选择存储备份的位置。 | • | 若要备份到文件中,请输入备份 (.bkf) 文件的路径和文件名(或单击 Browser 按钮寻找文件夹或文件。) | | • | 若要备份到磁带设备,请选择要用的磁带。 注意: 不要将备份存储到本地硬盘驱动器上,而应存储到脱机位置,例如磁带驱动器。 |
| 9. | 为该备份输入名称,然后单击 Next。 | 10. | 在向导的最后一页,选择 Advanced。 | 11. | 不要更改 Type of Backup的默认选项。应选择 Normal ,不选中复选框 Backup migrated remote storage data。 单击 Next。 | 12. | 选中 Verify data after backup 选项,然后单击 Next。 | 13. | 在 Backup Options 对话框中,选择备份选项,然后单击 Next。 | 14. | 只允许所有者和管理员访问备份数据及此介质上附加的任一备份:单击 Next。 | 15. | 在 When to back up 框中,根据需要选择适当的选项,然后单击 Next。 | 16. | 若满意所有已选选项,单击 Finish 按所选的计划执行备份操作。 注意: 也可通过适当的参数使用命令行的 backup 来备份系统状态。关于详细信息,可在命令提示符下键入 ntbackup -? 来查阅命令行参考。 |
步骤:备份系统状态和系统磁盘以下步骤备份系统状态和系统磁盘。 步骤要求 | • | 必须登录本地计算机,或必须以远程管理方式启用远程域控制器上的终端服务,来备份系统状态。 | | • | 凭据:域管理员、本地管理员或备份操作员 | | • | 工具:Backup.exe。 |
过程步骤 备份域控制器上的系统状态和系统磁盘 1. | 使用具有域管理员、本地管理员或备份操作员凭据的帐户登录域控制器。 | 2. | 选择以下选项之一启动 Windows 备份向导: | • | 打开命令提示符,键入 ntbackup ,然后按 ENTER。 或 | | • | 依次单击 Start > Programs > Accessories > System Tools > Backup。 |
| 3. | 单击 Backup Wizard 按钮,然后单击 Next。 | 4. | 选择 Back up selected files, drives, or network data。 | 5. | 在 Items to Back Up中,单击 SystemState 。然后选择含有系统文件的驱动器号,再单击系统磁盘。之后单击 Next。 | 6. | 在 Where to Store the Backup 框中,选择以下选项之一来选定备份介质类型: | • | 若要备份到文件中,选择 File 。如果没有安装磁带备份设备,系统自动选择 File 。 或 | | • | 若要备份到磁带上,请选择磁带设备。 |
| 7. | 在 Backup Media or File Name 框中,选择下列之一: | • | 若要备份到文件中,请输入备份 (.bkf) 文件的路径和文件名,或单击 Browse 按钮寻找文件夹或文件。若目的文件夹或文件不存在,系统会创建一个。 或 | | • | 若要备份到磁带,请选择要用的磁带。 |
| 8. | 单击 Next后,会出现 Completing the Backup Wizard 屏幕。本屏幕总结了此备份作业的选项。核实 Prompt to replace data 已列入 How 类别中。若没有,单击 Advanced 按钮,然后单击 Next 直至到达 Media Options 屏幕,之后选择 Replace the data on the media with this backup。 | 9. | 完成剩余的向导屏幕,然后单击 Finish 开始备份操作。当 Replace Data 对话框出现时,单击 Yes 用此备份覆盖磁带或文件路径上现有的备份。进度指示器显示出备份操作的状态。 |
步骤:在目录服务还原模式下重新启动域控制器在目录服务还原模式下重新启动域控制器并以本地管理员身份登录,使域控制器脱机工作。若对域控制器具有物理访问权限,可在本地在目录服务还原模式下启动。 当在目录服务还原模式下启动 Windows Server 2003 时,本地安全帐户管理器 (SAM) 数据库会对本地管理员帐户进行身份验证。因此,需用本地管理员密码登录,而非 Active Directory 域密码。 步骤要求 过程步骤 在目录服务还原模式下本地重新启动 1. | 重新启动域控制器。 | 2. | 当屏幕显示选择操作系统时,按 F8。 | 3. | 从 Windows Advanced Options 菜单上选择 Directory Services Restore Mode。 | 4. | 根据提示,以本地管理员身份登录。 |
步骤:允许本计算机与其所有伙伴间的复制过程步骤 允许本计算机与其所有伙伴间的复制 1. | 打开命令提示符。 | 2. | 寻找此域控制器的出站伙伴,键入: repadmin /showrepl /repsto <本地域控制器名称> 然后按 ENTER。 此 repadmin 命令将输出包含所有出站邻居信息的清单。对每一邻居,验证最近的同步尝试成功,并有指示还原后已复制的时间戳。 | 3. | 若复制未成功,可强制进行此域控制器与其出站伙伴间的复制,胜于等待下一复制周期。根据命令提示符,运行 repadmin /syncall /ed /A /P /q。 | 4. | 检查上一步命令输出中的复制错误。若无错,则复制成功。为完成复制,必须矫正任何复制错误。 |
步骤:从备份介质还原使用至少含有系统状态和系统磁盘的良好备份来还原服务器。通过在 Active Directory 上执行非授权还原,将自动执行 SYSVOL 的非授权还原。无需更多步骤。 步骤要求 | • | 必须登录本地计算机,或必须以远程管理方式启用远程域控制器上的终端服务,来还原系统状态。 | | • | 凭据:本地管理员帐户 | | • | 工具:Backup.exe |
过程步骤 从备份介质还原 1. | 在目录服务还原模式下,启动 Windows Server 2003 备份工具。依次单击 Start > Programs > Accessories > System Tools > Backup。 | 2. | 单击 Restore Wizard 按钮,然后单击 Next。 | 3. | 选择合适的备份位置并确认至少选择了 System disk 和 SystemState 容器。 | 4. | 单击 Advanced 按钮。 | 5. | 在 Restore Files to list下,选择 Original Location , 然后单击 Next。 | 6. | 在 Advanced Restore Options 窗口,复选: | • | Restore security。 | | • | Restore junction points,将交接点下的文件和文件夹数据还原至初始位置。 | | • | Preserve existing volume mount points。 | | • | 对 SYSVOL 的主还原,还要复选以下框: When restoring replicated data sets, mark the restored data as the primary data for all replicas。 只有当还原的域控制器是域中唯一域控制器时才须进行主还原。还原整个域或林时要求对域中还原的首个域控制器进行主还原。 |
| 7. | 单击 Finish。 | 8. | 还原完成时,单击 Close,然后单击 Yes 重新启动计算机。 |
系统将重新启动并将复制自其与复制伙伴间最后备份后接收的任何新信息。 步骤:使用 Repadmin 关闭入站复制只有当域(或林的功能水平)为 Windows 2000 纯模式或更早时才需此步骤。通过关闭入站复制,可确保组成员身份的更改源于还原的域控制器,而非覆盖更改。 过程步骤 使用 repadmin 关闭入站复制 1. | 从命令提示符或在 Run 文本框中,键入 repadmin /options +DISABLE_INBOUND_REPL 然后按 ENTER。 | 2. | 核实选项已设。您应得到此消息:repadmin running command /options against server localhost 。 |
步骤:打开入站复制过程步骤 使用 repadmin 打开入站复制 1. | 从命令提示符或在 Run 文本框中,键入 repadmin /options . -DISABLE_INBOUND_REPL 然后按 ENTER。 | 2. | 核实选项已设。您应得到此消息:repadmin running command /options against server localhost 。 |
步骤:标记应用程序分区授权一旦从备份中恢复了数据,为了将这些对象复制到其他域控制器中,就必须选择要标记授权的对象。 过程步骤 将应用程序分区标记为权威 1. | 从命令提示符或在 Run 文本框中,键入 ntdsutil 启动工具。 | 2. | 在 ntdsutil: 提示符下,键入 authoritative restore ,然后按 ENTER。 有关 Ntdsutil 命令行工具的帮助信息,可随时键入 help 。 | 3. | 键入 List NC CRs ,然后按 ENTER。 NTDSUTIL 将输出还原后可用的应用程序分区列表,以及相关的交叉引用。注意交叉引用的可分辨名称,以及对应于要还原的应用程序分区的应用程序分区可分辨名称。 | 4. | 键入 restore subtree <App Partition DN>,其中 App Partition DN 是以上提及的应用程序可分辨名称。 | 5. | Ntdsutil 将提供确认对话框。单击 Yes 继续。 输出消息会指示操作状态。此处应不会失败。 | 6. | 键入 restore object <Cross Ref DN> (其中 Cross Ref DN 是以上提及的应用程序分区交叉引用可分辨名称),然后按 ENTER 。 | 7. | Ntdsutil 将提供确认对话框。单击 Yes 继续。 输出消息会指示操作状态。此处应不会失败。 | 8. | 退出 Ntdsutil 工具。 |
步骤:标记授权对象(一个或多个)一旦从备份中恢复了数据,为了将这些对象复制到其他域控制器中,就必须选择所要标记授权的对象。要完成这一操作,必须知道所要恢复的对象的可分辨全称。 过程步骤 标记授权对象(一个或多个) 1. | 从命令提示符或在 Run 文本框中,键入 ntdsutil 启动工具。 | 2. | 在 ntdsutil: 提示符下,键入 authoritative restore ,然后按 ENTER。 有关 Ntdsutil 命令行工具的帮助信息,随时键入 help 。 | 3. | 要还原对象,请键入 restore object <object DN> (其中 object DN 是要标记授权的对象可分辨名称)。 若要还原 corp.contoso.com 域中已删除的名为 John Smith 的用户,命令类似于: restore object CN=John Smith,CN=Users,DC=corp,DC=contoso,DC=com。可分辨名称中有空格或其他特殊字符时,请始终将可分辨名称放入引号中。 | 4. | 按 ENTER 键。Ntdsutil 将开始标记对象授权。输出消息会指示操作状态。最常见的失败原因是可分辨名称指定错误,或备份的 DN 不存在(这在试图还原备份后创建的用户时会发生)。 | 5. | 退出 Ntdsutil 工具。 |
步骤:验证 Active Directory 还原还原完成后,应重新启动服务器并执行基本验证。 步骤要求 | • | 必须登录本地计算机,或必须以远程管理方式启用远程域控制器上的终端服务。 | | • | 凭据: | • | 基本的:域管理员或本地管理员 | | • | 高级的:本地管理员 | | • | 工具:Backup.exe |
|
过程步骤 验证 Active Directory 还原 1. | 还原操作完成后,在正常启动 Windows 模式下重新启动计算机。Active Directory 和证书服务自动删除其已从备份中还原的数据,并执行完整性检查并重新索引数据库。 | 2. | 能够登录系统后,浏览 Active Directory 。验证所有备份前目录中存在的用户和组对象都已还原。同样,验证文件复制服务 (FRS) 副本集中的文件和证书服务颁发的证书。 |
步骤:还原系统状态至备用位置执行此步骤以允许 SYSVOL 授权还原。对象还原后,可删除备用位置内的文件。 步骤要求 过程步骤 将系统状态还原至备用位置 1. | 单击 Restore 选项卡。 | 2. | 选择 SystemState。(不需将系统磁盘还原至备用位置。) | 3. | 在 Restore Files to 下拉菜单中,确认已选 Alternate Location ,然后指定备用位置。 | 4. | 还原过程完成后,关闭备份工具。 |
过程:清理元数据若新域控制器取了与故障计算机相同的名称,则只须执行步骤 1 清理元数据,它将删除故障域控制器上的 NTDS Settings 对象;若取了不同的名称,则需执行所有三个步骤:清理元数据、从站点删除故障服务器对象、以及从域控制器容器删除计算机对象。 步骤要求 | • | 凭据:企业管理者(清理元数据要求修改配置命名上下文。) | | • | 工具:Ntdsutil.exe ,Active Directory 站点及服务,Active Directory 用户及计算机 |
过程步骤 清理元数据 1. | 在命令行,键入 ntdsutil ,然后按 ENTER。 | 2. | 在 ntdsutil: 提示符下,键入 metadata cleanup ,然后按 ENTER。 | 3. | 在 metadata cleanup: 提示符下,键入 connections ,然后按 ENTER。 | 4. | 在 server connections: 提示符下,键入 connect to server servername,其中 servername 是要从中清理故障域控制器元数据的域控制器(同一域中的所有功能性域控制器)。然后按 ENTER。 | 5. | 键入 quit ,然后按 ENTER 回到 metadata cleanup: 提示符。 | 6. | 键入 select operation target ,然后按 ENTER。 | 7. | 键入 list domains ,然后按 ENTER。 此操作将列出林中的所有域,每一域附带与其相关联的一个数字。 | 8. | 键入 select domain number,其中 number 是与故障服务器所在的域相关的数字。然后按 ENTER。 | 9. | 键入 list sites ,然后按 ENTER。 | 10. | 键入 select site number,其中 number 是指域控制器所属的站点号码。然后按 ENTER。 | 11. | 键入 list servers in site ,然后按 ENTER。这将列出站点上所有服务器,每一服务器附带一个相关的数字。 | 12. | 键入 select server number,其中 number 是指要删除的域控制器,然后按 ENTER 。 | 13. | 键入 quit ,然后按 ENTER。 屏幕会显示出 Metadata cleanup 菜单。 | 14. | 键入 remove selected server ,然后按 ENTER。 此时,Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告,Active Directory 可能已删除了域控制器。 | 15. | 键入 quit 然后按 ENTER 直至回到命令符。 |
若新域控制器与故障域控制器名称不同,则执行以下附加步骤: 注意: 若新计算机与故障计算机同名,则不要执行附加步骤。确认硬件故障不是问题的起因。若不更换故障硬件,通过重新安装来还原可能没有帮助。 从站点上删除故障的服务器对象 1. | 在 Active Directory 站点和服务上,展开适当站点。 | 2. | 删除与故障域控制器相关联的服务器对象。 |
从域控制器容器中删除故障的服务器对象 1. | 在 Active Directory 用户和计算机上,扩展域控制器容器。 | 2. | 删除与故障域控制器相关联的计算机对象。 |
步骤:安装 Active Directory在安装过程中会进行复制操作,以确保域控制器具有正确并且最新的 Active Directory 副本。关于占用操作主机角色的详细信息,参见本指南中的“安装 Active Directory”。 收集了本指南较前的“收集安装信息”中所述的信息后,即可以使用 Active Directory 安装向导来安装 Active Directory。 步骤要求 | • | 凭据:本地管理员帐户 | | • | 工具:Dcpromo.exe |
过程步骤 安装 Active Directory 1. | 在 Run 文本框中,键入 dcpromo ,然后单击 OK。 | 2. | 会出现 Active Directory 安装向导。在欢迎屏幕上,单击 Next。 | 3. | 在 Domain Controller Type下,选择 Additional domain controller for an existing domain。 单击 Next。 | 4. | 在 Network Credentials中,输入用户名、密码和用户帐户具备权限将新域控制器添加进去的域。单击 Next。 | 5. | 输入托管新域控制器的域的名称。单击 Next。 | 6. | 在 Database and Log Locations中,输入目录数据库 (Ntds.dit) 位置和日志文件的路径。为获得更好性能,请将数据库和日志文件分别存储在不同的物理磁盘驱动器上。单击 Next。 | 7. | 在 Shared System Volume中,输入定位系统卷 (SYSVOL) 的路径。单击 Next。 | 8. | 在 Directory Services Restore Mode Administrator Password中,输入启动目录服务还原模式时使用的密码。单击 Next。 | 9. | 摘要屏幕显示出所选条目的列表。确认信息正确,然后单击 Next 继续安装。 | 10. | 向导继续进行 Active Directory 安装。完成后,向导显示摘要屏幕,列出新域控制器所属的域和站点。确认此信息正确。单击 Finish 关闭向导。 | 11. | 单击 Restart 重新启动域控制器。 | 12. | 重新启动域控制器。若有消息显示一项或多项服务无法启动,则再重新启动一次域控制器。如果初始复制周期在新域控制器第一次重新启动时没有足够的时间完成,则有些服务可能无法成功启动。若在随后的重新启动时又出现类似消息,在事件查看器中检查事件日志以确定问题起因。 |
步骤:将服务器提升至域控制器过程步骤 要将服务器提升至域控制器 1. | 在 Run 文本框中,键入 dcpromo /adv ,然后单击 Next。 | 2. | 选择 Additional domain controller for exiting domain。 | 3. | 选择 From these restored backup files ,然后指向与还原系统状态数据相同的位置。 | 4. | 因为要提升的域控制器是全局编录服务器,Active Directory 安装向导会询问是否要此服务器也成为全局编录。 | 5. | 为操作提供适当凭据。 | 6. | 输入新域控制器将放入的域。这应与使用的系统状态数据所属的域是同一个域。 | 7. | 用 dcpromo继续其余步骤。 |
Dcpromo 现在将用还原的文件中的数据将服务器升级为域控制器。这使 dcpromo 无需从伙伴域控制器复制每一对象。可是,它可能必须要复制那些备份后修改(添加或删除)了的对象。如果备份是最近进行的,要求的复制量比起定期 dcpromo 要少很多。 一旦 dcpromo 顺利完成操作,并且重新启动了机器,就可从本地磁盘上删除还原的文件夹(上例中:E:\restore )和子文件夹了。 过程:安装和运行安装管理器来创建应答文件(Unattend.txt)过程步骤 1. | 将 Windows Server 2003 光盘插入计算机的 CD-ROM 驱动器或 DVD-ROM 驱动器。插入 CD 时并按住 SHIFT 键防止其自动启动。 | 2. | 启动 Windows Explorer ,然后打开 Windows Server 2003 光盘中的 Support\Tools 文件夹。 | 3. | 在详细资料窗格中,双击 Deploy.cab 文件来打开它。 | 4. | 在 Edit 菜单上, 单击 Select All。 | 5. | 在 Edit 菜单上, 单击 Copy。 | 6. | 要在本地硬盘上创建新文件夹,请进行以下操作: 1. | 单击 Local Disk (C:),或单击要创建新文件夹的驱动器。 | 2. | 在 File 菜单上,点击 New,然后单击 Folder。 | 3. | 在 New Folder name 框中,键入想要的名称,然后按 ENTER。 |
| 7. | 鼠标右键单击创建的新文件夹,然后单击 Paste。 | 8. | 双击新文件夹打开它,然后双击 Setupmgr.exe 文件。安装管理器向导启动。按照向导中的指示创建应答文件。 |
过程:安装 DNS 服务器服务给充当 DNS 服务器的计算机分配静态 IP 地址,而非动态分配的 IP 地址。要使用本过程,必须已经具备 DNS 基础结构、运转正常,而且配置成可使用集成 Active Directory 的区域。本过程描述了将附加 DNS 服务器添加到 DNS 基础结构中的步骤。 步骤要求 | • | 凭据:域管理或企业管理 | | • | 工具:网上邻居,控制面板 |
过程步骤 要安装 DNS 服务器服务 1. | 确认计算机使用的是静态 IP 地址。鼠标右键单击 My Network Places ,然后单击 Properties。 | 2. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击代表本计算机所用连到网络的连接。默认的标签为 Local Area Connection, ,但可更改,因此这不一定与您的计算机上的标签相同。 单击 Properties。 | 3. | 在 Local Area Connection Properties 对话框中,在 Internet Protocol (TCP/IP) 上单击一次,突出显示它(确认没有清除其前面的复选框),然后单击 Properties。 | 4. | 在 Internet Protocol (TCP/IP) Properties 对话框中,确认已选 Use the following IP address: ,并显示出有效的 IP 地址、子网掩码和默认网关。单击 OK 关闭对话框。再次单击 OK 回到桌面。 | 5. | 请在控制面板中单击 Add/Remove Programs。 单击 Add/Remove Windows Components。 | 6. | 向下滚动至 Networking Services。突出显示它,然后单击 Details。 | 7. | 在 Networking Services 对话框中,选择 Domain Name System (DNS)前面的复选框。单击 OK。 | 8. | 单击 Next。如果需要,提供安装文件的位置。安装完成后,单击 Finish 结束向导,然后单击 Close 退出 Add/Remove Programs 。 |
步骤:收集 SYSVOL 路径信息此步骤收集的安装信息包括: | • | 用户名,密码,和包含要用以运行 Active Directory 安装向导的用户帐户的域。 | | • | 托管新域控制器的域的名称。 | | • | Active Directory 数据库 (Ntds.dit) 的位置。 | | • | 日志文件的位置。 | | • | 共享系统卷 (SYSVOL) 的位置。 | | • | 目录服务还原模式下使用的服务器管理员帐户名及密码。 |
