Active Directory 产品操作指南

使用具有域管理员或备份操作员凭据的帐户登录域控制器。

启动 Windows 备份向导。

默认情况下， Always Start in Wizard Mode 复选框已选中。可不管此选项，单击 Next。

选择 Back up files and settings 选项，然后单击 Next。

选择 Let me choose what to back up 选项，然后单击 Next。

在 Items to Back Up 窗口，单击加号展开 My Computer 。

从展开的 My Computer列表中，选中 SystemState 选项，然后单击 Next。

选择存储备份的位置。

为该备份输入名称，然后单击 Next。

在向导的最后一页，选择 Advanced。

不要更改 Type of Backup的默认选项。应选择 Normal ，不选中复选框 Backup migrated remote storage data。 单击 Next。

选中 Verify data after backup 选项，然后单击 Next。

在 Backup Options 对话框中，选择备份选项，然后单击 Next。

只允许所有者和管理员访问备份数据及此介质上附加的任一备份：单击 Next。

在 When to back up 框中，根据需要选择适当的选项，然后单击 Next。

若满意所有已选选项，单击 Finish 按所选的计划执行备份操作。

注意： 也可通过适当的参数使用命令行的 backup 来备份系统状态。关于详细信息，可在命令提示符下键入 ntbackup -? 来查阅命令行参考。

使用具有域管理员、本地管理员或备份操作员凭据的帐户登录域控制器。

选择以下选项之一启动 Windows 备份向导：

单击 Backup Wizard 按钮，然后单击 Next。

选择 Back up selected files, drives, or network data。

在 Items to Back Up中，单击 SystemState 。然后选择含有系统文件的驱动器号，再单击系统磁盘。之后单击 Next。

在 Where to Store the Backup 框中，选择以下选项之一来选定备份介质类型：

在 Backup Media or File Name 框中，选择下列之一：

单击 Next后，会出现 Completing the Backup Wizard 屏幕。本屏幕总结了此备份作业的选项。核实 Prompt to replace data 已列入 How 类别中。若没有，单击 Advanced 按钮，然后单击 Next 直至到达 Media Options 屏幕，之后选择 Replace the data on the media with this backup。

完成剩余的向导屏幕，然后单击 Finish 开始备份操作。当 Replace Data 对话框出现时，单击 Yes 用此备份覆盖磁带或文件路径上现有的备份。进度指示器显示出备份操作的状态。

重新启动域控制器。

当屏幕显示选择操作系统时，按 F8。

从 Windows Advanced Options 菜单上选择 Directory Services Restore Mode。

根据提示，以本地管理员身份登录。

打开命令提示符。

寻找此域控制器的出站伙伴，键入： repadmin /showrepl /repsto <本地域控制器名称> 然后按 ENTER。

此 repadmin 命令将输出包含所有出站邻居信息的清单。对每一邻居，验证最近的同步尝试成功，并有指示还原后已复制的时间戳。

若复制未成功，可强制进行此域控制器与其出站伙伴间的复制，胜于等待下一复制周期。根据命令提示符，运行 repadmin /syncall /ed /A /P /q。

检查上一步命令输出中的复制错误。若无错，则复制成功。为完成复制，必须矫正任何复制错误。

在目录服务还原模式下，启动 Windows Server 2003 备份工具。依次单击 Start > Programs > Accessories > System Tools > Backup。

单击 Restore Wizard 按钮，然后单击 Next。

选择合适的备份位置并确认至少选择了 System disk 和 SystemState 容器。

单击 Advanced 按钮。

在 Restore Files to list下，选择 Original Location ， 然后单击 Next。

在 Advanced Restore Options 窗口，复选:

单击 Finish。

还原完成时，单击 Close，然后单击 Yes 重新启动计算机。

从命令提示符或在 Run 文本框中，键入 repadmin /options +DISABLE_INBOUND_REPL 然后按 ENTER。

核实选项已设。您应得到此消息：repadmin running command /options against server localhost 。

从命令提示符或在 Run 文本框中，键入 repadmin /options . -DISABLE_INBOUND_REPL 然后按 ENTER。

核实选项已设。您应得到此消息：repadmin running command /options against server localhost 。

从命令提示符或在 Run 文本框中，键入 ntdsutil 启动工具。

在 ntdsutil: 提示符下，键入 authoritative restore ，然后按 ENTER。

有关 Ntdsutil 命令行工具的帮助信息，可随时键入 help 。

键入 List NC CRs ，然后按 ENTER。

NTDSUTIL 将输出还原后可用的应用程序分区列表，以及相关的交叉引用。注意交叉引用的可分辨名称，以及对应于要还原的应用程序分区的应用程序分区可分辨名称。

键入 restore subtree <App Partition DN>，其中 App Partition DN 是以上提及的应用程序可分辨名称。

Ntdsutil 将提供确认对话框。单击 Yes 继续。

输出消息会指示操作状态。此处应不会失败。

键入 restore object <Cross Ref DN> （其中 Cross Ref DN 是以上提及的应用程序分区交叉引用可分辨名称），然后按 ENTER 。