在重新定位所有或部分系统卷之前,必须清楚地了解文件夹结构,以及注册表和目录本身存储的文件夹与路径信息之间的关系。一旦文件夹重新定位,存储在注册表和目录中的所有相关参数都必须更新,以与新的位置相匹配。文件夹移到新位置时,含有交接点的文件夹结构可能也要求更新。 必须重新定位所有或部分 SYSVOL 时,维护文件夹、交接点和存储的参数间的关系很重要。做不到的话会造成文件从错误位置复制或复制到错误位置。这还会造成无法复制文件,而 FRS 却不会报告任何错误。由于配置错误,FRS 在错误位置寻找要复制的文件。 系统卷所用的文件夹结构使用了称为交接点的功能。交接点外表像文件夹而且运转也像文件夹(在 Windows Explorer 中无法将它们与普通文件夹区分开来),但它们不是文件夹。交接点包含了与另一文件夹的链接。程序打开它时,交接点会自动将程序重新定向至交接点所链接的文件夹。而重新定向对于用户和应用程序是完全透明的。 例如,如果创建了两个文件夹,C:\Folder1 和 C:\Folder2 ,并创建了一个称为 C:\Folder3 的交接,然后将交接链接回 Folder1 ,Windows Explorer 会显示三个文件夹: \Folder1 \Folder2 \Folder3 如果打开 Folder3 ,会将 Windows Explorer 重新定向至 Folder1 并显示 Folder1 的内容。您得不到任何重新定向的指示,因为这对于用户和 Windows Explorer 是显而易见的。如果看 Folder1 的内容,会发现它和打开 Folder3 时显示的内容完全相同。如果打开命令提示符并列出目录,会输出所有三个文件夹。前两个是类型 <DIR> 而 Folder3 是类型 <JUNCTION> 。若列出 Folder3 的目录,就会看到 Folder1 的内容。 注意: 创建或更新交接点,需要随 Windows 2000 Server 资源工具包提供的 Linkd.exe 工具。Linkd 允许创建、删除、更新和查看存储在交接点中的链接。 系统卷默认存储在 %systemroot%\SYSVOL 文件夹中。此文件夹中包含的文件夹树可扩展,这取决于网络如何使用 FRS 。在系统卷上重新定位文件夹时,要确保移动了所有文件夹(包括任何隐藏文件夹)并确保不会无意中更改文件夹之间的关系。重新定位文件夹时,为适当更新 FRS 所用的参数,需要关注子目录上的前三个等级。这三个等级受交接点和参数设置的影响。这些文件夹包括: | • | %systemroot%\SYSVOL | | • | %systemroot%\SYSVOL\Domain | | • | %systemroot%\SYSVOL\Domain\DO_NOT_REMOVE_Ntfrs_ Preinstalled_Directory | | • | %systemroot%\SYSVOL\Domain\Policies | | • | %systemroot%\SYSVOL\Domain\Scripts | | • | %systemroot%\SYSVOL\Staging | | • | %systemroot%\SYSVOL\Staging\Domain | | • | %systemroot%\SYSVOL\Staging Areas | | • | %systemroot%\SYSVOL\Staging Areas FQDN | | • | %systemroot%\SYSVOL\Sysvol | | • | %systemroot%\SYSVOL\Sysvol FQDN |
其中 FQDN 是此域控制器主持的完全限定域名。 注意: 若 Windows Explorer 没有显示任何文件夹,单击 Tools 然后单击 Folder Options。在 View 选项卡上选择 Show hidden files and folders。 如果使用 Windows Explorer 查看这些文件夹,它们就像一般的文件夹。但如果打开命令提示符并键入 dir 列出这些文件,就会注意到有两个特别的文件夹,即 <JUNCTION>。两个标注为 FQDN 的文件夹都为交接点。%systemroot%\SYSVOL\Sysvol 中的交接链接到 %systemroot%\SYSVOL\Domain 。而 %systemroot%\SYSVOL\Staging Areas 中的交接链接到 %systemroot%\SYSVOL\Staging\Domain 。若更改交接链接的文件夹路径,则也必须更新交接,包括更改驱动器号和文件夹。 除在系统卷树中链接到文件夹的交接点,注册表和目录也存储到文件夹的引用。如果更改文件夹位置,则必须更新这些引用所包含的路径。FRS 使用目录中存储的两个值。第一个值是 fRSRootPath,指向存储在 SYSVOL 中的策略和脚本位置。此位置默认为 %systemroot%\SYSVOL\Domain 文件夹。第二个值, fRSStagingPath,指向用作临时区域的文件夹位置。此位置默认为 %systemroot%\SYSVOL\Staging\Domain 文件夹。Net Logon 服务使用存储在注册表中的参数来识别用于创建 SYSVOL 和 NETLOGON 共享点的文件夹位置。此路径默认为 %systemroot%\SYSVOL\Sysvol 。更改这些文件夹路径时,必须更新这些值。 重新定位 SYSVOL 时,首先将整个文件夹结构移至新位置;然后更新注册表和目录中存储的所有交接点和参数,以维持参数、文件夹和交接之间的关系。也可重新定位临时区域,然后将其余系统卷留在其初始位置。这种情况下,必须更新目录中的 fRSStagingPath 参数以及存储在 %systemroot%\SYSVOL\staging 区域的交接点。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe ,ADSI Edit ,Linkd.exe |
过程步骤 收集系统卷路径信息 使用以下步骤查找信息然后在表 1 中记录当前值。 若重新定位临时区域,只需在表 1 的第 2 和第 5 行记录信息。其他所有操作要求记录所有五行的信息。 要还原和重建 SYSVOL ,必须在第 1,2,3 行记录正修复的域控制器信息。用从 SYSVOL 文件夹结构复制的域控制器上的交接来记录第 4,5 行的当前值。第 4,5 行的新值基于正修复的域控制器。 表 1 系统卷路径信息 1. fRSRootPath | ? | ? | 2.fRSStagingPath | ? | ? | 3.注册表上的 Sysvol 参数 | ? | ? | 4. Sysvol 交接 | ? | ? | 5. 临时交接 | ? | ? |
fRSRootPath 1. | 在 Run 文本框中,键入 adsiedit.msc ,然后按 ENTER。 | 2. | 双击 DomainNC [machinename] (其中 machinename 是此域控制器名)。验正已展开 Domain NC 来显示域组件 (DC=) 文件夹。 | 3. | 单击域组件列出细节窗格中的容器和 OU。双击 Domain Controllers OU 显示代表域控制器的容器。 | 4. | 双击代表此域控制器( CN = 计算机名)的容器以显示更多容器。 | 5. | 双击 CN=NTFRS Subscriptions 容器。 | 6. | 鼠标右键单击 CN=Domain System Volume 容器,然后单击 Properties。 | 7. | 在 Select which properties to view 列表下,选择 Mandatory。 | 8. | 在 Select a property to view 列表下,选择 fRSRootPath。当前值出现在 Value(s) 框中。 | 9. | 将当前值记录在上表中。以稍前论述的文件夹结构和新位置为基础,在表中记录此参数的新路经值。 | 10. | 单击 Cancel 关闭对话框。 |
fRSStagingPath 1. | 在 Run 文本框中,键入 adsiedit.msc ,然后按 ENTER。 | 2. | 双击 DomainNC [machinename] (其中 machinename 是此域控制器名)。验正已展开 Domain NC 来显示域组件 (DC=) 文件夹。 | 3. | 单击域组件列出细节窗格中的容器和 OU。双击 Domain Controllers OU 显示代表域控制器的容器。 | 4. | 双击代表此域控制器( CN = 计算机名)的容器以显示出更多容器。 | 5. | 双击 CN=NTFRS Subscriptions 容器。 | 6. | 鼠标右键单击 CN=Domain System Volume 容器,然后单击 Properties。 | 7. | 在 Select which properties to view 列表下,选择 Mandatory。 | 8. | 在 Select a property to view 列表下,选择 fRSStagingPath。当前值出现在 Value(s) 框中。 | 9. | 在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础,在表 1 中记录此参数的新路经值。 |
注册表中的 SYSVOL 参数 1. | 在 Run 文本框中,键入 regedit ,然后按 ENTER。 | 2. | 在 Registry Editor 中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。 | 3. | Sysvol 出现在详细资料窗格中。当前值列在 Data 列中。 | 4. | 在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础,在表 1 中记录此参数的新路经值。 |
SYSVOL 交接 1. | 命令提示符下,更改目录到 %systemroot%\SYSVOL\Sysvol。 注意: 这是假设系统卷仍在默认位置。若其已重新定位,将适当路径替换到这些指令中。 | 2. | 在命令提示符下,键入 dir。确认完全限定域名 (FQDN) 列为类型 <JUNCTION>。 | 3. | 在命令提示符下,键入 linkd fqdn (其中 fqdn 是 Dir 输出所列的域名)。这显示出存储在交接点的值。按 ENTER。 | 4. | 在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础,在表 1 中记录此参数的新路经值。 |
临时交接 1. | 命令提示符下,更改目录至 <%systemroot%>\SYSVOL\Staging Areas。 注意: 这是假设临时区域仍在默认位置。若其已重新定位,将正确路径替换到这些指令中。 | 2. | 在命令提示符下,键入 dir。确认完全限定域名列为类型 <JUNCTION>。 | 3. | 在命令提示符下,键入 linkd fqdn (其中 fqdn 是 Dir 输出所列的域名)。这显示出存储在交接点的值。按 ENTER 。 | 4. | 在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础,在表 1 中记录此参数的新路经值。 |
步骤:确认 DNS 注册和功能此测试验证 DNS 运行正常,可定位其他域控制器。 步骤要求 过程步骤 验证 DNS 注册及功能 注意: 可使用详细选项查看本命令更详细的响应。在命令末尾添加 /v 查看详细响应。 | • | 在命令提示符下,键入 netdiag /test:dns ,然后按 ENTER。 |
若 DNS 运行正常,则响应信息的最后一行为 DNS Test..: Passed。详细选项列出测试的详尽信息。此信息有助于测试失败时疑难解答。 如果测试失败,确定并修复阻碍 DNS 正确运行的问题前,不要尝试任何附加步骤。 步骤:验证 IP 地址映射到子网并确定站点关联使用此步可在安装 Active Directory 前确定要添加服务器对象的站点;或可在移动服务器对象之前确定其要移往的正确站点。 要与站点关联,域控制器的 IP 地址必须映射到 Active Directory 定义的子网对象。与子网关联的站点是域控制器的站点。 根据 IP 网络地址和子网掩码计算出的子网地址,此地址是 Active Directory 中的子网对象名。一旦知道了子网地址,就可定位子网对象并且确定与子网相关联的站点。 步骤要求 | • | 凭据:域用户 | | • | 工具: | • | 网上邻居 | | • | Active Directory 站点和服务(管理工具) |
|
过程步骤 验证 IP 地址映射到子网并确定站点关联 1. | 本地登录或打开与要查询 IP 地址的服务器相连的终端服务。 | 2. | 桌面上,鼠标右键单击 My Network Places,然后单击 Properties。 | 3. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击 Local Area Connection,然后单击 Properties。 | 4. | 双击 Internet Protocol (TCP/IP)。 | 5. | 使用 IP address and Subnet mask 中的值计算子网地址。 | 6. | 在 Active Directory Sites and Services 上展开 Sites 容器,然后单击 Subnets 容器。 | 7. | 在详细信息窗格的 Name 列,找到与子网地址匹配的子网对象。 | 8. | 在 Site 列,记录 IP 子网地址关联的站点。 |
若显示在 Site 框中的站点不正确,请与主管联系并查明 IP 地址是否错误或是否将服务器对象移到子网指示的站点。 步骤:确认与其他域控制器间的通信此测试验证域控制器可定位。 步骤要求 过程步骤 步骤:确认与其他域控制器间的通信 注意: 可使用详细选项查看本命令更详细的响应。在命令末尾添加 /v 查看详细响应。 | • | 在命令提示符下,键入 netdiag /test:dsgetdc ,然后按 ENTER。 |
若域控制器成功定位,则响应信息的最后一行为 DC discovery test..: Passed 。详细选项列出定位的特定域控制器。 如果测试失败,确定并修复阻碍与其他域控制器间的通信问题前,不要尝试任何附加的步骤。 步骤:确认操作主机的可用性此测试确认操作主机可定位而且在线并有响应。 步骤要求 过程步骤 验证操作主机存在 注意: 可在安装 Active Directory 之前或之后使用这些测试。安装 Active Directory 之前执行测试,必须使用 /s 选项指示用于测试的域控制器名。安装 Active Directory 之后执行测试,无需 /s 选项。测试自动运行在执行测试的本地域控制器上。本步骤所列命令显示 /s 选项。若安装 Active Directory 之后执行测试,省略 /s 。有关本命令更详细的响应,可在命令末端添加 /v 使用详细选项来查看详细响应。 1. | 确认操作主机可定位,在命令提示符下,键入: dcdiag /s: domaincontroller /test:knowsofroleholders /verbose
其中 domaincontroller 是要添加新域控制器的域的域控制器名。详细选项提供了测试的操作主机的详细列表。接近屏幕底部,有一条消息确认测试成功。若是用详细选项,请留意输出显示的底部。操作主机列表后立即出现测试成功确认消息。然后按 ENTER。 | 2. | 要测试确保操作主机运行正常并能上网,在命令提示符下,键入: dcdiag /s: domaincontroller /test:fsmocheck
其中 domaincontroller 是要添加新域控制器的域的域控制器名。详细选项提供了测试的操作主机的详细列表。接近屏幕底部,有一条消息确认测试成功。然后按 ENTER。 |
如果这些测试失败,确定并修复阻碍定位操作主机和验证其正确运行的问题前,不要尝试任何附加的步骤。 注意: 如果任一验证测试失败,则不要继续下去,直到确定并更正问题。如果这些测试全部失败,则安装操作可能也会失败。 步骤:确定服务器对象是否拥有子对象域控制器正确安装后,其服务器对象就会具备子 NTDS 设置对象。其他域控制器上运行的应用程序也可发布子对象。 在域控制器上安装 Active Directory 后,验证服务器对象具备子 NTDS 设置对象。 从站点服务器容器上删除服务器对象之前,验证服务器对象无子对象。 步骤要求 | • | 凭据:域用户 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 确定服务器对象是否拥有子对象 1. | 在 Active Directory 站点和服务上展开 Sites 容器并展开 Server 对象站点。 | 2. | 打开 Servers 容器,然后展开 Server 对象查看所有子对象。 |
步骤:确认域控制器的站点分配使用此步可在安装 Active Directory 前确定要添加服务器对象的站点;或可在移动服务器对象之前确定要移到的适当站点。 要与站点关联,域控制器的 IP 地址必须映射到 Active Directory 定义的子网对象。与子网关联的站点是域控制器的站点。 根据 IP 网络地址和子网掩码计算出的子网地址,是 Active Directory 中的子网对象名。一旦知道子网地址,就可定位子网对象并且确定与子网相关联的站点。 步骤要求 | • | 凭据:域用户 | | • | 工具:网上邻居、Active Directory 站点和服务(管理工具) |
过程步骤 确认 IP 地址映射到子网并确定站点关联 1. | 本地登录或打开与要查询 IP 地址的服务器相连的终端服务。 | 2. | 桌面上,鼠标右键单击 My Network Places,然后单击 Properties。 | 3. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击 Local Area Connection,然后单击 Properties。 | 4. | 双击 Internet Protocol (TCP/IP)。 | 5. | 使用 IP address and Subnet mask 中的值计算子网地址。 | 6. | 在 Active Directory 站点和服务上展开 Sites 容器,然后单击 Subnets 容器。 | 7. | 在详细资料窗格中,双击 Name 列,找到与子网地址匹配的子网对象。 | 8. | 在 Site 列,记录 IP 子网地址关联的站点。 |
若 Site 框中的站点不正确,请与主管联系并查明 IP 地址是否错误或是否将服务器对象移到子网指示的站点。 步骤:如果域控制器位于错误站点,那么将服务器对象移至不同的站点移动服务器对象要求域控制器的 IP 地址映射到服务器对象移往的站点。验证 IP 地址映射到目标站点后,使用以下步骤移动服务器对象至该站点。 步骤要求 | • | 凭据:企业管理者 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 要移动服务器对象至不同站点上 1. | 在 Active Directory 站点和服务上展开 Sites 容器以及服务器对象所在的站点。 | 2. | 打开 Servers 容器显示当前为该站点配置的域控制器。 | 3. | 鼠标右键单击要移动的服务器对象,然后单击 Move。 | 4. | 在 Site Name 框中,单击目的站点,然后单击 OK。 | 5. | 展开服务器要移到的 Site 对象,然后展开 Servers 容器。 | 6. | 确认移动的服务器对象存在。 | 7. | 展开 Server 对象并验证 NTDS 设置对象存在。 |
一小时内,域控制器上的 Net Logon 服务将新站点信息注册到 DNS 上。等待一个小时,然后打开事件查看器并连接到移动的服务器对象所属的域控制器。在目录服务日志上查看过去一小时内发生的与 DNS 中 SRV 资源记录注册有关的网络登录错误。没有错误说明网络登录已使用指定的 SRV 资源记录更新了 DNS 站点。网络登录事件 ID 5774 指示 DNS 资源记录注册失败。若发生此错误,请联系主管并开始进行 DNS 疑难解答。 步骤:配置 DNS 服务器转发器以您的网络建立的转发器方法为基础配置 DNS 服务器转发器。 步骤要求 过程步骤 配置 DNS 服务器转发器 1. | 若网络使用根目录提示作为转发器方法,则无需执行任何附加选项。根目录提示在安装时自动配置。不用继续步骤 2 。 | 2. | 若需要配置转发器,则打开 DNS 管理单元并继续步骤 3 。 | 3. | 在控制台树,鼠标右键单击 computer_name (其中 computer_name 是域控制器的计算机名),然后单击 Properties。 | 4. | 在 computer_nameProperties 工作表(其中 computer_name 是域控制器的名称)的 Forwarders 选项卡上,选择 Enable forwarders 复选框。 | 5. | 在 IP address 框中,键入 ip_address (其中 ip_address 是 DNS 服务器的 IP 地址或域所委派的最近复制伙伴),单击 Add,然后单击 OK。 |
步骤:确认 DNS 配置此步骤包含以下子步骤: | • | 为新域控制器创建委派。 | | • | 配置 DNS 客户端设置。 | | • | 在林根域为新域控制器创建委派。 | | • | 创建辅助区域。 | | • | 配置 DNS 客户端设置。 |
子步骤 1:为新域控制器创建委派若存在由 Microsoft DNS 服务器托管的父域,则在 DNS 基础结构的父域中为新域控制器创建委派。若托管父域的 DNS 服务器不是 Microsoft DNS 服务器,则按照供应商文档略述的步骤为新域控制器添加委派。 此步骤为新域控制器(其也是父 DNS 域中的 DNS 服务器)创建委派。若林根域有父 DNS 域,则在父域的 DNS 服务器上执行这些步骤。若只是在子域上添加新域控制器,则在父 DNS 域的 DNS 服务器上执行这些步骤。依照所推荐的方法,父域即为林根域。 步骤要求 过程步骤 为新域控制器创建委派。 1. | 从 DNS 管理单元,导航至控制台树中的 child_domain (其中 child_domain 是子域名称)。 | 2. | 在控制台树,鼠标右键单击 child_domain,然后单击 Properties。 | 3. | 在 child_domain properties中的 Name Servers 选项卡上, 单击 Add。 | 4. | 在 New Resource Record 对话框的 Server name 框中,键入 child_dc. child_domain. parent_domain (其中 child_dc 是新域控制器名称, child_domain 是子域名称,而 parent_domain 是父域名称)。 | 5. | 在 New Resource Record 对话框的 IP address 框中,键入 ip_address (其中 ip_address 是子域控制器的 IP 地址),单击 Add,然后单击 OK。 |
子步骤 2:配置 DNS 客户端设置在新域控制器上配置 DNS 客户端设置 步骤要求 过程步骤 配置 DNS 客户端设置。 1. | 在网上邻居,打开 Properties 对话框。 | 2. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击代表本计算机所使用连到网络的连接。默认的标签为 Local Area Connection,但可更改,因此这不一定与计算机上的标签相同。 单击 Properties。 | 3. | 在 Local Area Connection Properties 对话框中,在 Internet Protocol (TCP/IP) 上单击一次,突出显示它(确认没有清除其前面的复选框),然后单击 Properties。 | 4. | 在 Internet Protocol (TCP/IP) Properties 对话框中,确认 Use the following DNS server addresses: 已经选中。 | 5. | 若新域控制器位于林根域,则给林根域中另一个 DNS 服务器设置首选 DNS 服务器 IP 地址。设法选择离新域控制器较近的服务器。给新域控制器的 IP 地址设置备用服务器地址(这样它将引用自己)。 若新域控制器位于子域,给新域控制器的 IP 地址设置首选 DNS 服务器 IP 地址(这样它将引用自己)。为同一域中另一 DNS 服务器设置备用 DNS 服务器地址。设法选择离新域控制器较近的服务器。 | 6. | 单击 OK 关闭对话框。 |
子步骤 3:为林根域中的新域控制器创建委派此步骤为新域控制器(其也是父 DNS 域中的 DNS 服务器)创建委派。若林根域有父 DNS 域,则在父域的 DNS 服务器上执行这些步骤。若只是在子域上添加新域控制器,则在父 DNS 域的 DNS 服务器上执行这些步骤。依照所推荐的方法,父域即为林根域。 步骤要求 过程步骤 为新域控制器创建委派。 1. | 从 DNS 管理单元,导航至控制台树中的 child_domain (其中 child_domain 是子域名称)。 | 2. | 在控制台树,鼠标右键单击 child_domain,然后单击 Properties。 | 3. | 在 child_domain properties 中的 Name Servers 选项卡上, 单击 Add。 | 4. | 在 New Resource Record 对话框的 Server name 框中,键入: child_dc。 child_domain。 parent_domain
其中 child_dc 是新域控制器名称, child_domain 是子域名称,而 parent_domain 是父域名称。 | 5. | 在 New Resource Record 对话框的 IP address 框中,键入 ip_address (其中 ip_address 是子域控制器的 IP 地址),单击 Add,然后单击 OK。 |
子步骤 4:创建辅助区域只在位于子域而非林根域的 DNS 服务器上执行此步骤。在新域控制器上执行这些步骤。 步骤要求 过程步骤 创建辅助 DNS 区域 1. | 在 DNS 管理单元,鼠标右键单击控制台树上的新域控制器,然后选择 New Zone。 | 2. | 在新区域向导上,单击 Next 继续。 | 3. | 选择 Standard secondary 作为区域类型。单击 Next。 | 4. | 确认 Forward lookup zone 已经选中。单击 Next。 | 5. | 作为区域名,键入 _msdcs.forestrootdomain (其中 forestrootdomain 是林根域的完全限定域名),然后单击 Next。 | 6. | 在 Master DNS Servers 对话框中,输入至少两个林根域中的 DNS 服务器的 IP 地址。单击 Next。 | 7. | 检查您所定义的设置,然后单击 Finish 关闭向导。 |
子步骤 5:配置 DNS 客户端设置在新域控制器上配置 DNS 客户端设置 步骤要求 过程步骤 配置 DNS 客户端设置。 1. | 打开网上邻居中的 Properties 对话框。 | 2. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击代表本计算机所使用连到网络的连接。默认的标签为 Local Area Connection,但可更改,因此这不一定与计算机上的标签相同。 单击 Properties。 | 3. | 在 Local Area Connection Properties 对话框中,在 Internet Protocol (TCP/IP) 上单击一次,突出显示它(确认没有清除其前面的复选框),然后单击 Properties。 | 4. | 在 Internet Protocol (TCP/IP) Properties 对话框中,确认 Use the following DNS server addresses: 已经选中。 | 5. | 若新域控制器定位于林根域,给林根域中另一个 DNS 服务器设置首选 DNS 服务器 IP 地址。设法选择离新域控制器较近的服务器。给新域控制器的 IP 地址设置备用服务器地址(这样它将引用自己)。 若新域控制器位于子域,给新域控制器的 IP 地址设置首选 DNS 服务器 IP 地址(这样它将引用自己)。为同一域中另一 DNS 服务器设置备用 DNS 服务器地址。设法选择离新域控制器较近的服务器。 | 6. | 单击 OK 关闭对话框。 |
步骤:确认新域控制器的域成员身份此测试确认新域控制器已成功成为域成员。 注意: 可使用详细选项查看本命令更详细的响应。在命令末尾添加 /v 查看详细响应。 步骤要求 过程步骤 确认新域控制器的域成员 1. | 在命令提示符下,键入 netdiag /test:member | 2. | 若测试成功,您应在接近屏幕底部看到消息“ Domain membership test Passed ”。若使用 /v 选项,将列出域控制器名称、角色、域名及许多新域控制器的其他统计信息。 |
步骤:确认与其他域控制器间的复制这些测试确认复制拓扑的不同方面工作正常。它们查看复制的对象并确认设置了适当的登录权限以进行复制。 注意: 对于此套测试,可利用 /v 选项。可是它并不显示任何有意义的附加信息。 步骤要求 过程步骤 确认复制运行正常 1. | 要检查复制是否运转,在命令提示符下,键入 dcdiag /test:replications ,然后按 ENTER。 对于此测试, /v 选项不显示任何有意义的附加信息。消息显示测试通过的连通性及复制。 | 2. | 要确认为复制设置了适当的权限,在命令提示符下,键入 dcdiag /test:netlogons ,然后按 ENTER。 消息显示测试通过的连通性及网络登录。 |
步骤:查看当前操作主机角色持有者要查看当前操作主机角色持有者,通过 roles 选项使用 Ntdsutil.exe。此选项列出所有当前角色持有者。 步骤要求 | • | 凭据:用户或管理员 | | • | 工具:Ntdsutil.exe(系统工具) |
过程步骤 查看当前操作主机角色持有者 1. | 在 Run 文本框中,键入 ntdsutil ,然后按 ENTER。 | 2. | 在 ntdsutil: 提示符下,键入 roles ,然后按 ENTER。 | 3. | 在 fsmo maintenance: 提示符下,键入 connections ,然后按 ENTER。 | 4. | 在 server connections: 提示符下,键入 connect to server servername (其中 servername 是属于包含操作机主的域的域控制器名)。 | 5. | 收到连接确认后,键入 quit 然后按 ENTER 退出此菜单。 | 6. | 在 fsmo maintenance: 提示符下,键入 select operation target ,然后按 ENTER。 | 7. | 在 select operations target: 提示符下,键入 list roles for connected server ,然后按 ENTER。 系统响应,列出当前角色以及当前分派托管每一角色的域控制器的轻型目录访问协议 (LDAP) 名。 | 8. | 键入 quit 然后按 ENTER 退出 Ntdsutil.exe 的每一提示符。键入 quit ,然后在 ntdsutil: 提示符下按 ENTER 关闭窗口。 |
步骤:传输林级操作主机角色两个林级操作主机是命名主机和架构主机。任何托管域命名主机的计算机必须也是全局编录服务器。这些步骤通过使用 Microsoft 管理控制台 (MMC) 来执行,尽管也可通过使用 Ntdsutil.exe 来传输这些角色。关于使用 Ntdsutil.exe 迁移操作主机角色的信息,请在 Ntdsutil.exe 命令提示符下,键入 ? 。 关于传输操作主机角色的详细信息,参见 Windows 2000 服务器资源工具包中 Distributed Systems Guide 的“管理灵活单主机操作”。 传输域命名主机的步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 域和信任(管理工具) |
过程步骤 迁移域命名主机 1. | 在 Active Directory 域和信任的控制台树上,鼠标右键单击 Active Directory Domains and Trusts,然后单击 Connect to Domain Controller。 | 2. | 确认已在 Domain 框中输入适当域名。 列出了此域的可用域控制器。 | 3. | 在 Name 列,单击要迁移其角色的域控制器(选中它)。单击 OK。 | 4. | 在 Active Directory 域和信任的控制台树上,鼠标右键单击 Active Directory Domains and Trusts,然后单击 Operations Master。 | 5. | 第一个文本框中出现当前的域命名主机名称。第二个文本框中应出现要传输其角色的服务器。若情况并非如此,重复步骤 1 至 4。 | 6. | 单击 Change。单击 OK确认角色传输。再次单击 OK 关闭显示迁移发生的消息框。单击 Close 关闭 Change Operations Master 对话框。 |
传输架构主机的步骤要求 | • | 凭据:架构管理员 | | • | 工具:Active Directory 架构管理单元 |
过程步骤 要传输架构主机 首次使用 Active Directory 架构管理单元前,必须先在系统注册。若未准备 Active Directory 架构管理单元,开始此步骤前参阅本指南中的“准备 Active Directory 架构管理单元”。 1. | 在 Active Directory 架构管理单元的控制台树上,鼠标右键单击 Active Directory Schema,最后单击 Change Domain Controller。 | 2. | 在 Change Domain Controller 对话框中单击 Specify Name。然后,在文本框中键入要传输其架构主机角色的服务器名。单击 OK。 | 3. | 在控制台树,鼠标右键单击 Active Directory Schema。Click Operations Master。 Current Focus 框显示出采用角色的服务器名。第二个框中列出当前架构主机。 | 4. | 单击 Change。单击 OK 确认选择。系统确认操作。再次单击 OK 确认操作完成。 | 5. | 单击 Cancel 关闭 Change Schema Master 对话框。 注意: 不建议在全局编录服务器上托管基础结构主机。若要将基础结构主机角色传输至全局编录域控制器上,系统会显示不建议这样做的警告声明。 | 6. | 单击 Yes 确认迁移,然后单击 OK 确认操作完成。 |
步骤:传输域级操作主机角色三个域级操作主机角色为 PDC 仿真器、RID 主机和基础结构主机。可使用 Active Directory 用户和计算机控制台传输所有这些角色。这些步骤通过使用 MMC 执行,尽管也可使用 Ntdsutil.exe 传输这些角色。关于使用 Ntdsutil.exe 传输操作主机角色的信息,请在 Ntdsutil.exe 命令提示符下键入 ?。 关于传输操作主机角色的详细信息,参见 Windows 2000 资源工具包的分布式系统指南中的“管理灵活单主机操作”。 步骤要求 | • | 凭据:域管理 | | • | 工具:Active Directory 用户和计算机(管理工具) |
过程步骤 传输域级操作主机角色 1. | 在 Active Directory Users and Computers 管理单元的控制台树顶端,鼠标右键单击 Active Directory Users and Computers。单击 Connect to Domain Controller。 | 2. | 在 Available controllers 列表下,单击要传输其角色的服务器名,然后单击 OK。 | 3. | 在控制台树顶端,鼠标右键单击 Active Directory Users and Computers,然后单击 Operations Masters。 上面的框中会出现当前操作主机角色持有者名称。下面的框中则显示要传输其角色的服务器名称。 | 4. | 单击属于要传输的角色的选项卡:RID ,PDC 或 Infrastructure 。检查显示的计算机名,然后单击 Change。再单击 Yes 传输角色。 | 5. | 为每个需要传输的角色重复步骤 4。 |
步骤:确认林之间的连接性过程步骤 确认林 A 至林 B 的连接性 1. | 登录林 A。 | 2. | 单击 Start,单击 Run,键入 cmd 进 Open 框中,然后按 ENTER。 | 3. | 在命令提示符下,键入 ping <the name of forest B>,然后按 ENTER。 您会得到一个答复。 |
确认林 B 至林 A 的连接性 1. | 登录林 B。 | 2. | 单击 Start,单击 Run,键入 cmd 进 Open 框中,然后按 ENTER。 | 3. | 在命令提示符下,键入 ping <the name of forest A>,然后按 ENTER。 您会得到一个答复。 |
步骤:为两个林配置 DNS过程步骤 配置 DNS 1. | 依次单击 Start > All Programs > Administrative Tools > DNS。 | 2. | 鼠标右键单击 <server name>,然后单击 Properties。 | 3. | 在 Forwarders 选项卡上, 单击 New , 键入林名,然后单击 OK。 | 4. | 键入 DNS 服务器的 IP 地址(例如,键入 10.1.1.2),然后单击 Add。 |
检查连接性 1. | 单击 Start,单击 Run,键入 cmd 进 Open 框中,然后按 ENTER。 | 2. | 在命令提示符下,键入 ping 及林名,然后单击 您会得到一个答复。 |
步骤:在林 A 或 B 上创建林信任过程步骤 在林 A 或 B 上创建林信任 1. | 依次单击 Start > All Programs > Administrative Tools > Active Directory Domains and Trusts。 | 2. | 鼠标右键单击代表林 A 的林目标,然后单击 Properties。 | 3. | 单击 Trusts 选项卡, 单击 New Trust,然后单击 Next 进 Trust Creation Wizard。 | 4. | 在 Name 框中,键入要配置信任的林名,然后单击 Next。 | 5. | 单击 Forest Trust,然后单击 Next。若 Forest Trust 不是选项,检查前一节步验证是否将林的功能级别提升至 Windows Server 2003。 | 6. | 单击 Two Way,然后单击 Next。 | 7. | 单击 This Domain 和 Specified Domain,然后单击 Next。 | 8. | 在林 A 域的 Credentials 对话框中,键入用户名(administrator)和 password,然后单击 Next。 | 9. | 单击本地林中的 Allow authentication for all resources ,然后单击 Next。 | 10. | 单击林 A 中的 Allow authentication for all resources ,然后单击 Next。 注意: 操作此步时,信任双方禁用选择性身份验证选项。下一节将启用选择性身份验证选项。 | 11. | 检查列出的更改,然后单击 Next 许可更改。 | 12. | 单击 Yes,确认外向信任,然后单击 Next。 | 13. | 当列有要发送的名称后缀的对话框显示出来时,不要做任何更改。单击 Next,单击 Finish,然后单击 OK。 |
步骤:确认信任过程步骤 确认信任 1. | 在每个林域创建并命名测试文件共享,然后分配权限至共享: 1. | 在任一服务器或两个林的任一个上,创建并命名一个文件夹,使用文本编辑器(如 Notepad )创建带有文本的 Sampletext.txt 文件,然后在文件夹中保存 Sampletext.txt 文件。 | 2. | 鼠标右键单击文件夹,然后单击 Sharing and Security。 | 3. | 单击 Share this folder,然后单击 Permissions。 | 4. | 单击 Add 在 Group or user names 框,键入要添加的组名,然后单击 OK。 | 5. | 在 Group or user names 框中单击添加的组,然后单击选择 Change and Read 框中的所有复选框。 | 6. | 单击 Everyone 进 Group or user names ) 框中,然后单击 Remove。 注意: 使用此步骤通过直接添加用户至 DACL 文件共享,无法授予权限;可是能通过创建域本地组授予共享权限,并且为此域本地组添加远程林组。下一节提供了关于组成员规则的详细信息。 |
| 2. | 验证您能够得到访问域和您所创建的 Sampletext.txt 文件的权限。 1. | 使用管理权限登录服务器。 | 2. | 单击 Start,单击 Run,在 Open 框中键入创建的测试文件共享名,然后按 ENTER 。 | 3. | 双击 Sampletext.txt 文件,确认文件可打开并可读。若无法打开文件,检查是否正确分配了权限。 | 4. | 在文本编辑器(如 Notepad )中创建 Sampletext2.txt 文件,然后将文件存入文件夹,验证文件可存入共享。 |
|
步骤:在 A 林中打开选择性身份验证选项以从 B 林中仅启用选择性身份验证过程步骤 打开选择性身份验证选项 1. | 确认使用管理权限登录林 A。 | 2. | 依次单击 Start > All Programs > Administrative Tools > Active Directory Domains and Trusts。 | 3. | 鼠标右键单击林 A,然后单击 Properties。 | 4. | 单击 Trusts 选项卡,鼠标右键单击 Domains trusted by this domain (外向信任)框中的林 B,然后单击 Properties。 | 5. | 单击 Authentication 选项卡, 单击 Allow authentication only to selected resources 在 local forest,单击 OK , 然后单击 OK。 |
步骤:创建测试文件并为共享分配权限过程步骤 创建测试文件并为共享分配权限 1. | 在指定计算机上,依次单击 Start > All Programs > Accessories >Windows Explorer。 | 2. | 在控制台树,单击 Local Disk (C:) 。 鼠标右键单击详细信息窗格的空白区域,指向 New,单击 Folder,然后在 Testfolder 中键入新文件夹名称。 | 3. | 双击详细信息窗格中的新 Testfolder 文件夹以将其打开,鼠标右键单击空白区域,指向 New,单击 Text Document,然后在 Testdoc.txt 中键入文档名称。 | 4. | 在控制台树,鼠标右键单击 Testfolder 文件夹,然后单击 Sharing and Security。 | 5. | 单击 Share this folder,单击 Permissions,单击 Add,然后键入 Administrator@[name of forest]。 | 6. | 在 Group or user names 框中,单击林 A 。 | 7. | 单击 Change (位于 Allow 列,此列在 Permissions for [name of forest] Administrator@[name of domain].com 框中),单击 Read (位于 Allow 列),然后单击 OK。 | 8. | 在 Group or user names 框中,单击 Everyone, 然后单击 Remove。 |
步骤:确认无法从林 B 获取访问林 A 的权限过程步骤 确认无法从林 B 获取访问林 A 的权限 1. | 使用管理特权登录指定计算机。 | 2. | 单击 Start,单击 Run,键入 \\<name of server>\<name of share> (在 Open 框中),然后按 ENTER。 | 3. | 由于启用了 Selective Authentication 选项,您无权访问共享。若您能使用共享,检查权限是否正确配置。 |
步骤:启动指定计算机的选择性身份验证选项过程步骤 启动指定计算机的选择性身份验证选项 1. | 使用管理权限登录指定计算机。 | 2. | 依次单击 Start > All Programs > Administrative Tools > Active Directory Users and Computers。 | 3. | 在 View 菜单上, 单击 Advanced Features。 在控制台树,单击 Domain Controllers。 | 4. | 在详细信息窗格,鼠标右键单击指定计算机名,然后单击 Properties。 | 5. | 单击 Security 选项卡, 单击 Add,键入 administrator@[name of forest].com,然后单击 OK。 | 6. | 在 Group or user names 框中,单击 Administrator@[name of forest].com , 然后单击选择 Allowed to authenticate check box (在 Allow 列,此列位于 Permissions for Administrator@[name of forest].com 框中)。 这样做之后,administrator@[name of forest].com 用户可对指定计算机进行身份验证。 |
步骤:确认可从林 A 获取访问林 B 的权限过程步骤 确认可从林 A 获取访问林 B 的权限 1. | 使用管理权限登录指定计算机。 | 2. | 单击 Start,单击 Run,键入 \\<name of server>\<name of share> (在 Open 框中),然后按 ENTER。 现在您有权访问共享。 |
步骤:删除林信任过程步骤 删除林信任 1. | 使用管理权限登录域。 | 2. | 依次单击 Start > All Programs > Administrative Tools > Active Directory Domains and Trusts。 | 3. | 在控制台树,鼠标右键单击域,然后单击 Properties。 | 4. | 单击 Trusts 选项卡,鼠标右键单击 Domains trusted by this domain (outgoing trusts) 框中要删除的林,然后单击 Remove。 | 5. | 单击 Yes,从本地域或其他域删除信任。 | 6. | 在 User name 框中,键入 Administrator ,然后键入 password (在 Password 框中)。 | 7. | 单击 Yes , 然后选择删除信任的选项。 | 8. | 重复步骤 4 至 7 删除 Domains that trust this domain (incoming trusts) 框中的内向信任。 |
步骤:确定域控制器是否为全局编录服务器指定域控制器为全局编录服务器的设置位于各自服务器对象的子 NTDS 设置对象的属性中。 步骤要求 | • | 凭据:域用户 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 确定域控制器是否为全局编录服务器 1. | 在 Active Directory 站点和服务上展开 Sites 容器,展开要检查的域控制器站点,再展开 Servers 容器,然后展开 Server 对象。 | 2. | 鼠标右键单击 NTDS Settings 对象,然后单击 Properties。 | 3. | 在 General 选项卡上,若已选 Global Catalog 框,则服务器指定为全局编录服务器。 |
步骤:删除 Active Directory要使用 Active Directory 安装向导删除 Active Directory,必须知道删除 Active Directory 后分配给服务器本地管理员帐户的密码。 步骤要求 过程步骤 删除 Active Directory 1. | 在 Run 文本框中,键入 dcpromo ,然后单击 OK。 | 2. | 会出现 Active Directory 安装向导。在欢迎屏幕单击 Next 。 | 3. | 将有一个选项选择此服务器为域中最后的域控制器。若选择此选项,向导会试图从林中删除该域。 不要选择此选项。单击 Next。 | 4. | 在管理密码屏幕,输入并确认删除 Active Directory 后要分配给本地管理员帐户的密码。单击 Next。 | 5. | 在摘要屏幕,确认信息正确,然后单击 Next 继续删除。 | 6. | 向导继续进行删除 Active Directory。完成后,向导显示完成屏幕。单击 Finish 关闭向导。 | 7. | 单击 Restart 重新启动域控制器。 |
步骤:从站点上删除服务器对象当 Active Directory 站点和服务的服务器对象下无子对象时,可以删除服务器对象。 步骤要求 | • | 凭据:域管理 | | • | 工具:Active Directory 站点和服务(管理工具) | | • | Active Directory 站点和服务中的服务器对象下无子对象 |
过程步骤 从站点上删除服务器对象 1. | 在 Active Directory 站点和服务上展开 Sites 容器,然后展开要从中删除服务器对象的站点。 | 2. | 打开 Servers 容器,然后展开要删除的 Server 对象。 | 3. | 若服务器对象下无子对象,鼠标右键单击 Server 对象,然后单击 Delete。 重要: 不要删除有子对象的服务器对象。若要删除的服务器对象下出现 NTDS 设置或其他子对象,则在查看配置容器的域控制器上不会出现复制,或者删除的服务器对象所属的服务器会取消不正确。 | 4. | 单击 Yes 确认选择。 |
过程:使用系统属性界面更改名称过程步骤 使用系统属性界面更改名称 1. | 控制面板上单击 System Properties。 | 2. | 在 Computer Name 选项卡, 单击 Change。 | 3. | 单击 OK 认可重命名域控制器会导致其对于用户和计算机暂时不可用(参见以下注意)。 | 4. | 在 Computer Name 中, 键入新名称。 | 5. | 单击 OK 关闭 System Properties 框。 | 6. | 若有提示,使用域管理或企业管理授权输入帐户的用户名/密码。 |
注意: 用此方法重命名域控制器会导致 Active Directory 复制滞后,延迟了客户端定位或对新名下的域控制器进行身份验证。 步骤:确定目录数据库文件的位置和大小确保比较文件大小时使用相同的方法。报告的大小不同,取决于域控制器是否联机,如下所示: | • | 确定数据库大小且位置联机。 此大小以字节报告。若必须管理数据库文件、日志文件或两者都管,首先确定文件的位置和大小。数据库文件和相关的日志文件默认存储在 %systemroot%\NTDS 目录中。 | | • | 确定数据库大小且位置脱机。 此大小以兆字节 (MB) 报告。若域控制器已在目录服务还原模式下启动,使用此方法。 |
也可使用 Search 命令(在 Start 菜单)分别定位数据库文件 (Ntds.dit) 或 edb*.log 文件,以确定数据库和日志文件位置。 若设置了垃圾收集日志记录剩余磁盘空间,则 Active Directory 服务日志中的事件 ID 1646 也会报告数据库文件的大小:合计分配硬盘空间(兆字节): 或者,可通过列出包含文件的目录内容确定数据库文件的大小。 步骤要求(联机) 过程步骤 要确定联机目录数据库大小 1. | 在要管理数据库文件的域控制器上,打开命令提示符并更改目录为包含要管理文件的目录。 | 2. | 运行 dir 命令检查数据库大小。下例中,Ntds.dit 文件和日志文件存储在同一目录下。例中,文件占用了磁盘空间的 58,761,216 字节。
H:\NTDS>dir
Volume in drive H has no label.