Ntdsutil 将提供确认对话框。单击 Yes 继续。

输出消息会指示操作状态。此处应不会失败。

退出 Ntdsutil 工具。

从命令提示符或在 Run 文本框中，键入 ntdsutil 启动工具。

在 ntdsutil: 提示符下，键入 authoritative restore ，然后按 ENTER。

有关 Ntdsutil 命令行工具的帮助信息，随时键入 help 。

要还原对象，请键入 restore object <object DN> （其中 object DN 是要标记授权的对象可分辨名称）。

若要还原 corp.contoso.com 域中已删除的名为 John Smith 的用户，命令类似于： restore object CN=John Smith,CN=Users,DC=corp,DC=contoso,DC=com。可分辨名称中有空格或其他特殊字符时，请始终将可分辨名称放入引号中。

按 ENTER 键。Ntdsutil 将开始标记对象授权。输出消息会指示操作状态。最常见的失败原因是可分辨名称指定错误，或备份的 DN 不存在（这在试图还原备份后创建的用户时会发生）。

退出 Ntdsutil 工具。

还原操作完成后，在正常启动 Windows 模式下重新启动计算机。Active Directory 和证书服务自动删除其已从备份中还原的数据，并执行完整性检查并重新索引数据库。

能够登录系统后，浏览 Active Directory 。验证所有备份前目录中存在的用户和组对象都已还原。同样，验证文件复制服务 (FRS) 副本集中的文件和证书服务颁发的证书。

单击 Restore 选项卡。

选择 SystemState。（不需将系统磁盘还原至备用位置。）

在 Restore Files to 下拉菜单中，确认已选 Alternate Location ，然后指定备用位置。

还原过程完成后，关闭备份工具。

在命令行，键入 ntdsutil ，然后按 ENTER。

在 ntdsutil: 提示符下，键入 metadata cleanup ，然后按 ENTER。

在 metadata cleanup: 提示符下，键入 connections ，然后按 ENTER。

在 server connections: 提示符下，键入 connect to server servername，其中 servername 是要从中清理故障域控制器元数据的域控制器（同一域中的所有功能性域控制器）。然后按 ENTER。

键入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

键入 select operation target ，然后按 ENTER。

键入 list domains ，然后按 ENTER。

此操作将列出林中的所有域，每一域附带与其相关联的一个数字。

键入 select domain number，其中 number 是与故障服务器所在的域相关的数字。然后按 ENTER。

键入 list sites ，然后按 ENTER。

键入 select site number，其中 number 是指域控制器所属的站点号码。然后按 ENTER。

键入 list servers in site ，然后按 ENTER。这将列出站点上所有服务器，每一服务器附带一个相关的数字。

键入 select server number，其中 number 是指要删除的域控制器，然后按 ENTER 。

键入 quit ，然后按 ENTER。

屏幕会显示出 Metadata cleanup 菜单。

键入 remove selected server ，然后按 ENTER。

此时，Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告，Active Directory 可能已删除了域控制器。

键入 quit 然后按 ENTER 直至回到命令符。

在 Active Directory 站点和服务上，展开适当站点。

删除与故障域控制器相关联的服务器对象。

在 Active Directory 用户和计算机上，扩展域控制器容器。

删除与故障域控制器相关联的计算机对象。

在 Run 文本框中，键入 dcpromo ，然后单击 OK。

会出现 Active Directory 安装向导。在欢迎屏幕上，单击 Next。

在 Domain Controller Type下，选择 Additional domain controller for an existing domain。 单击 Next。

在 Network Credentials中，输入用户名、密码和用户帐户具备权限将新域控制器添加进去的域。单击 Next。

输入托管新域控制器的域的名称。单击 Next。

在 Database and Log Locations中，输入目录数据库 (Ntds.dit) 位置和日志文件的路径。为获得更好性能，请将数据库和日志文件分别存储在不同的物理磁盘驱动器上。单击 Next。