Volume Serial Number is 003D-0E9E
Directory of H:\NTDS
01/29/2002 11:04 AM <DIR> .
01/29/2002 11:04 AM <DIR> ..
01/28/2002 03:03 PM <DIR> Drop
01/29/2002 10:29 AM 8,192 edb.chk
01/29/2002 10:29 AM 10,485,760 edb.log
01/29/2002 10:29 AM 10,485,760 edb00001.log
01/29/2002 10:29 AM 14,696,448 ntds.dit
01/28/2002 02:54 PM 10,485,760 res1.log
01/28/2002 02:54 PM 10,485,760 res2.log
7 File(s) 58,761,216 bytes
3 Dir(s) 779,284,480 bytes free
|
步骤要求(脱机) 此大小以兆字节 (MB) 报告。若域控制器已在目录服务还原模式下启动,使用此方法。 若域控制器以目录服务还原模式启动,可使用 Ntdsutil.exe 报告 Ntds.dit 数据库文件和日志文件位置,也可报告所有本地驱动器上的可用磁盘空间。 | • | 域控制器以目录服务还原模式启动 | | • | 凭据:本地管理员帐户 | | • | 工具:Ntdsutil.exe(系统工具) |
过程步骤 要检查脱机目录数据库信息和剩余磁盘空间 1. | 用目录服务还原模式下的域控制器,打开命令提示符,键入 ntdsutil ,然后按 ENTER。 | 2. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 3. | 在 file maintenance: 提示符下,键入 info ,然后按 ENTER. | 4. | 在 file maintenance: 提示符下,键入 quit 然后按 ENTER 。键入 quit 然后再次按 ENTER 退出 Ntdsutil.exe。 |
步骤:比较目录数据库文件和卷的大小在移动任一响应磁盘空间不足的文件前,确认此卷上没有其他文件造成此磁盘空间不足的情况。 当用于存储的卷的磁盘空间不足时,也许需要重新定位数据库文件或/和日志文件。移动数据库文件或日志文件之前,若它们存储在同一位置,检查数据库文件夹或/和日志文件夹相对于卷的大小,确认这些文件是低磁盘空间的原因。如在同一分区,也包括 SYSVOL 文件夹。 步骤要求 | • | 凭据:域用户(联机)或本地管理员(脱机) | | • | 工具:命令行: dir 命令 |
过程步骤 比较目录数据库文件和卷的大小 1. | 在 Windows Explorer 中,单击 My Computer。 | 2. | 在 View 菜单上, 单击 Details。 | 3. | 在详细信息窗格的 Name 列中定位卷。记下 Total Size 中的值。 | 4. | 导航至存储数据库文件或/和日志文件的文件夹。 | 5. | 鼠标右键单击文件夹,然后单击 Properties,记下 Size on disk中的值。 | 6. | 若卷中包含 SYSVOL ,导航至此文件夹然后重复步骤 5 。 | 7. | 比较大小。若相关的数据库文件和 SYSVOL 文件(如果需要)合起来的大小远远小于卷的大小,那么检查其他文件的卷内容。 | 8. | 若有其他文件,移走那些文件并重新评估卷上的磁盘空间。 |
步骤:移动数据库文件或/和日志文件若需对初始位置重新格式化,将文件移至临时目的,或永久位置(如果有另外的磁盘空间)。可通过使用 Ntdsutil.exe 本地移动文件,或使用文件副本来进行远程(临时)移动,如下所示: 子步骤 1:移动目录数据库文件至本地驱动器要移动目录数据库文件至不同的本地文件夹上,通常使用 Ntdsutil.exe,因为此工具依新路径自动更新注册表。 若需对当前存储数据库文件或/和日志文件的分区重新格式化,则重新格式化初始驱动器时要临时移走文件。重新格式化驱动器后,用相同步骤移回文件。即使只是临时移走文件,也使用 Ntdsutil.exe 以保证注册表始终是最新的。 注意: 若 SYSVOL 文件夹存储在要重新格式化的分区,则必须像数据库文件一样移走 SYSVOL,这需要单独的步骤。 移动数据库文件时 Ntdsutil.exe 更新的注册表条目如下: | • | 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters中: | • | 数据库备份路径 | | • | 数字签名算法 (DSA) 数据库文件 | | • | DSA 工作目录 |
|
移动日志文件时 Ntdsutil.exe 更新的注册表条目如下: | • | 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters中: |
步骤要求 | • | 域控制器以目录服务还原模式启动 | | • | 凭据:本地管理员帐户 | | • | 磁盘空间: | • | 临时位置。目标驱动器上的可用空间至少与数据库文件或/和合并日志文件(取决于要移动的文件)当前大小相等。 | | • | 永久位置。目标 NTFS 驱动器上的可用空间至少与以下所定再加上供给预期增长空间(取决于要移动的文件)大小相等。 |
告诫:作为数据库文件或日志文件永久位置的驱动器必须以 NTFS 进行格式化。 | • | 仅限数据库文件:数据库文件大小加上 Ntds.dit 文件的 20% 或 500 MB,取较大值。 | | • | 仅限日志文件:合并的日志文件大小加上合并日志的 20% 或 500 MB,取较大值。 | | • | 数据库和日志。若数据库和日志文件存储在同一分区,可用空间至少要有合并的 Ntds.dit 和日志文件的 20% 或 1 GB,取较大值。 |
|
重要信息: 以上为最低建议水平。若遵循本指南的“监视 Active Directory”中的建议,低于此最低水平,会导致监视警告。因此建议依照预期增长添加额外空间。 | • | 工具: | • | 命令行: dir 命令 | | • | Ntdsutil.exe(系统工具) | | • | Windows Explorer |
|
过程步骤 移动目录数据库文件至不同的本地驱动器 1. | 在目录服务还原模式下,打开命令提示符并更改目录至目录数据库文件 (Ntds.dit) 或日志文件(无论正移动哪个)的当前位置。 | 2. | 运行 dir 命令并记录下 Ntds.dit 文件的当前大小和位置。 | 3. | 在命令提示符下,键入 ntdsutil ,然后按 ENTER。 | 4. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 5. | 要移动数据库文件,在 file maintenance: 提示符下,使用以下命令: | • | 移动 Ntds.dit 文件,键入: move db to drive:\directory 其中 drive:\directory 是新位置的路径。若目录不存在,则 Ntdsutil.exe 会创建它。 注意: 若目录路径包含任何空格,整个路径必须用引号括起来(例如: move db to "g:\new folder")。 | | • | 移动日志文件,键入: move logs to drive:\directory |
| 6. | 移动操作完成后,在 file maintenance: 提示符下,键入 quit ,然后按 ENTER。再次键入 quit ,然后按 ENTER 退出 Ntdsutil.exe。 | 7. | 更改至目的目录,然后运行 dir 命令确认文件存在。若已移动数据库文件,依步骤 2 中记录的文件大小检查 Ntds.dit 文件的大小,确保定位在正确文件上。 | 8. | 要永久移动数据库文件或日志文件,转到步骤 9。 要临时移动数据库文件或日志文件,则现在可对初始驱动器执行所有必需的更新。更新驱动器后,重复步骤 1 至 7 移动文件回初始位置。 | 9. | 若数据库文件或日志文件的路径未更改,转到步骤 10。 若数据库文件或日志文件的路径已从初始位置更改,则仍在目录服务还原模式下按如下步骤检查数据库文件夹或日志文件夹的权限: 1. | 在 Windows Explorer 中,鼠标右键单击数据库文件或日志文件移进的文件夹,然后单击 Properties。 | 2. | 单击 Security 选项卡,然后验证权限为: 管理员组具备允许完全控制。 系统具备允许完全控制。 不允许继承权限(复选框已清除)。 选择了无拒绝权限。 | 3. | 若步骤 9b 中的权限有效,转到步骤 10。若除步骤 9b 中描述的权限之外的权限有效,执行步骤 9d 至 9k。 | 4. | 若已选 Allow inheritable permissions from parent to propagate to this object ,单击清除它。 | 5. | 根据提示,单击 Copy 为此对象复制先前的继承的权限。 | 6. | 若管理员或/和系统不在 Name 列表上,单击 Add。 | 7. | 在 Select Users or Groups 页的 Look in: 框中,确认已选本地计算机名。 | 8. | 在 Name 列表上,单击 System ,然后单击 Add。若需要,重复添加管理员步骤,然后单击 OK。 | 9. | 在 Security 选项卡, 单击 System 然后在 Allow 列,单击 Full Control。对于“管理员”,重复此步骤。 | 10. | 在 Name 框中,单击不在系统或管理员的任何名称,然后单击 Remove。重复直至仅存为管理员和系统的帐户,然后单击 OK。 注意: 有些帐户可能以安全标识符 (SID) 形式出现,删除任何此种帐户。 | 11. | 单击 OK 选择 Properties。 |
| 10. | 在命令提示符下,键入 ntdsutil ,然后按 ENTER。 | 11. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 12. | 在 file maintenance: 提示符下,键入 integrity ,然后按 ENTER。 若完整性检查失败,用修正记录进行语法数据库分析。 | 13. | 若完整性检查成功,键入 quit ,然后按 ENTER 退出 file maintenance: 提示符。再次键入 quit ,然后按 ENTER 退出 Ntdsutil.exe。 | 14. | 正常地重新启动域控制器。若越过终端服务连接远程执行此步骤,则确保在重新启动域控制器前已为正常重新启动修改了 Boot.ini 文件。 |
若重新启动域控制器时出现错误: 1. | 在目录服务还原模式下重新启动域控制器。 | 2. | 在事件查看器中检查错误。 |
若在重新启动域控制器时事件查看器记录了如下事件,按以下方法解决事件: | • | 事件 1046。Active Directory 数据库引擎由于以下参数导致异常。这种情况下,Active Directory 无法从此错误恢复,必须用备份介质还原。 | | • | 事件 1168。内部错误:出现 Active Directory 错误。这种情况下,注册表信息丢失,必须用备份介质还原。 |
子步骤 2:复制目录数据库文件至远程共享并返回从本地计算机复制任何数据库文件时,始终一起复制数据库文件和日志文件。 如果重新配置当前存储数据库文件和日志文件的驱动器时需要移动这些文件,而又没有足够的空间来本地移动文件,则可用 xcopy 命令临时将文件复制到远程共享文件夹,然后使用同一步骤将其在复制回原始驱动器。只要文件路径未改变就可使用此方法。 重要信息: 重新定位任何数据库文件(数据库文件或日志文件)离开本地计算机时,请始终一起复制数据库文件和日志文件,以维护还原目录服务所必需的所有文件。 步骤要求 | • | 域控制器以目录服务还原模式启动。 | | • | 凭据:本地管理员帐户。 | | • | 有足够可用空间存放数据库文件 (Ntds.dit) 和日志文件的远程驱动器上的共享文件夹。创建用于复制数据库文件和日志文件的单独子目录。 | | • | 磁盘空间: | • | 临时位置。目标驱动器上的可用空间至少与数据库文件或/和合并日志文件(取决于要移动的文件)当前大小相等。 | | • | 永久位置。目的 NTFS 驱动器上的可用空间至少与以下所定再加上供给预期环境增长空间(取决于要移动的文件)大小相等。 |
告诫:作为数据库文件或日志文件永久位置的驱动器必须以 NTFS 进行格式化。 | • | 仅限数据库文件:数据库文件大小加上 Ntds.dit 文件的 20% 或 500 MB,取较大值。 | | • | 仅限日志文件:合并的日志文件大小加上合并日志的 20% 或 500 MB,取较大值。 | | • | 数据库和日志。若数据库和日志文件存储在同一分区,则可用空间至少为合并的 Ntds.dit 和日志文件的 20% 或 1 GB,取较大值。 |
重要信息: 以上为最低建议水平。若遵循监视建议,低于这些最低水平,会产生一个警报。因此建议依照预期增长添加额外空间。 | | • | 工具: | • | 命令行: net use, dir, xcopy 命令 | | • | Ntdsutil.exe (system tool) |
|
过程步骤 复制目录数据库和日志文件至远程驱动器然后再返回本地计算机 1. | 在目录服务还原模式下,打开命令提示符并更改目录至数据库文件 (Ntds.dit) 或日志文件的当前位置。若数据库文件和日志文件在不同的位置,对每个目录执行步骤 2。 | 2. | 运行 dir 命令并记录下 Ntds.dit 文件和日志文件的当前大小和位置。 | 3. | 按以下所示建立和共享文件夹的网络连接。由于是以本地管理员身份登录,除非共享文件夹上的权限包含内置管理员帐户,否则必须提供域名、用户名和具有在共享文件夹上进行写入操作的权限的帐户密码。 下例中,\\SERVER1\NTDS 是共享文件夹的名称。K:是映射到共享文件夹上的驱动器。例中需要您键入的文本以粗体显示。键入第一行后按 ENTER,Ntdsutil.exe 提示输入密码。键入密码,然后按 ENTER。 H:\>net use K: \\SERVER1\NTDS /user:domainName\userName *
Type the password for \\SERVER1\NTDS:
Drive K: is now connected to \\SERVER1\NTDS
命令顺利完成。 | 4. | 使用 xcopy 命令将数据库文件和日志文件复制到步骤 3 中确定的位置。例中数据库文件位于 H:\WINNT\NTDS 并且共享有子目录数据库,您键入的文本以粗体显示: H:>xcopy WINNT\NTDS K:\DB 命令将 WINNT\NTDS 的内容复制到共享文件夹(所述的 K:驱动器)中的子文件夹数据库。若数据库文件和日志文件在不同位置,对日志文件重复 xcopy 命令,指定日志文件的子文件夹。 | 5. | 更改驱动器至新位置,然后运行 dir 命令以比较该文件大小与步骤 2 中列出的文件大小。使用此步骤确保将正确的文件集复制回本地计算机。 | 6. | 在这一点上,可安全的销毁原始本地驱动器上的数据。 | 7. | 目标驱动器准备好后,若需要重建与步骤 3 中所述的网络驱动器的连接。 | 8. | 从远程共享文件夹将数据库和日志文件复制回域控制器上的初始位置。 | 9. | 在命令提示符下,键入 ntdsutil ,然后按 ENTER。 | 10. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 11. | 在 file maintenance: 提示符下,键入 integrity ,然后按 ENTER 。 若完整性检查失败,用修正记录进行语法数据库分析。 | 12. | 若完整性检查成功,键入 quit ,然后按 ENTER 退出 file maintenance: 提示符。再次键入 quit ,然后按 ENTER 退出 Ntdsutil.exe。 | 13. | 正常地重新启动域控制器。若越过终端服务线路远程执行此步骤,则在重新启动域控制器前已为正常重新启动修正了 Boot.ini 文件。 若重新启动域控制器时出现错误: | • | 在目录服务还原模式下重新启动域控制器。 | | • | 在事件查看器中检查错误。 |
若重新启动域控制器中事件查看器记录了如下事件,按以下方法解决事件: | • | 事件 1046。Active Directory 数据库引擎由于以下参数导致异常。这种情况下,Active Directory 无法从此错误恢复,必须用备份介质还原。 | | • | 事件 1168。内部错误:出现 Active Directory 错误。这种情况下,注册表信息丢失,必须用备份介质还原。 |
|
步骤:将垃圾收集记录等级更改为 1检查事件 ID 1646 的目录服务事件日志,它报告了可通过执行脱机碎片整理进行恢复的磁盘空间数量。 垃圾收集记录登记是注册表中的 NTDS 诊断设置。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe 或 Regedt32.exe (系统工具) |
过程步骤 告诫:注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 要更改垃圾收集记录等级 1. | 在 Run 文本框中,键入 regedit 或 regedit32,然后单击 OK。 | 2. | 导航至 Garbage Collection 条目(位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics)。 | 3. | 双击 Garbage Collection,然后对于 Base 或 Radix,单击 Decimal。 | 4. | 在 Value data 或 Data 框中,键入 0 至 5 之间的一个整数,然后单击 OK。 |
步骤:使域控制器处于脱机状态子步骤 1:如已本地登录域控制器,则在目录服务还原模式中重新启动此域控制器 在目录服务还原模式下重新启动域控制器并以本地管理员身份登录,使域控制器脱机工作。若对域控制器有物理访问权限,可在目录服务还原模式下本地启动。 在目录服务还原模式下,域控制器作为一个成员服务器而非域控制器运行。当在此模式下启动 Windows 2000 服务器时,本地安全帐户管理器 (SAM) 数据库会对本地管理员帐户进行身份验证。因此,需用本地管理员密码登录,而非 Active Directory 域密码。 步骤要求 过程步骤 在目录服务还原模式下本地重新启动 1. | 重新启动域控制器。 | 2. | 当屏幕显示选择操作系统时,按 F8。 | 3. | 从 Windows Advanced Options 菜单上,选择 Directory Services Restore Mode。 | 4. | 根据提示,以本地管理员身份登录。 |
子步骤 2:如果使用的是远程管理的终端服务,那么可在远程服务器上修改 Boot.ini 文件后,在目录服务还原模式中重新远程启动此域控制器 要使域控制器脱机工作,请在目录服务还原模式下重新启动域控制器并以本地管理员身份登录。如果管理计算机安装有终端服务客户端并且域控制器安装有终端服务并以远程管理模式配置,则可连接到域控制器,修改 Boot.ini 文件,并以目录服务还原模式重新启动域控制器。 在目录服务还原模式下,域控制器作为一个成员服务器而非域控制器运行。当在此模式下启动 Windows 2000 服务器时,本地安全帐户管理器 (SAM) 数据库会对本地管理员帐户进行身份验证。因此,需用本地管理员密码登录,而非 Active Directory 域密码。 步骤要求 | • | 凭据:本地管理员帐户 | | • | 工具:终端服务客户端,记事本 |
过程步骤 在目录服务还原模式下远程重新启动 1. | 在终端服务客户端,连接到要以目录服务还原模式重新启动的域控制器。在远程域控制器上执行以下步骤。 | 2. | 鼠标右键单击 My Computer,选择 Properties,然后选择 Advanced 选项卡。 | 3. | 单击 Settings for startup and recovery。 | 4. | 单击 Edit 按钮编辑启动选项文件。 | 5. | 修改默认目录以包括 safeboot:dsrepair 切换,如下例所示:
multi(0)disk(0)rdisk(0)partition(2)\WINNT="W2K DC \\<your server
name>" /fastdetect /SAFEBOOT:DSREPAIR
注意: 此 /safeboot:dsrepair 切换为运行 Windows 2000 服务器家族的域控制器工作。 | 6. | 保存修改的 Boot.ini 文件并关闭记事本。 | 7. | 在 Start 菜单上, 单击 Shut Down ,然后单击 Restart。重新启动过程中,终端服务客户端报告会话断开。 告诫: 此步骤中,确认单击 Restart 而非 Shut Down 。若单击 Shut Down,则无法远程重新启动域控制器。 | 8. | 等待直至远程域控制器的重新启动过程完成,然后重新连接客户端会话。 | 9. | 重新连接后,以本地管理员身份登录。 | 10. | 鼠标右键单击 My Computer,选择 Properties,然后选择 Advanced 选项卡。 | 11. | 单击 Settings for startup and recovery。 | 12. | 单击 Edit 按钮编辑启动选项文件。 | 13. | 从 Boot.ini 文件的默认条目中删除 /safeboot:dsrepair 开关,然后保存文件。关闭记事本。 |
重要信息: 若修改 Boot.ini 文件前重新启动了域控制器,域控制器仍保持脱机状态。 Boot.ini 文件现在回到其正常启动域控制器的初始状态。 步骤:压缩目录数据库文件(脱机碎片整理)做为脱机碎片整理过程的一部分,检查目录数据库的完整性。 执行脱机碎片整理会在不同位置创建一个新的、压缩版本的数据库文件。此位置也可为同一计算机,也可为一个网络映射驱动器。但是,为避免潜在的网络问题,请本地执行此步骤。 将文件压缩到临时位置后,将压缩的 Ntds.dit 文件复制回初始位置。可能的话,为或在当前位置重命名的或复制到存档位置的原始数据库文件保存一个副本。 步骤要求 | • | 域控制器以目录服务还原模式启动。 | | • | 凭据: | • | 本地域控制器:本地管理员帐户 | | • | 远程位置:在目标驱动器和共享文件夹上的读和写权限 |
| | • | 磁盘空间: | • | 当前数据库驱动器。 索引重新建立过程中,用作临时保存的包含文件的驱动器的可用空间至少等于数据库当前大小的 15%。 | | • | 目标数据库驱动器。 用于保存压缩的数据库文件的可用空间至少等于数据库文件当前的大小。 |
| | • | 工具: | • | 命令行: net use, del, copy 命令 | | • | Ntdsutil.exe(系统工具) |
|
过程步骤 执行目录数据库的脱机碎片整理 1. | 在目录服务还原模式下,按以下步骤将数据库文件压缩至本地目录或远程共享文件夹: | • | 本地目录:进至步骤 2。 | | • | 远程目录:若将数据库文件压缩至远程计算机上的共享文件夹,按以下步骤建立到共享文件夹的网络连接。由于是以本地管理员身份登录,除非共享文件夹上的权限包含内置管理员帐户,否则必须提供域名、用户名和在共享文件加上有写权限的域帐户密码。下例中,\\SERVER1\NTDS 是共享文件夹的名称,而 K: 是映射到共享文件夹的驱动器。例中需要您键入的信息以粗体显示。键入第一行后,按 ENTER,Ntdsutil.exe 提示输入密码。键入密码,然后按 ENTER。 H:\>net use K: \\SERVER1\NTDS /user:domainName\userName *
Type the password for \\SERVER1\NTDS:
Drive K: is now connected to \\SERVER1\NTDS
命令顺利完成。 |
| 2. | 在命令提示符下,键入 ntdsutil ,然后按 ENTER。 | 3. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 4. | 在 file maintenance: 提示符下,键入 compact to drive:\ LocalDirectoryPath (其中 drive:\ LocalDirectoryPath 是到本地计算机上位置的路径),然后按 ENTER。 若已将驱动器映射到远程计算机的共享文件夹上,只键入驱动器号(例如: compact to K:\)。 注意: 压缩本地驱动器时,必须提供路径。若路径包含任何空格,整个路径必须用引号括起来(例如: compact to "c:\new folder")。若目录不存在,Ntdsutil.exe 将创建它,并再此位置创建名为 Ntds.dit 的文件。 | 5. | 若碎片整理程序顺利完成,键入 quit ,然后按 ENTER 退出 file maintenance: 提示符。再次键入 quit ,然后按 ENTER 退出 Ntdsutil.exe。转到步骤 6。 若碎片整理程序完成中出现错误,转到步骤 9。 告诫: 不要覆盖初始的 Ntds.dit 文件或删除任何日志文件。 | 6. | 若碎片整理完成且无错误,则按 Ntdsutil.exe 在屏幕上的指示,通过键入以下命令删除日志目录中的所有日志文件 del drive:\pathToLogFiles\*.log 注意: 无需删除 Edb.chk 文件。 若空间许可,或者重新命名初始的 Ntds.dit 文件以保护它,或者将其复制到不同的位置。避免覆盖初始的 Ntds.dit 文件。手动复制压缩的数据库文件至初始位置,如下所示:
copy temporaryDrive:\ntds.dit
originalDrive:\pathToOriginalDatabaseFile\ntds.dit
| 7. | 键入 ntdsutil ,然后按 ENTER 。 | 8. | 在 ntdsutil: 提示符下,键入 files ,然后按 ENTER。 | 9. | 在 file maintenance: 提示符下,键入 integrity ,然后按 ENTER。 若完整性检查失败,可能是由于步骤 6.b. 的复制操作过程中出现了错误。重复步骤 6.b. 至步骤 9。若完整性检查再次失败: | • | 联系 Microsoft 产品支持服务。 或 | | • | 复制步骤 6.a. 中保存的 Ntds.dit 文件的初始版本到初始数据库位置,然后重复脱机碎片整理程序。 |
| 10. | 若完整性检查成功,依如下步骤继续: | • | 若对命令的最初压缩失败,返回步骤 4 并执行步骤 4 到 9。 | | • | 若对命令的最初压缩成功,键入 quit ,然后按 ENTER 退出 file maintenance: 提示符,然后键入 quit,再按 ENTER 退出 Ntdsutil.exe。 |
| 11. | 正常地重新启动域控制器。若越过终端服务对话远程连接,则在重新启动域控制器前已为正常重新启动修正了 Boot.ini 文件。 |
若重新启动域控制器时出现错误: 1. | 在目录服务还原模式下重新启动域控制器。 | 2. | 在事件查看器中检查错误。 若重新启动域控制器中事件查看器记录了如下事件,按以下方法解决事件: | • | 事件 1046。Active Directory 数据库引擎由于以下参数导致异常。这种情况下,Active Directory 无法从此错误恢复,必须用备份介质还原。 | | • | 事件 1168。内部错误:出现 Active Directory 错误。这种情况下,注册表信息丢失,必须用备份介质还原。 |
| 3. | 检查数据库完整性,然后继续如下步骤: 若完整性检查失败,尝试重复以上步骤 6 至步骤 9,然后再重复完整性检查。若完整性检查再次失败: | • | 联系 Microsoft 产品支持服务。 或 | | • | 复制步骤 6.a.中保存的 Ntds.dit 文件的初始版本到初始数据库位置,然后重复脱机碎片整理程序。 |
若完整性检查成功,用 fixup进行语法数据库分析。 | 4. | 若用 fixup 进行的语法数据库分析成功,退出 Ntdsutil.exe,然后正常地重新启动域控制器。 | 5. | 若用 fixup 进行的语法数据库分析失败,联系 Microsoft 产品支持服务。 |
步骤:如果数据库完整性检查失败,则执行带有修正的语法数据库分析若用 Go Fixup 命令而非 Go 命令运行语法数据库分析,Dsdit.dmp.xx 日志文件中会写进错误。进度指示会报告检查的状态。 步骤要求 | • | 域控制器以目录服务还原模式启动。 | | • | 凭据:本地管理员帐户 | | • | 工具:Ntdsutil.exe(系统工具) |
步骤任务 执行带有修正的语法数据库分析 1. | 若没有在 ntdsutil: 提示符下,则打开命令提示符,键入 ntdsutil,然后按 ENTER。 | 2. | 在 ntdsutil: 提示符下,键入 semantic database analysis ,然后按 ENTER。 | 3. | 在 semantic checker: 提示符下,键入 verbose on ,然后按 ENTER。 | 4. | 在 semantic checker: 提示符下,键入 go fixup ,然后按 ENTER。 | • | 若在语法数据库分析的 Go Fixup 阶段报告有错误,执行目录数据库恢复。 警告: 不要混淆 recover 命令和 repair 命令。决不要在 Ntdsutil.exe 中使用 repair 命令。会发生林范围的数据丢失。 | | • | 若用 fixup 进行的语法数据库分析成功,键入 quit ,然后再次键入 quit 关闭 Ntdsutil.exe,然后正常地重新启动域控制器。若越过终端服务线路远程执行此步骤,则在重新启动域控制器前已为正常重新启动修正了 Boot.ini 文件。 |
|
步骤:启动文件复制服务使用此步骤重新启动文件复制服务并检查 FRS 事件日志以确保重新启动成功。 步骤要求 过程步骤 启动文件复制服务 1. | 在命令提示符下,键入 net start ntfrs ,然后按 ENTER。 | 2. | 可使用事件查看器检查 NTFRS 是否正确重新启动。事件 ID 13501 说明服务重新启动。寻找事件 ID 13516 检查域控制器是否运转并准备好服务。若移动 SYSVOL 至新位置或重新定位临时区域文件夹,则请寻找表示成功的事件 ID 13553 和 13556。 |
步骤:停止文件复制服务使用此步骤停止文件复制服务。 步骤要求 过程步骤 停止文件复制服务 | • | 在命令提示符下,键入 net stop ntfrs ,然后按 ENTER。 |
步骤:更改分配到临时区域文件夹的空间此步骤略述了修改限定分配到 SYSVOL 临时区域的磁盘空间量的注册表项所需的步骤。 告诫: 注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 步骤要求 | • | 凭据:域或企业管理 | | • | 工具:Regedit.exe |
过程步骤 更改分配到临时区域文件夹的空间 1. | 在 Run 文本框中,键入 regedit ,然后按 ENTER。 | 2. | 在 Registry Editor 中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFRS\Parameters。 | 3. | 双击 Staging Space Limit in KB ,打开 Edit 对话框。 | 4. | 在 Base 框架中,选择 Decimal。 | 5. | 在 Value Data 中,输入从 10000 到 2000000000 的一个值。不要用逗号。单击 OK。 | 6. | 关闭注册表编辑器。 |
步骤:将文件复制服务临时文件夹重新设置到不同的逻辑驱动器上使用此步骤重新设置 FRS Staging 文件夹到不同的逻辑驱动器上。 步骤要求 过程步骤 重新设置 FRS Staging 文件夹 1. | 启动 Adsiedit 程序。 | 2. | 在 Domain NC下,将 NTFRS Subscriber 对象定位在 Active Directory 的主机帐户下。此属性的一般路径为:CN=Replica Set Name,CN=NTFRS Subscriptions,CN=Computername,DC=Domain Name,DC=COM。 例如,重新设置 A.com 域中域控制器 \\DC1 的 SYSVOL 副本集的临时路径, FrsStagingPath 参数的可分辨名称(也称为 DN)路径是: CN=Domain System Volume (SYSVOL share), CN=NTFRS Subscriptions, CN=DC1, DC=A,DC=COM 其中(从右至左读可分辨名称时): DC=A,DC=COM 是托管计算机帐户的域。 CN=DC1 是域命名文本 (NC) 中的主机帐户。 CN=NTFRS Subscriptions 是 NtfrsSubscriber 对象,它保存有 FrsStagingPath 参数。 CN=Domain System Volume (SYSVOL share) 是 FRS 订阅对象。 | 3. | 鼠标右键单击对象,打开 NTFRS Subscriber 对象 [此例中为域系统卷(SYSVOL 共享)] 的属性栏,然后单击 Properties。 | 4. | 单击参数列表中的 fRSStagingPath ,然后单击 Edit 按钮。 | 5. | 输入 FRS Staging 文件夹新位置的路径,然后单击 OK。 | 6. | 单击 OK 关闭属性窗口。 | 7. | 确认已在注册表中更新临时路径: 1. | 启动正更改临时路径的服务器上的注册表编辑器 (Regedt32.exe)。 | 2. | 定位以下子项: HKEY_LOCAL_MACHINE\System\CCS\Services\NTFRS\Parameters\Replica Sets | 3. | 定位正为其更新临时区域的副本集。所有副本集显示为 GUID。若单击一个 GUID,则其中一个右侧值是 Replica Set Name。定位正确副本集后,更改 Replica Set Stage 的值到新临时区域路径。 |
|
当服务发现临时路径的更改,会使用一系列无需说明的继续步骤记录如下事件 ID 13563: 事件类型:警告 | 事件来源:NtFrs | 事件类别:无 | 事件 ID:13563 | 日期:2003 年 6 月 3 日 | 时间:7:13:01 PM | 用户:N/A | 计算机:<Computer name> | 说明:文件复制服务已探测到副本集域系统卷(SYSVOL 共享)的临时路径已更改。 | 当前临时路径 = E:\Windows\Sysvol\Staging\Domain | 新的临时路径 = E:\Frsstage |
服务重新启动后将开始使用新的临时路径。服务器设置为每一次重新启动后重新启动。 建议为防止临时文件夹中的数据丢失,请手动重新启动服务。 手动重新启动服务 1. | 运行 net stop ntfrs ,或使用服务管理单元停止文件复制服务。 | 2. | 移动所有与域系统卷(SYSVOL 共享)副本集相应的临时文件到新的临时位置。若不只一个副本集共享当前临时文件夹,则将临时文件复制到新的临时文件夹更安全些。 | 3. | net start ntfrs ,或使用服务管理单元后跟随 net start ntfrs启动文件复制服务。 |
相关的详细信息,请访问 http://www.microsoft.com/contentredirect.asp的高级搜索和帮助网页。 Microsoft 建议您遵循前面事件消息中的步骤 2,因为 FRS Staging 文件夹可能在最初临时文件夹中包含成千上万的文件,并且所有的文件可能都将发往一个或多个下游伙伴。在 Windows Explorer 中,可在临时文件夹中查看这些文件。在 Folder Options 菜单上, 单击 View 选项卡,然后单击选择 Show hidden files and folders 复选框。将文件复制到临时文件夹,然后遵循事件日志消息中的余下步骤进行。 步骤:识别复制伙伴使用此步骤检查域控制器的连接对象并确定其复制伙伴。 步骤要求 | • | 凭据:域管理 | | • | 工具:Active Directory 站点和服务 |
过程步骤 识别复制伙伴 1. | 在 Active Directory 站点和服务上,展开 Sites 容器以显示出站点清单。 | 2. | 双击含有域控制器的站点。 注意: 若不知道含有域控制器的站点,则打开命令提示符,然后输入 ipconfig 以获得域控制器的 IP 地址。使用 IP 地址检查一个 IP 地址映射到一个子网并决定站点关联。 | 3. | 打开 Servers 文件夹,显示该站点的服务器清单。 | 4. | 打开域控制器名称以显示其 NTDS 设置。 | 5. | 双击 NTDSSettings ,在详细信息窗格中显示连接对象列表(它们代表了用于复制的入站连接)。此 From Server 列显示出作为复制伙伴的域控制器名称。 |
步骤:强制删除域控制器过程步骤 强制删除域控制器 1. | 单击 Start,单击 Run,然后键入以下命令: dcpromo /forceremoval | 2. | 单击 OK。 | 3. | 在 Welcome to the Active Directory Installation Wizard 页上,单击 Next。 | 4. | 在 Force the Removal of Active Directory 页上,单击 Next。 | 5. | 在 Administrator Password中,键入并确认要分配给本地 SAM 数据库管理员帐户的密码,然后单击 Next。 | 6. | 在 Summary中,单击 Next。 |
步骤:检查共享 SYSVOL 的状态不需要对每个伙伴执行此测试,但是需要进行充足的测试以确信伙伴上的共享系统卷运行正常。 本测试包含了检查事件查看器确认文件复制服务正确启动,以及确认已创建 SYSVOL 和网络登录共享文件夹。 步骤要求 | • | 凭据:域管理 | | • | 工具:事件查看器,Net.exe。 |
过程步骤 检查共享 SYSVOL 的状态 1. | 在事件查看器中,单击事件查看器树上的 File Replication Service ,显示 FRS 事件。 | 2. | 寻找带有日期和时间戳、与新近的重新启动相对应的事件 13516。这需要 15 分钟或更长的时间方可显示出来。事件 13508 表示 FRS 正在启动服务的过程中。事件 13509 表示服务已成功启动。事件 13516 表示服务已启动,文件夹已共享,而且域控制器运行正常。 | 3. | 要检查共享文件夹已创建,打开命令提示符,然后键入 net share ,显示出此域控制器上包含网络登录和 SYSVOL 的共享文件夹列表。 | 4. | 在命令提示符下,键入 dcdiag /test:netlogons ,然后按 ENTER。 | 5. | 寻找表示 computername 通过测试网络连接的消息。其中 computername 是域控制器名。若未见到测试通过信息,则某些问题阻止了复制运行。此测试检查是否设置适当的登录特权使复制能发生。若此测试失败,检查设置在网络登录和 SYSVOL 共享文件夹上的权限。 |
步骤:准备非授权 SYSVOL 还原的域控制器通过修改 BurFlags(备份/还原标记)注册表项来启动非授权 SYSVOL还原。在断开域控制器之前将值更改为 D2 (十六进制)或 210 (十进制),可在域控制器重新启动后激活非授权 SYSVOL 还原自动进行。 对于全局和复制集指定的 BurFlags 而存在的单独条目,如下所示: | • | 当 SYSVOL 为域控制器上唯一表示出的复制集时,开始非授权 SYSVOL 还原,在下属语句下设置全局 BurFlags (REG_DWORD) 条目的值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup | | • | 若域控制器上还有其他复制集,而您只还原 SYSVOL,在下列语句下设置复制集特别 BurFlags (REG_DWORD) 条目的值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\SYSVOL GUID |
修改复制集指定的 BurFlags 条目需要识别注册表中的 SYSVOL GUID。 步骤要求 过程步骤 准备非授权 SYSVOL 还原的域控制器 1. | 在 Run 文本框中,键入 regedit ,然后单击 OK。 | 2. | 导航至 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters | 3. | 展开 Parameters。 | 4. | 按以下步骤修改 BurFlags 条目之一: 修改全局 BurFlags 条目: | • | 展开 Backup/Restore ,然后单击 Process at Startup。 |
修改复制集指定的 BurFlags 条目: | • | 展开 Cumulative Replica Sets 和 Replica Sets。 | | • | 将复制集下的 GUID 和累积复制集下同样的 GUID 匹配,然后单击累积复制集下匹配的 GUID。 |
| 5. | 在详细资料窗格中,双击 BurFlags。 | 6. | 在 Value data 框中,键入 D2 十六进制,或 210 十进制,然后单击 OK。 |
步骤:创建 SYSVOL 文件夹结构使用此步骤创建 SYSVOL 文件夹结构。%systemroot%\SYSVOL 文件夹在 Windows 系统卷的文件夹树顶。要正确移动 SYSVOL,必须移动 %systemroot%\SYSVOL 文件夹及其内容。%systemroot%\SYSVOL 的一个子文件夹也叫 sysvol。确保移动的是正确的文件夹(%systemroot%\SYSVOL 文件夹)而非子文件夹 (%systemroot%\SYSVOL\sysvol)。不要混淆两个文件夹。 步骤要求 | • | 凭据:域管理 | | • | 工具:Windows Explorer |
过程步骤 创建 SYSVOL 文件夹结构 1. | 在 Windows Explorer 中,导航至代表当前 Windows 系统卷的文件夹。此文件夹默认为 %systemroot%\SYSVOL 文件夹。 | 2. | 鼠标右键单击 SYSVOL 文件夹,然后单击 Copy。 | 3. | 在 Windows Explorer 中,导航至控制台树上创建的新位置,鼠标右键单击新位置,然后单击 Paste。您会看到一个对话框,显示有些文件已存在,还有提示问是否要继续复制文件夹。对此种提示,全部单击 No。 | 4. | 检查文件夹结构是否正确复制。对比新旧文件夹结构。打开命令提示符,然后键入 dir /s ,列出文件夹内容。确认所有文件夹存在。若新位置上丢失了任何文件夹(例如:脚本),则重新创建它们。 |
步骤:设置 SYSVOL 路径使用此步骤在注册表中设置系统卷新路径。 告诫: 注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 步骤要求 过程步骤 设置 SYSVOL 路径 1. | 在 Run 文本框中,键入 regedit ,然后按 ENTER。 | 2. | 在 Registry Editor 中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。 | 3. | 双击 SysVol ,打开 Edit 对话框。 | 4. | 在 Value Data中,输入新路径。包括驱动器号。单击 OK。 | 5. | 关闭注册表编辑器。 |
注意: 注册表中路径指向位于根目录下 SYSVOL 文件夹内的 SYSVOL 文件夹。更新注册表中路径时,确保它仍指向位于根目录下 SYSVOL 文件夹内的 SYSVOL 文件夹。 步骤:设置临时区域路径使用此步骤修改 Active Directory 中的域控制器的 fRSStagingPath 参数,以更改该域控制器上临时区域文件夹的位置。在存放着必须重新配置的 SYSVOL 的域控制器的控制台上执行此步骤。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe ,ADSI Edit ,Linkd.exe |
过程步骤 设置临时区域路径 1. | 在 Run 对话框中,键入 adsiedit.msc ,然后按 ENTER。 | 2. | 双击 DomainNC [computername],其中 computername 是此域控制器名。确认域 NC 展开以显示域组件 (DC=) 文件夹。 | 3. | 单击域组件列出细节窗格中的容器和 OU。双击 Domain Controller OU 列出代表域控制器的容器。 | 4. | 双击代表此域控制器( CN= 计算机名)的容器以列出更多容器。 | 5. | 双击 CN=NTFRS Subscriptions 容器。 | 6. | 鼠标右键单击 CN=Domain System Volume 容器,然后单击 Properties。 | 7. | 在 Select which properties to view 列表下,选择 Mandatory。 | 8. | 在 Select a property to view 列表下,选择 fRSStagingPath。 | 9. | 在 Edit Attribute 框中,输入要定位临时区域文件夹新位置的完整路径(先前创建的新文件夹路径)。包括驱动器号。单击 Set, ,然后单击 OK。 | 10. | 在命令提示符下,更目录到 %systemroot%\SYSVOL\staging areas。键入 dir 列出内容。检查 DIR 输出中有 <JUNCTION>。 | 11. | 更新交接使其指向新位置。键入以下命令: linkd junctionnamenewpath 其中 newpath 是早些时候输入的 fRSStagingPath 的相同的值。按 ENTER。 |
步骤:在新 SYSVOL 上更新安全此步骤将默认安全设置应用到新的 SYSVOL 文件夹。此设置等值于 Active Directory 安装中的默认设置。若 Active Directory 安装后系统卷采用了附加安全设置,完成此步骤后必须重新应用这些设置。 警告: 重新应用 Active Directory 安装后所用的安全设置失败,可能导致非授权访问登录及注销脚本和组策略对象。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe,Secedit.exe,Notepad.exe |
过程步骤 在新 SYSVOL 上更新安全 1. | 在 Run 文本框中,键入 regedit ,然后按 ENTER。 | 2. | 在注册表编辑器中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Note the path stored under SysVol。 | 3. | 控制面板上双击 System。 | 4. | 在 Advanced 选项卡, 单击 Environment Variables。 | 5. | 在 System Variables下,单击 New。 | 6. | 在 Variable Name,键入 sysvol。 | 7. | 在 Variable Value,键入 path (其中 path 是步骤 2 中记录的路径)。单击 OK 两次。再次单击 OK 关闭 Properties。 | 8. | 用记事本创建文件。打开记事本输入以下信息:
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Profile Description]
Description=default perms for sysvol
[File Security]
;"%SystemRoot%\SYSVOL",0,"D:AR(A;OICI;FA;;;BA)"
"%Sysvol%",2,"D:P(A;CIOI;GRGX;;;AU)(A;CIOI;GRGX;;;SO)(A;CIOI;GA;;;
BA)(A;CIOI;GA;;;SY)(A;CIOI;GA;;;CO)"
"%Sysvol%\domain\policies",2,"D:P(A;CIOI;GRGX;;;AU)(A;CIOI;GRGX;;;
SO)(A;CIOI;GA;;;BA)(A;CIOI;GA;;;SY)(A;CIOI;GA;;;CO)
(A;CIOI;GRGWGXSD;;;PA)"
| 9. | 用此文件将安全设置应用到新的 SYSVOL 文件夹。将此文件另存为 Sysvol.inf。 | 10. | 打开新的命令提示符。不要使用桌面上已打开的命令提示符,因其没有适当的环境设置。更改目录至保存 Sysvol.inf 文件的文件夹。 | 11. | 在命令提示符下,在同一行键入以下命令: SECEDIT /Configure /cfg sectemplatepath\sysvol.inf /db sectemplatepath\sysvol.db /overwrite 其中 sectemplatepath 是保存 Sysvol.inf 的路径。按 ENTER。 |
步骤:导入 SYSVOL 文件夹结构使用此步骤从另一域控制器复制 SYSVOL 文件夹。%systemroot%\SYSVOL 文件夹在 Windows 系统卷文件夹树的顶端。要正确导入 SYSVOL,必须复制 %systemroot%\SYSVOL 文件夹及其内容。 使用此步骤,计划复制 SYSVOL 文件夹结构的域控制器上必须存在默认共享文件夹 Admin$。有些组织出于安全原因删除或重新命名了此共享文件夹。若此共享文件夹不可用,必须共享 %systemroot% 文件夹并将共享点命名为 Admin$。若为完成此步骤共享 %systemroot% 文件夹,保证完成步骤后删除共享点,以维护任何网络上建立的安全政策。若 Admin$ 共享已重新命名,则完成此步骤时使用您的组织所分配的名称而不是 Admin$。 警告: 除非启动中已停止文件复制服务并为非授权还原配置了 SYSVOL,否则不要将信息从一个域控制器的系统卷复制到另一个域控制器的系统卷。不这样做会导致复制无效数据,还会导致不同域控制器上的系统卷不一致。 步骤要求 | • | 凭据:域管理 | | • | 工具:Windows Explorer,Linkd.exe |
过程步骤 导入 SYSVOL 文件夹结构 1. | 使用 Windows Explorer 删除重建的现有 %systemroot%\SYSVOL 文件夹。 | 2. | 连接到早些时候计划从中复制 SYSVOL 文件夹结构而识别为复制伙伴的域控制器上的 Admin$ 共享。 | 3. | 一旦连接到 Admin$ 共享点,检查出现标签为 SYSVOL 的文件夹。鼠标右键单击 SYSVOL 文件夹,然后单击 Copy。 | 4. | 同一目录下,找到空白区域,鼠标右键单击。再单击 Paste。您会看到一个对话框,显示有些文件已存在,还有提示符提问是否要继续复制文件夹。对此种提示,全部单击 No。 | 5. | 检查最初的 SYSVOL 文件夹和标记为 SYSVOL 副本的新文件夹都已出现。鼠标右键单击 Copy of SYSVOL ,然后单击 Rename。键入 SYSVOL2 ,然后按 ENTER。 | 6. | 打开命令提示符。更改为代表与创建 SYSVOL2 文件夹的远程域控制器连接的驱动器号。 | 7. | 更改目录至 SYSVOL2\sysvol。 | 8. | 键入 dir ,然后按 ENTER。检查 <JUNCTION> 都在 Dir 输出中出现,其后为域名。 | 9. | 必须更新此交接中的路径使其指向新位置。键入以下命令: linkd junctionnamenewpath 其中 newpath 是表 1 第 4 行在收集系统卷路径信息时记录的值。按 ENTER。 | 10. | 若临时区域已重新定位且不在 SYSVOL 文件夹中,跳过步骤 10 和 11,执行步骤 12。在命令提示符下,更改目录至创建的 SYSVOL 副本下的 \SYSVOL2\staging areas。键入 dir 列出内容,检查 Dir 输出中是否有 <JUNCTION>。 | 11. | 更新交接使其指向新位置。键入以下命令: linkd junctionnamenewpath 其中 newpath 是表 1 第 5 行在收集系统卷路径信息时记录的值。按 ENTER。 | 12. | 在命令提示符下,更改返回到修补的域控制器的 %systemroot%。 | 13. | 根据命令提示符,使用 Xcopy 命令复制创建的 \SYSVOL2 文件夹内容到本地驱动器的新 SYSVOL 文件夹。键入以下命令: xcopydrive:\sysvol2\*.* sysvol\*.* /s /e /h /c /y 其中 drive 是代表到远程域控制器的连接。按 ENTER。 | 14. | 检查文件夹结构是否正确复制。对比新文件夹与远程域控制器上的 SYSVOL(不是 SYSVOL2)的文件夹结构。打开命令提示符,然后键入 dir ,列出文件夹内容。确认所有文件夹存在。 | 15. | 删除在远程域控制器上创建的 SYSVOL2 文件夹。 | 16. | 断开与远程域控制器的连接。若必须在该域控制上创建一个共享文件夹以与其连接,删除共享文件夹。有些组织认为保留不用的共享文件夹有安全风险。 | 17. | 正常方式重新启动域控制器。 |
步骤:在林根 PDC 仿真器上配置时间使用以下步骤在林根 PDC 仿真器上配置时间。在 PDC 仿真器上执行步骤。 步骤要求 | • | 凭据:PDC 仿真器上的域管理或本地管理员 | | • | 工具:Net time,W32tm.exe,Ping |
过程步骤 在林根 PDC 仿真器上配置时间 1. | 使用 Ping 工具检查 SNTP 服务器可访问。键入 ping server (其中 server 是 SNTP 服务器的 DNS 名或 IP 地址),然后按 ENTER。 | 2. | 若需要为发送通信量打开 UDP 端口 123。 | 3. | 为接收 SNTP 通信量打开 UDP 端口 123(或所选择的其他端口)。 | 4. | 在命令提示符下,键入 w32tm -portnumber (其中 portnumber 是步骤 3 中描述的服务器端口),然后按 ENTER。 | 5. | 在命令提示符下,键入 net time /setsntp:server (其中 server 是 SNTP 服务器的 DNS 名或 IP 地址),然后按 ENTER。 | 6. | 检查已设置手动配置的时间源,在命令提示符下,键入 net time /querysntp ,然后按 ENTER 。 检查已显示 SNTP 服务器名。 | 7. | 停止并重新启动时间服务以使更改生效。 | 8. | 在命令提示符下,键入 net stop w32time ,然后按 ENTER。 |
步骤:在林根 PDC 仿真器上删除已配置的时间源使用以下步骤在林根 PDC 仿真器上删除已配置的时间源。在 PDC 仿真器上执行步骤。 步骤要求 | • | 凭据:PDC 仿真器上的域管理或本地管理员 | | • | 工具:Net time |
过程步骤 在林根 PDC 仿真器上删除已配置的时间源 1. | 在命令提示符下,键入 net time /setsntp ,然后按 ENTER。 | 2. | 检查已清除手动配置的时间源,在命令提示符下,键入 net time /querysntp ,然后按 ENTER。 |
检查收到如下消息:本计算机当前未配置为使用指定的 SNTP 服务器。 步骤:将已选择的计算机配置为可靠时间源告诫:注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 在所选计算机上执行以下步骤为其配置可靠时间源。 步骤要求 过程步骤 将已选择的计算机配置为可靠时间源 1. | 在命令提示符下,键入 regedit ,然后按 ENTER 。 | 2. | 导航至以下注册表项并将值改为 1: Hkey_Local_Machine\System\CurrentControlSet\Services\W32Time\Config\AnnounceFlags = 0x5 | 3. | 运行 w32tm /config /update。 |
步骤:在所选择的计算机上设置手动配置的时间源使用以下步骤为客户端计算机手动设置时间源。 步骤要求 过程步骤 在所选择的计算机上设置手动配置的时间源 1. | 使用 Ping 工具搜索 SNTP 服务器以确保其从客户端可访问。键入 ping server (其中 server 是 SNTP 服务器的 DNS 名或 IP 地址),然后按 ENTER。 | 2. | 在命令提示符下,键入 net time /setsntp:server (其中 server 是 SNTP 服务器的 DNS 名或 IP 地址),然后按 ENTER。 | 3. | 检查已手动配置的时间源,在命令提示符下,键入 net time /querysntp ,然后按 ENTER。 检查 SNTP 服务器名已显示。 |
步骤:在所选择的计算机上删除手动配置的时间源使用以下步骤在所选择的计算机上删除手动配置的时间源。 步骤要求 过程步骤 在所选择的计算机上删除手动配置时间源 1. | 在命令提示符下,键入 net time /setsntp ,然后按 ENTER。 | 2. | 检查已清除手动配置的时间源,在命令提示符下,键入 net time /querysntp ,然后按 ENTER。 确认收到如下消息:本计算机当前未配置为使用指定的 SNTP 服务器。 |
步骤:更改轮询间隔告诫:注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 1. | 在命令提示符下,键入以下命令,然后按 ENTER: w32tm -period value 其中 value 是以下之一: 0 | 每日一次 | "BiDaily" | 每日二次 | "Tridaily" | 每日三次 | "Weekly" | 每七天一次 | "SpecialSkew" | 每 45 分钟一次直至出现三次良好同步,然后每 8 小时一次(每日 3 次)[默认] | "DailySpecialSkew" | 每 45 分钟一次直至出现良好同步,然后每日一次 | 等于每日次数的数字 | 每日要同步次数的数字 |
| 2. | 停止并重新启动时间服务以使更改生效。 1. | 在命令提示符下,键入 net stop w32time ,然后按 ENTER。 | 2. | 在命令提示符下,键入 net start w32time ,然后按 ENTER。 |
| 3. | 确认注册表中的间隔已改。 1. | 在命令提示符下,键入 regedit ,然后按 ENTER。 | 2. | 导航至以下注册表项并检查值正确: Hkey_Local_Machine\System\CurrentControlSet\Services\W32Time\Parameters\Period。 |
|
步骤:禁用时间服务使用以下步骤禁用 W32Time 服务。 步骤要求 过程步骤 禁用 W32Time 服务 1. | 打开管理工具并选择 Services。 | 2. | 鼠标右键单击 Windows Time,然后选择 Properties。 此 Windows Time Properties 对话框出现。 | 3. | 在 Startup Type 字段,从下拉菜单中选择 Disabled 。 | 4. | 单击 OK。检查时间服务类型显示为 Disabled。 |
步骤:创建单向信任(MMC 方法)对于以下两个子步骤,被信任域的域管理成员之一执行第一步,而信任域的域管理成员之一执行第二步。 过程步骤 在被信任域创建单向信任关系 1. | 与另一域的管理员就建立信任所用的安全信道密码达成一致。 | 2. | 在被信任域,以域管理成员身份登录。 | 3. | 在 Active Directory 域与信任中,展开域树直至被信任域名出现,然后鼠标右键单击被信任域节点。 | 4. | 单击 Properties,然后单击 Trusts 选项卡。 | 5. | 在 Domains that trust this domain 框旁边,单击 Add。 | 6. | 在 Trusting domain 框中,键入信任域名。若添加 Windows 2000 域,键入完整的 DNS 名(此例中为noamreskit.com )。若域运行的是 Windows 的早期版本,则键入域名(此例中为noam )。 | 7. | 在 Password 框中,键入约定密码。 | 8. | 在 Confirm password 框中,再次键入密码,然后单击 OK。 | 9. | 出现消息显示无法验证信任。单击 OK。 注意: 此错误原因是 Windows 2000 试图验证安全信道。此时无法验证安全信道,因为信任的另一方还未创建。 | 10. | 单击 OK 关闭 Properties 工作表。 |
在信任域创建单向信任关系 1. | 在信任域,以域管理成员身份登录。 | 2. | 在 Active Directory 域与信任,展开域树直至信任域名出现,然后鼠标右键单击信任域节点。 | 3. | 单击 Properties,然后单击 Trusts 选项卡。 | 4. | 在 Domains trusted by this domain 框旁边,单击 Add。 | 5. | 在 Trusted domain 框中,键入被信任域名。若添加 Windows 2003 域,键入完整的 DNS 名(此例中为acquired.com )。若域运行的是 Windows 的早期版本,则键入域名(此例中为acquired )。 | 6. | 在 Password 框中,键入约定密码。 | 7. | 在 Confirm password 框中,再次键入密码,然后单击 OK。 | 8. | 出现消息显示已添加被信任域而且已验证信任。单击 OK。 | 9. | 出现消息询问是否验证信任。单击 Yes,然后单击 OK。 | 10. | 单击 OK 关闭 Properties 工作表。 |
注意: 若两个域中都成功创建信任,单击 Yes 验证信任。若在被信任域创建了信任,单击 Yes 会显示错误。信任创建在被信任域,信任有效。无须验证信任是否有效。 步骤:创建单向信任(Netdom.exe 方法)对于以下步骤,用同一命令可在双方建立单向信任。您必须有两个域的域管理员密码。 过程步骤 使用 Netdom.exe 创建单向信任 | • | 打开命令提示符,然后键入以下命令: netdom trust /d:trusteddomain trustingdomain /add 其中 trusteddomain 是被信任域,而 trustingdomain 是信任域。若域为 Windows 2000,使用完整的 DNS 名;若为 Windows NT 4.0,使用域名。按 ENTER。 |
对于被信任域密码,可使用 Pd: ,而对于信任域密码,可使用 Po: 输入管理员密码。若没有输入密码,系统会提示要求输入。 例: netdom trust /d:acquired.com noam.com /add /Ud:acquired.com\admin /Pd:xxxx /Uo:noam.com\admin /Po:yyyy. 步骤:创建双向信任(MMC 方法)对于以下步骤,第一域的域管理成员之一执行第一步,而第二域的域管理成员之一执行第二步。 过程步骤 在第一域中创建两个单向信任关系的双向 1. | 与另一域的管理员就建立信任所用的安全信道密码达成一致。 | 2. | 在第一域,以域管理成员身份登录。 | 3. | 在 Active Directory 域和信任,展开 reskit.com,然后鼠标右键单击 noam.reskit.com。 | 4. | 单击 Properties,然后单击 Trusts 选项卡。 | 5. | 在 Domains trusted by this domain 框旁边,单击 Add。 | 6. | 在 Trusted domain 框中,键入被信任域名。 若添加 Windows 2003 域,键入完整的 DNS 名。若域运行的是 Windows 的早期版本,则键入域名。 | 7. | 在 Password 框中,键入约定密码。 | 8. | 在 Confirm password 框中,再次键入密码,然后单击 OK。 | 9. | 出现消息显示信任无法验证。单击 OK。 注意: 此错误原因是 Windows 2003 试图验证安全信道。此时无法验证安全信道,因为信任的另一方还未创建。 | 10. | 在 Domains that trust this domain 框旁边,单击 Add。 | 11. | 在 Trusting domain 框中,键入信任域名。若添加 Windows 2000 域,键入完整的 DNS 名(此例中为acquired01-int.com )。若域运行的是 Windows 的早期版本,则键入域名(此例中为acquired01-int )。 | 12. | 在 Password 框中,键入约定密码。 | 13. | 在 Confirm password 框中,再次键入密码,然后单击 OK。 | 14. | 出现消息询问是否验证信任。单击 Yes。 | 15. | 单击 OK 关闭 Properties 工作表。 注意: 若在 acquired01-int.com 域中成功创建信任,则单击 Yes 验证信任。若未创建信任,单击 Yes 会显示错误。信任创建在 acquired01-int.com 域,信任有效。无须验证信任是否有效。 |
步骤:创建双向信任(Netdom.exe 方法)对于以下步骤,用同一命令在双方建立双向信任。您必须有两个域的域管理员密码。 过程步骤 使用 Netdom.exe 创建双向信任 | • | 打开命令提示符,然后键入以下命令: netdom trust /d:trusteddomaintrustingdomain/add /twoway 其中 trusteddomain 是被信任域,而 trustingdomain 是信任域。若域为 Windows 2000,使用完整的 DNS 名;若为 Windows NT 4.0,使用域名。按 ENTER。 |
对于被信任域密码,可使用 Pd: ,而对于信任域密码,可使用 Po输入管理员密码。若没有输入密码,会有提示要求输入。 例: netdom trust /d:acquired.com noam.com /add /twoway /Ud: acquired.com\admin /Pd:xxxx /Uo: noam.com\admin /Po:yyyy. 步骤:使用 Active Directory 域和信任管理单元来删除手动创建的信任可使用 Active Directory 域和信任或通过使用 Netdom.exe 来删除手动创建的信任。 过程步骤 使用 Active Directory 域和信任删除信任 1. | 登录第一个域。 | 2. | 在 Active Directory 域和信任的控制台树,鼠标右键单击要删除的域节点之一,然后单击 Properties。 | 3. | 单击 Trusts 选项卡。 | 4. | 在 Domains trusted by this domain 或 Domains that trust this domain上,单击要删除的信任,然后单击 Remove。 | 5. | 对信任涉及的其他域重复此步骤。 |
步骤:使用 Netdom.exe 删除手动创建的信任可使用 Active Directory 域和信任或通过使用 Netdom.exe 来删除手动创建的信任。 过程步骤 使用 Netdom.exe 删除信任,使用以下步骤之一,这取决于信任是单向还是双向。 | • | 删除单向信任,打开命令提示符,键入以下命令,然后按 ENTER: netdom trust /d:trusteddomaintrustingdomain /remove 其中 trusteddomain 是被信任域,而 trustingdomain 是信任域。若域为 Windows Server 2003,则使用完整的 DNS 名;若为 Windows NT 4.0,则使用域名。会有提示要求输入管理员密码。 或 | | • | 删除双向信任,打开命令提示符,键入以下命令,然后按 ENTER: netdom trust /d:trusteddomaintrustingdomain /remove /twoway 其中 trusteddomain 是被信任域,而 trustingdomain 是信任域。若域正运行 Windows 2003,使用完整的 DNS 名;若正运行 Windows NT 4.0,使用域名。必须有两个域的凭据。还会有提示要求输入两个密码。 |
步骤:配置 SID 筛选信任域的管理员应用 SID 筛选功能从特定域中筛选出存储在 SIDHistory 中移植的 SID。例如,存在一个外部信任关系,因此 noam 域信任获取的域,noam 域的管理员能对获取的域采用 SID 筛选功能,这使得带有获取域的域 SID 的所有 SID 能够通过,而所有其他的 SID (如那些从存储在 SIDHistory 移植的 SID )则被放弃。 步骤要求 | • | 凭据:信任域的域管理 | | • | 工具:Netdom.exe(支持工具) |
过程步骤 配置 SID 筛选功能 1. | 用具有域管理员凭据的帐户登录信任域。 | 2. | 在命令提示符下,键入 netdom /filtersidstrusteddomain (其中 trusteddomain 是要筛选其 SID 的域),然后按 ENTER。 |
步骤:删除 SID 筛选步骤要求 | • | 凭据:信任域的域管理 | | • | 工具:Netdom.exe(支持工具) |
过程步骤 删除 SID 筛选功能 1. | 用具有域管理员凭据的帐户登录信任域。 | 2. | 在命令提示符下,键入 netdom /filtersids notrusteddomain (其中 trusteddomain 是先前应用 SID 筛选而现在要删除的信任域),然后按 ENTER。 |
步骤:创建站点对象并将其添加至现有站点链接创建新站点,必须创建站点对象并将其添加到站点链接。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 创建站点对象 1. | 在 Active Directory 站点和服务上,鼠标右键单击 Sites 容器,然后单击 New Site。 | 2. | 在 Name 框中,键入站点名。 | 3. | 在 Link Name 列表中,单击此站点的站点链接,然后单击 OK。 | 4. | 在 Active Directory 消息框中,读信息,然后单击 OK。 |
步骤:使 IP 地址范围与站点相关联子步骤 1:创建子网对象或对象并使其与新站点相关联| • | 创建子网对象,必须有以下信息: | | • | 子网要关联的站点。 | | • | 范围内的网络地址或任何 IP 地址。 | | • | 子网掩码。 |
Active Directory 站点和服务将此信息转至子网地址。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 创建子网对象 1. | 在 Active Directory 站点和服务上,展开 Sites 容器。 | 2. | 鼠标右键单击 Subnets,然后单击 New Subnet。 | 3. | 在 New Object - Subnet 对话框的 Address 框中,键入子网的网络地址或 IP 地址范围内的任何 IP 地址。 | 4. | 在 Mask 框中,键入子网掩码。 | 5. | 在 Site Name 框中,单击此子网关联的站点,然后单击 OK。 |
子步骤 2:将现有子网对象与新站点关联在下述情况下,将现有子网对象与新站点关联: | • | 正删除子网关联的站点。 | | • | 已将子网临时与不同站点关联,并要将其与永久站点关联。 |
步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 使现有子网对象与站点相关联 1. | 在 Active Directory 站点和服务上,展开 Sites 容器,然后单击 Subnets 容器。 | 2. | 在详细信息窗格,鼠标右键单击要与站点关联的子网,然后单击 Properties。 | 3. | 在 Site 框中,单击此子网关联的站点,然后单击 OK。 |
步骤:创建站点链接对象,如果需要,则将新站点和至少一个其他站点添加至此站点链接对象要链接站点以复制,在用于站点间传输(将复制站点)的容器中创建站点链接对象,然后向其中添加站点。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 创建站点链接对象 1. | 在 Active Directory 站点和服务上展开 Sites 容器,然后展开 Inter-Site Transports 容器。 | 2. | 鼠标右键单击 IP,然后单击 New Site Link。 | 3. | 在 Name 框中,键入站点链接的名称。 | 4. | 在 Sites not in this site link 框中,单击想添加至站点链接的站点。按住 SHIFT 键,单击列表中相邻的第二个站点,或按住 CTRL 键,单击列表中不相邻的第二个站点。 | 5. | 在选择所有想添加至站点链接的站点后,单击 Add,然后单击 OK。 |
步骤:从站点链接中删除站点如果执行先前步骤时,将新站点暂时添加至现有的站点链接以创建该站点,请使用站点链接属性来从站点链接中删除站点。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 从站点链接上删除站点 1. | 在 Active Directory 站点和服务上展开 Sites 容器,然后展开 Inter-Site Transports 容器。 | 2. | 单击 IP。在详细信息窗格, 鼠标右键单击要从中删除站点的站点链接,然后单击 Properties。 | 3. | 在 Sites in this site link 框中,单击要从站点链接删除的站点。 | 4. | 单击 Remove,然后单击 OK。 |
步骤:创建子网对象并使其与正确的站点相关联要创建子网对象,必须具备以下信息: | • | 子网要关联的站点。 | | • | 范围内的网络地址或任何 IP 地址。 | | • | 子网掩码。 |
Active Directory 站点和服务将此信息转换为子网地址。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 创建子网对象 1. | 在 Active Directory 站点和服务上展开 Sites 容器。 | 2. | 鼠标右键单击 Subnets, 然后单击 New Subnet。 | 3. | 在 New Object - Subnet 对话框的 Address 框中,键入子网的网络地址或 IP 地址范围内的任何 IP 地址。 | 4. | 在 Mask 框中,键入子网掩码。 | 5. | 在 Site Name 框中,单击此子网所关联的站点,然后单击 OK。 |
步骤:在 IP 容器中创建站点链接对象,并添加适当站点要链接站点以复制,在用于站点间传输(将复制站点)的容器中创建站点链接对象,然后向其中添加站点。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 创建站点链接对象 1. | 在 Active Directory 站点和服务上展开 Sites 容器,然后展开 Inter-Site Transports 容器。 | 2. | 鼠标右键单击 IP,然后单击 New Site Link。 | 3. | 在 Name 框中,键入站点链接的名称。 | 4. | 在 Sites not in this site link 框中,单击想添加至站点链接的站点。按住 SHIFT 键,单击列表中相邻的第二个站点,或按住 CTRL 键,单击列表中不相邻的第二个站点。 | 5. | 在选择所有想添加至站点链接的站点后,单击 Add,然后单击 OK。 |
步骤:生成站点间拓扑默认情况下,KCC 每 15 分钟生成一次复制拓扑。用以下步骤刷新站点间拓扑,可立即启动复制拓扑生成。 子步骤 1:确定站点的 ISTG 角色所有者查看 NTDS 站点设置对象属性,以便确定站点当前站点间拓扑生成器 (ISTG) 角色所有者。 步骤要求 | • | 凭据:域用户 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 确定站点的 ISTG 角色所有者 1. | 在 Active Directory 站点和服务中。单击要确定其 ISTG 的站点对象。 | 2. | 在详细信息窗格,鼠标右键单击 NTDS Site Settings 对象,然后单击 Properties。当前角色持有者出现在 Server 框中,此框在 Inter-Site Topology Generator之下。 |
子步骤 2:在 ISTG 上生成复制拓扑知识一致性检查器 (KCC) 默认下每 15 分钟运行一次。若要立即开始拓扑重新生成,可按以下方法强制运行 KCC: | • | 要生成站点间复制拓扑,在持有 ISTG 角色站点的域控制器上运行 KCC。 | | • | 要生成站点内复制拓扑,在未持有 ISTG 角色站点的域控制器上运行 KCC。 |
步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) | | • | 识别站点中的 ISTG 角色持有者 |
过程步骤 生成复制拓扑 1. | 在 Active Directory 站点和服务上展开 Sites 容器,然后展开包含要运行 KCC 服务器的站点。 | 2. | 单击 Servers,然后单击 Server 对象。 | 3. | 展开 Server 对象以显示 NTDS Settings 对象。 | 4. | 鼠标右键单击 NTDS Settings,单击 All Tasks,然后单击 Check Replication Topology。 | 5. | 在 Check Replication Topology 消息框中,单击 OK。 |
步骤:配置站点链接进度表以识别站点间复制可能发生的时间使用站点链接对象上的属性定义何时可复制。从设计小组获得进度表。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 配置站点链接进度表 1. | 在 Active Directory 站点和服务上展开 Sites 容器和 Inter-Site Transports 容器,然后单击 IP 容器。 | 2. | 在详细信息窗格,鼠标右键单击要配置的 Site Link 对象,然后单击 Properties。 | 3. | 在 SiteLinkName Properties 对话框中单击 Change Schedule。 | 4. | 在 Schedule for SiteLinkName 对话框中,选择要复制发生或不发生(可用或不可用)的天数及小时的数据块,然后单击适当的选项。 | 5. | 单击 OK 两次。 |
步骤:配置站点链接间隔以识别复制轮询在进度表窗口中发生的频率使用站点链接对象上的属性确定在可用复制进度表中,要桥头服务器选择更改的站点间复制伙伴的频率。从设计小组获得间隔值。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 配置站点链接间隔 1. | 在 Active Directory 站点和服务上展开 Sites 容器和 Inter-Site Transports 容器,然后单击 IP 容器。 | 2. | 在详细信息窗格,鼠标右键单击要配置的 Site Link 对象,然后单击 Properties。 | 3. | 在 Replicate every _____ minutes 框中,指定打开的进度表中复制循环发生的间隔分钟数,然后单击 OK。 |
步骤:配置站点链接成本以建立复制路由的优先级创建或修改站点链接时,使用对象属性配置使用站点链接的相关成本。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 配置站点链接成本 1. | 在 Active Directory 站点和服务上,展开 Sites 容器和 Inter-Site Transports 容器,然后单击 IP 容器。 | 2. | 在详细信息窗格,鼠标右键单击要配置的 Site Link 对象,然后单击 Properties。 | 3. | 在 Cost 框中,指定使用站点链接的比较成本,然后单击 OK。 |
步骤:更改域控制器的静态 IP 地址此步骤包括更改所有适当的 TCP/IP 值,包括首选和替换 DNS 服务器以及 WINS 服务器(如需要)在内。从设计小组可获取这些数值。 若更改域控制器的静态 IP 地址,也必须因此而更改相关的 TCP/IP 设置。 步骤要求 | • | 凭据:管理员 | | • | 工具:网上邻居 | | • | 必需的信息 | • | IP 地址 | | • | 子网掩码 | | • | 默认网关地址 | | • | 首选及备用 DNS 服务器地址 | | • | WINS 服务器地址(如果需要) |
|
过程步骤 更改域控制器的静态 IP 地址 1. | 本地登录要更改其 IP 地址的服务器。 | 2. | 桌面上,鼠标右键单击 My Network Places ,然后单击 Properties。 | 3. | 在 Network and Dial-up Connections 对话框中,鼠标右键单击 Local Area Connection,然后单击 Properties。 | 4. | 在 Local Area Connection Properties 对话框中,双击 Internet Protocol (TCP/IP)。 | 5. | 在 Internet Protocol (TCP/IP) Properties 对话框的 IP address 框中,键入新地址。 | 6. | 在 Subnet mask 框中,键入子网掩码。 | 7. | 在 Default gateway 框中,键入默认网关。 | 8. | 在 Preferred DNS server 框中,键入此计算机联系的 DNS 服务器地址。 | 9. | 在 Alternate DNS server 框中,键入首选服务器不可用时此计算机联系的 DNS 服务器地址。 | 10. | 若此域控制器使用 WINS 服务器,则单击 Advanced ,然后在 Advanced TCP/IP Settings 对话框中单击 WINS 选项卡。 | 11. | 若列表中地址不再合适,则单击 Edit。 | 12. | 在 TCP/IP WINS Server 对话框中,键入新地址,然后单击 OK。 | 13. | 对所有需更改的地址重复步骤 11 和 12,然后单击 OK 两次关闭 TCP/IP WINS Server 对话框和 Advanced TCP/IP Settings 对话框。 | 14. | 单击 OK 关闭 Internet Protocol (TCP/IP) Properties 对话框。 |
步骤 2:创建域控制器的委派如果由该 DNS 服务器托管的任一区域的父 DNS 区域包含到此 DNS 服务器的委派,则使用此步骤来更新所有此类委派的 IP 地址。 此步骤为新域控制器在 DNS 父域上创建一个也为 DNS 服务器的委派。若林根域有 DNS 父域,在父域的 DNS 服务器上执行这些步骤。若只是在子域上添加新域控制器,则在 DNS 父域的 DNS 服务器上执行这些步骤。依照所推荐的方法,父域即为林根域。 步骤要求 过程步骤 为新域控制器创建委派。 1. | 从 DNS 管理单元,导航至控制台树上的 child_domain (其中 child_domain 是子域名称)。 | 2. | 在控制台树,鼠标右键单击 child_domain,然后单击 Properties。 | 3. | 在 child_domain Properties 工作表的 Name Servers 选项卡上, 单击 Add。 | 4. | 在 New Resource Record 对话框的 Server 名称框中,键入 child_dc.child_domain.parent_domain (其中 child_dc 是新域控制器名称, child_domain 是子域名称,而 parent_domain 是父域名称)。 | 5. | 在 New Resource Record 对话框的 IP address 框中,键入 ip_address (其中 ip_address 是子域控制器的 IP 地址),单击 Add,然后单击 OK。 |
步骤:确定服务器是否为首选桥头服务器首选桥头服务器属于服务器对象,该服务器对象将该服务器添加至 IP 传输的首选桥头服务器列表。 步骤要求 | • | 凭据:域用户 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 决定与控制其是否为首选桥头服务器 1. | 在 Active Directory 站点和服务上,展开 Sites 容器以及服务器对象所在的站点。 | 2. | 打开 Servers 容器以显示当前为该站点配置的域控制器。 | 3. | 鼠标右键单击感兴趣的 Server 对象,然后单击 Properties。 | 4. | 若 IP 在框中出现并标记为 This server is a preferred bridgehead server for the following transports,则服务器为 IP 传输的首选桥头服务器。 |
步骤 5:配置服务器使其不做为首选桥头服务器使用服务器对象属性从 IP 传输中删除首选桥头服务器。 步骤要求 | • | 凭据:域管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 配置域控制器为非首选桥头服务器 1. | 在 Active Directory 站点和服务上,展开 Sites 容器,然后展开首选桥头服务器的站点。 | 2. | 打开 Servers 节点以显示当前为该站点配置的域控制器列表。 | 3. | 鼠标右键单击要删除的服务器,然后单击 Properties。 | 4. | 若 IP 在列表中出现并标记为此服务器为 IP 传输的桥头服务器,则单击 IP,单击 Remove,然后单击 OK。 |
步骤 6:将服务器对象移动至新站点移动服务器对象要求域控制器的 IP 地址映射到移动的服务器对象站点。验证 IP 地址映射到目标站点后,使用以下步骤移动服务器对象至该站点。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 移动服务器对象至不同站点上 1. | 在 Active Directory 站点和服务上,展开 Sites 容器以及服务器对象所在的站点。 | 2. | 打开 Servers 容期显示当前为该站点配置的域控制器。 | 3. | 鼠标右键单击要移动的 Server 对象,然后单击 Move。 | 4. | 在 Site Name 框中,单击目标站点,然后单击 OK。 | 5. | 打开 Site 对象,然后展开 Servers 容器。 | 6. | 确认所移动的服务器对象存在。 | 7. | 打开 Server 对象并验证 NTDS 设置对象存在。 |
一小时内,域控制器上的 Net Logon 服务将新站点信息注册到 DNS 上。等待一个小时,然后打开事件查看器并连接到移动的服务器对象所属的域控制器。在目录服务日志上查看过去一小时内发生的与 DNS 中 SRV 资源记录注册有关的网络登录错误。没有错误说明网络登录已使用指定的 SRV 资源记录更新了 DNS 站点。网络登录事件 ID 5774 指示 DNS 资源记录注册失败。若发生此错误,请联系主管并开始进行 DNS 疑难解答。 步骤:删除站点链接对象使用以下步骤删除站点链接对象。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 删除站点链接对象 1. | 在 Active Directory 站点和服务上,展开 Sites 容器和 Inter-Site Transports 容器,然后单击 IP 容器。 | 2. | 在详细信息窗格,鼠标右键单击要删除的 Site Link 对象,然后单击 Delete。 | 3. | 单击 Yes 确认选择。 |
步骤 4:使一个或几个子网与正确站点相关联在下述情况下,将现有子网与新站点关联: | • | 正删除子网关联的站点。 | | • | 已将子网临时与不同站点关联,并要将其与永久站点关联。 |
步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 使现有子网对象与站点相关联 1. | 在 Active Directory 站点和服务上,展开 Sites 容器,然后单击 Subnets 容器。 | 2. | 在详细信息窗格,鼠标右键单击要与站点关联的子网,然后单击 Properties。 | 3. | 在 Site 框中,单击此子网关联的站点,然后单击 OK。 |
若 IP 地址不再使用,删除子网对象或地址关联的对象。 步骤 5:删除站点对象只有从站点删除了所有服务器对象并已将子网与不同站点关联后,方可删除站点对象。删除站点时也会删除服务器容器。 步骤要求 | • | 凭据:企业管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 删除站点对象 1. | 在 Active Directory 站点和服务中,展开 Sites container。 | 2. | 在详细信息窗格, 鼠标右键单击要删除的站点,然后单击 Delete。 | 3. | 单击 Yes 确认选择。 | 4. | 在 Active Directory 消息框中,读信息,然后单击 Yes 删除站点及其服务器容器对象。 |
步骤:将域控制器配置为全局编录服务器使用 NTDS 设置对象上的设置来指示域控制器是否指定为全局编录服务器。 步骤要求 | • | 凭据:在全局编录服务器的域上的域管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 将域控制器配置为全局编录服务器 1. | 在 Active Directory 站点和服务上,展开 Sites 容器,然后展开至打算指定全局编录服务器的站点。 | 2. | 打开 Servers 容器,然后展开要作为全局编录服务器删除的域控制器的 Server 对象。 | 3. | 鼠标右键单击目标服务器的 NTDS Settings 对象,然后单击 Properties。 | 4. | 选择 Global Catalog 复选框,然后单击 OK。 |
步骤 2:监视全局编录复制过程监视复制进展以查看只读目录分区的分区有多少(百分比)已复制到新全局编录服务器。 步骤要求 | • | 凭据:域管理 | | • | 工具:Dcdiag.exe (支持工具) |
过程步骤 在新的全局编录服务器上监视复制过程 1. | 在命令提示符下,键入 dcdiag /v /s:servername| find % (其中 servername 是新的全局编录服务器名称),然后按 ENTER。 | 2. | 定期重复此命令以监视进展。若测试无输出显示,则复制已完成。 |
步骤:验证对域控制器的成功复制使用 Repadmin.exe 验证对特定域控制器复制成功。在接受复制的域控制器(目标域控制器)上运行 /showreps 命令。 在入站邻居的输出下,Repadmin.exe 显示出已尝试进行入站目录复制的每一目录分区的轻型目录访问协议 (LDAP) 可分辨名称,源域控制器的站点及名称,及其成功与否,如下所示: | • | 上一次尝试 YYYY-MM-DD HH:MM.SS 成功。 | | • | 上一次尝试 @ [Never] 成功。 |
步骤要求 | • | 凭据:在目标域控制器中的域管理 | | • | 工具:Repadmin.exe(支持工具) |
过程步骤 验证对域控制器的复制成功 1. | 在命令提示符下,键入以下命令,然后按 ENTER: repadmin /showrepsServerName/u:DomainName\UserName/pw:* 其中 ServerName 是目标域控制器名称, DomainName 是目标域控制器的域的单标签名称(无需使用完全限定的 DNS 名称),而 UserName 是该域中的一个管理帐户名。 | 2. | 提示下,键入您提供的用户帐户密码,然后按 ENTER。 |
上一次成功尝试应与站点间复制进度表一致,或在站点内最后一小时之内。若复制从未出现,消息显示没有上一次成功。 若 Repadmin.exe 报告下列任何情况,联系主管: | • | 上一次成功站点间复制在上一次进度表复制之前。 | | • | 上一次站点内复制发生在之前一小时之内。 | | • | 复制从未成功。 |
步骤:验证全局编录准备就绪当全局编录服务器已满足复制要求时,将 isGlobalCatalogReady rootDSE 属性设置为 TRUE。使用 Ldp.exe 或 Nltest.exe 查看此值。 子步骤 1:使用 Ldp.exe 验证全局编录准备就绪步骤要求 过程步骤 使用 Ldp.exe 验证全局编录准备就绪 1. | 在 Ldp.exe 的 Connection 菜单上, 单击 Connect。 | 2. | 在 Connect 框中,键入要验证其全局编录准备就绪的服务器名。 | 3. | 在 Port 框中,若未显示 389,键入 389。 | 4. | 若 Connectionless 框已选中,清除它,然后单击 OK。 | 5. | 在详细信息窗格, 确认 isGlobalCatalogReady 属性有一值为 TRUE。 | 6. | 在 Connection 菜单上, 单击 Disconnect,然后关闭 Ldp.exe。 |
子步骤 2:使用 Nltest.exe 验证全局编录服务准备就绪步骤要求 | • | 凭据:域用户 | | • | 工具:Nltest.exe(支持工具) |
过程步骤 使用 Nltest.exe 验证全局编录准备就绪 1. | 在命令提示符下,键入以下命令,然后按 ENTER: nltest /server:ServerName /dsgetdc:DomainName 其中 ServerName 是已为其添加全局编录的服务器名称,而 DomainName 是服务器的域。 | 2. | 在输出的 Flags: line 中,若出现 GC,则全局编录服务器已满足其复制要求。 |
步骤 2:确认全局编录 DNS 注册要验证服务器已公布为全局编录服务器,请使用 DNS 管理单元验证服务器的 DNS SRV 资源报告存在。检查 DNS 注册前请重新启动全局编录服务器。 步骤要求 | • | 凭据:域用户 | | • | 工具:DNS 管理单元(管理工具) | | • | 复制完成后全局编录服务器已重新启动。 |
过程步骤 验证全局编录特定 DNS SRV 资源报告存在 1. | 在 DNS 管理单元,连接林根域中的域控制器。 | 2. | 展开 Forward Lookup Zones ,然后展开林根域。 | 3. | 单击 _tcp 容器。在详细信息窗格, 在 Name 列寻找 _gc,并在 Data 列寻找服务器名。以 _gc 开始的报告是全局编录 SRV 报告。 |
步骤:清除全局编录设置清除全局编录设置会从域控制器的目录数据库中删除部分目录分区。 步骤要求 | • | 凭据:在全局编录服务器的域中的域管理 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 清除全局编录设置 1. | 在 Active Directory 站点和服务上,展开 Sites 容器,然后展开要从中删除全局编录服务器的站点。 | 2. | 打开 Servers 容器,然后展开要作为全局编录服务器删除的域控制器的 Server 对象。 | 3. | 鼠标右键单击目标服务器的 NTDS Settings 对象,然后单击 Properties。 | 4. | 若 Global Catalog 复选框已选,清除复选框,然后单击 OK。 |
步骤:在事件查看器中监视全局编录删除KCC 记录指示全局编录已从域控制器中删除的事件。 步骤要求 | • | 凭据:域用户 | | • | 工具:Active Directory 站点和服务(管理工具) |
过程步骤 在事件查看器中监视全局编录删除 1. | 转到 Start > Programs > Administrative Tools > Event Viewer。 | 2. | 鼠标右键单击 Event Viewer (Local),然后单击 Connect to another computer。 | 3. | 在 Select Computer 对话框中单击 Another computer,键入从中删除全局编录的服务器名,然后单击 OK。 | 4. | 在事件查看器下,单击 Directory Service log。 | 5. | 寻找 NTDS KCC 事件 ID 1268,它表示全局编录已从本地机器上删除。 |
步骤:确定站点是否拥有至少一个全局编录服务器可使用 Nltest.exe 列出特定站点内的单个域控制器。若测试失败,则表示站点内无全局编录服务器。 步骤要求 | • | 凭据:验证用户 | | • | 工具:Nltest.exe(支持工具) |
过程步骤 确定站点是否有至少一个全局编录服务器 | • | 在命令提示符下,键入: nltest /dsgetdc:forestRootDomainName /gc /site:siteName 其中 forestRootDomainName 是林根域名,而 siteName 是站点名。按 ENTER。 输出显示或者一个是全局编录服务器的域控制器,或者命令失败。若输出显示 DsGetDcName 失败,则表示站点无全局编录服务器。 |
步骤:确定是否激活通用组缓存步骤细节 1. | 打开 Active Directory 站点和服务 MMC 管理单元。 | 2. | 定位要检查其通用组缓存的站点。 | 3. | 单击站点名,鼠标右键单击 NTDS Site Settings,然后选择 Properties。 若通用组缓存激活,则复选框会被选中。 |
步骤:更改注册表中 DNS SRV 报告的工作量要增加发送到与特定域控制器相关的其他域控制器的客户端需求,则调整特定域控制器的工作量,使其值低于其他域控制器。所有域控制器以设置为 100 的默认工作量启动,其可配置为 0 到 65535 之间任一值(十进制类型数据)。调整工作量时,将其认为是此域控制器与其他域控制器工作量的比率。由于其他域控制器的默认值为 100,您输入的数除以 100 来建立比例。例如,若指定值为 60,与其他域控制器的比率则为 60/100。此值简化为 3/5,则客户端每引用其他域控制器 5 次的同时引用调整的域控制器 3 次。 告诫:注册表编辑器回避了标准安全措施,允许进行损坏系统甚至需要重新安装 Windows 的设置。若必须编辑注册表,首先备份系统状态。有关备份系统状态的信息,参见本指南的“Active Directory 备份和还原”。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe(系统工具) |
过程步骤 更改 DNS SRV 报告在注册表中的重量 1. | 在 Run 文本框中,键入 regedit 然后按 ENTER。 | 2. | 在注册表编辑器上,导航至 HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。 | 3. | 单击 Edit,再单击 New, 然后单击 DWORD value。 | 4. | 对于新值名称,键入 LdapSrvWeight 然后按 ENTER。(值名不区分大小写。) | 5. | 双击刚键入的值名以打开 Edit DWORD Value 对话框。 | 6. | 输入从 0 到 65535 的值。默认值为 100。 | 7. | 选择 Decimal 为基本选项。 | 8. | 单击 OK。 | 9. | 单击 File, 然后单击 Exit 关闭注册表编辑器。 |
步骤:更改 DNS SRV 报告在注册表中的优先权为避免客户端将所有需求发送到单个域控制器,域控制器分配了优先权值。客户端总是发送需求到优先权值最低的域控制器。若一个以上的域控制器有同样的值,则客户端从有相同值的域控制器组中随机选择。若没有具有最低优先权值的域控制器,则客户端发送需求到优先权值次高的域控制器。 域控制器的优先权值存储在其注册表中。域控制器启动时,网络登录服务随 DNS 服务器注册。优先权值随其其余的 DNS 信息注册。当客户端使用 DNS 查找域控制器,特定域控制器的优先权随其余 DNS 信息回到客户端。客户端使用优先权值决定发送需求到哪个域控制器。 值存储在 LdapSrvPriority 注册表条目中。默认值为 0,但其范围可为 0 到 65535。 此方法中配置 PDC 仿真器,使用 Regedit.exe 修改 ldapsrvpriority 或 ldapsrvweight 注册表条目。 注意: 输入的 LdapSrvPriority 值低表示高的优先权。LdapSrvPriority 设置为 100 的域控制器的优先权低于设置为 10 的域控制器。因此,客户端会先使用设置为 100 的域控制器。 步骤要求 | • | 凭据:域管理 | | • | 工具:Regedit.exe(系统工具) |
过程步骤 更改 DNS SRV 报告在注册表的优先权 1. | 在 Run 文本框中,键入 regedit 然后按 ENTER。 | 2. | 在注册表编辑器中,导航至 HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters | 3. | 单击 Edit,再单击 New,然后单击 DWORD value。 | 4. | 对于新值名称,键入 LdapSrvPriority 然后按 ENTER。 | 5. | 双击刚键入的值名以打开 Edit DWORD Value 对话框。 | 6. | 输入从 0 到 65535 的一个值。默认值为 0。 | 7. | 选择 Decimal 作为基本选项,然后单击 OK。 | 8. | 单击 File,然后单击 Exit 关闭注册表编辑器。 |
步骤:获取操作主要角色Ntdsutil.exe 命令行工具是您能够迁移并获取任何操作主要角色。必须使用 Ntdsutil.exe 获取计划主、域命名主和 RID 主角色。使用 Ntdsutil.exe 获取主要角色时,它首先从当前角色主迁移。若无当前角色主,则执行捕获功能。 使用 Ntdsutil.exe 获取主要角色时,和所有角色的步骤几乎一样。关于使用 Ntdsutil.exe 的更多信息,在 Ntdsutil.exe 命令提示符下,键入 ? 。 步骤要求 | • | 凭据:域管理或企业管理 | | • | 工具:Ntdsutil.exe(系统工具) |
过程步骤 获取操作主要角色 1. | 在 Run 文本框中,键入 ntdsutil ,然后按 ENTER。 | 2. | 在 ntdsutil: 提示符下,键入 roles ,然后按 ENTER。 | 3. | 在 fsmo maintenance: 提示符下,键入 connections ,然后按 ENTER。 | 4. | 在 server connections: 提示符下,键入 connect to serverservername (其中 servername 是将采用操作主要角色的域控制器名),然后按 ENTER。 | 5. | 受到连接确认后,键入 quit ,然后按 ENTER 退出菜单。 | 6. | 根据要获取的角色,输入需要的命令,然后按 ENTER。 域命名主 | 企业管理 | 获取域命名主 | 计划主 | 企业管理 | 获取计划主 | 基础结构主 | 域管理 | 获取基础结构主 | PDC 仿真器 | 域管理 | 获取 pdc | RID 主 | 域管理 | 获取 rid 主 |
系统要求确认。然后迁移角色。迁移失败时,显示错误信息,然后系统继续捕获功能。捕获完成后,出现列表列出角色及当前持有每一角色的服务器的 LDAP 名。 获取 RID 主当中,当前角色持有者尝试与其复制伙伴同步。若获取操作中无法与复制伙伴建立联系,会显示警告并确认您要继续获取角色。单击 Yes 继续。 | 7. | 键入 quit ,然后按 ENTER。再次键入 quit ,然后按 ENTER 退出 Ntdsutil.exe。 |
步骤:创建连接对象帮助确保当前角色持有者和备用操作主是复制伙伴,可手动在两个域控制器间创建连接对象。即使连接对象自动产生,建议手动创建一个。系统任何时候都可以改变自动创建的连接对象。手动创建的连接除非管理员更改,一直保持不变。 必须知道当前操作主要角色持有者才能执行以下步骤。关于“确定当前操作主要角色持有者”的信息,参见本指南前面的“查看当前操作主要角色持有者”。 步骤要求 | • | 凭据:域管理 | | • | 工具: Active Directory 站点和服务(管理工具) |
子步骤 1:在当前操作主上创建连接对象的步骤在当前操作主上创建连接对象 1. | 在 Active Directory 站点和服务管理单元的控制台树上,展开 Sites 文件夹,查看可用站点目录。 | 2. | 展开当前角色持有之所在的站点名,显示服务器文件夹。 | 3. | 展开 Servers 文件夹,查看该站点上的服务器列表。 | 4. | 展开当前主持操作主要角色的服务器名,显示 NTDS 设置。 | 5. | 鼠标右键单击 NTDS Settings,再单击 New,然后单击 Connection。 | 6. | 在 Find Domain Controllers 对话框中,选择备用操作主,然后单击 OK。 | 7. | 在 New Object-Connection 对话框中,输入连接对象的适当名称或接受默认名称,然后单击 OK。 |
子步骤 2:在备用操作主上创建连接对象的步骤在备用操作主机上创建连接对象 1. | 展开备用操作主机所在的站点名,显示服务器文件夹。 | 2. | 展开 Servers 文件夹,查看该站点服务器列表。 | 3. | 展开要作为备用操作主机的服务器名,显示其 NTDS 设置。 | 4. | 鼠标右键单击 NTDS Settings,单击 New,然后单击 Connection。 | 5. | 在 Find Domain Controllers 对话框中选择当前角色持有者名,然后单击 OK。 | 6. | 在 New Object-Connection 对话框中,输入连接对象的适当名称或接受默认名称,然后单击 OK。 |
步骤:添加新域控制器名过程步骤 | • | 打开命令提示符,键入以下命令,然后按 ENTER: netdom computername CurrentComputerName /add:NewComputerName |
步骤:指定新名为计算机原名过程步骤 指定新名为计算机原名 1. | 打开命令提示符,键入: netdom computername CurrentComputerName /makeprimary:NewComputerName 其中 CurrentComputerName 和 NewComputerName 符合下表的描述。按 ENTER。 | 2. | 重新启动计算机。 |
步骤:删除旧的域控制器名过程步骤 删除旧的域控制器名 1. | 打开命令提示符,键入: netdom computername NewComputerName /remove:OldComputerName 其中 NewComputerName 和 OldComputerName 符合下表的描述。按 ENTER。 CurrentComputerName | 计算机当前或原来名称,或正重新命名计算机的 IP 地址。 | NewComputerName | 计算机的新名。新计算机名必须为完全限定域名 (FQDN)。FQDN 中指定的原 DNS 后缀必须与当前计算机名的原 DNS 后缀相同,或必须与此域控制器主持的 Active Directory 域的 DNS 名匹配,或必须包含在域 Dns 对象 msDS-AllowedDNSSuffixes 属性的指定允许 DNS 后缀列表中。 | OldComputerName | 重新命名的计算机的旧名称。OldComputerName 必须是完全限定域名 (FQDN)。 |
|
步骤:更新 FRS 成员对象过程步骤 更新 FRS 成员对象 1. | 使用 Ldp.exe(或 ADSI 编辑),找到重新命名的域控制器的计算机对象。 | 2. | 在“计算机”对象下,对于 nTFRSSubscriber 类型且带有“域系统卷(SYSVOL 共享)”计算机名的对象,进行回归搜索。 | 3. | 搜索筛选器是 "(&((cn=Domain System Volume (SYSVOL share))(objectclass=ntfrssubscriber)))"。 | 4. | 找到搜索返回的对象的 fRSMemberReference 属性。 | 5. | 找到域名在 fRSMemberReference 属性中的对象。这是与此域控制器相对应的 Ntfrsmember 对象。 | 6. | 更改此 Ntfrsmember 对象的计算机名,从域控制器的旧名更改为域控制器的新名。 |
步骤:还原组策略过程步骤 还原组策略 1. | 打开组策略管理控制台 (GPMC)。 | 2. | 在控制台树上,双击 Domains ,展开域列表。 | 3. | 双击要得到的域以展开其内容。 | 4. | 鼠标右键单击 Group Policy Objects,然后选择 Manage Backups。 | 5. | 鼠标右键单击要还原的对象,然后选择 Restore from Backup。 | 6. | 选择备份位置,单击要还原的策略备份,然后单击 Restore。 |
单击 OK 还原所选的 GPO 备份。
| 