在 Shared System Volume中，输入定位系统卷 (SYSVOL) 的路径。单击 Next。

在 Directory Services Restore Mode Administrator Password中，输入启动目录服务还原模式时使用的密码。单击 Next。

摘要屏幕显示出所选条目的列表。确认信息正确，然后单击 Next 继续安装。

向导继续进行 Active Directory 安装。完成后，向导显示摘要屏幕，列出新域控制器所属的域和站点。确认此信息正确。单击 Finish 关闭向导。

单击 Restart 重新启动域控制器。

重新启动域控制器。若有消息显示一项或多项服务无法启动，则再重新启动一次域控制器。如果初始复制周期在新域控制器第一次重新启动时没有足够的时间完成，则有些服务可能无法成功启动。若在随后的重新启动时又出现类似消息，在事件查看器中检查事件日志以确定问题起因。

在 Run 文本框中，键入 dcpromo /adv ，然后单击 Next。

选择 Additional domain controller for exiting domain。

选择 From these restored backup files ，然后指向与还原系统状态数据相同的位置。

因为要提升的域控制器是全局编录服务器，Active Directory 安装向导会询问是否要此服务器也成为全局编录。

为操作提供适当凭据。

输入新域控制器将放入的域。这应与使用的系统状态数据所属的域是同一个域。

用 dcpromo继续其余步骤。

将 Windows Server 2003 光盘插入计算机的 CD-ROM 驱动器或 DVD-ROM 驱动器。插入 CD 时并按住 SHIFT 键防止其自动启动。

启动 Windows Explorer ，然后打开 Windows Server 2003 光盘中的 Support\Tools 文件夹。

在详细资料窗格中，双击 Deploy.cab 文件来打开它。

在 Edit 菜单上, 单击 Select All。

在 Edit 菜单上, 单击 Copy。

要在本地硬盘上创建新文件夹，请进行以下操作：

鼠标右键单击创建的新文件夹，然后单击 Paste。

双击新文件夹打开它，然后双击 Setupmgr.exe 文件。安装管理器向导启动。按照向导中的指示创建应答文件。

确认计算机使用的是静态 IP 地址。鼠标右键单击 My Network Places ，然后单击 Properties。

在 Network and Dial-up Connections 对话框中，鼠标右键单击代表本计算机所用连到网络的连接。默认的标签为 Local Area Connection, ，但可更改，因此这不一定与您的计算机上的标签相同。 单击 Properties。

在 Local Area Connection Properties 对话框中，在 Internet Protocol (TCP/IP) 上单击一次，突出显示它（确认没有清除其前面的复选框），然后单击 Properties。

在 Internet Protocol (TCP/IP) Properties 对话框中，确认已选 Use the following IP address: ，并显示出有效的 IP 地址、子网掩码和默认网关。单击 OK 关闭对话框。再次单击 OK 回到桌面。

请在控制面板中单击 Add/Remove Programs。 单击 Add/Remove Windows Components。

向下滚动至 Networking Services。突出显示它，然后单击 Details。

在 Networking Services 对话框中，选择 Domain Name System (DNS)前面的复选框。单击 OK。

单击 Next。如果需要，提供安装文件的位置。安装完成后，单击 Finish 结束向导，然后单击 Close 退出 Add/Remove Programs 。

在 Run 文本框中，键入 adsiedit.msc ，然后按 ENTER。

双击 DomainNC [machinename] （其中 machinename 是此域控制器名）。验正已展开 Domain NC 来显示域组件 (DC=) 文件夹。

单击域组件列出细节窗格中的容器和 OU。双击 Domain Controllers OU 显示代表域控制器的容器。

双击代表此域控制器（ CN = 计算机名）的容器以显示更多容器。

双击 CN=NTFRS Subscriptions 容器。

鼠标右键单击 CN=Domain System Volume 容器，然后单击 Properties。

在 Select which properties to view 列表下，选择 Mandatory。

在 Select a property to view 列表下，选择 fRSRootPath。当前值出现在 Value(s) 框中。

将当前值记录在上表中。以稍前论述的文件夹结构和新位置为基础，在表中记录此参数的新路经值。

单击 Cancel 关闭对话框。

在 Run 文本框中，键入 adsiedit.msc ，然后按 ENTER。

双击 DomainNC [machinename] （其中 machinename 是此域控制器名）。验正已展开 Domain NC 来显示域组件 (DC=) 文件夹。

单击域组件列出细节窗格中的容器和 OU。双击 Domain Controllers OU 显示代表域控制器的容器。

双击代表此域控制器（ CN = 计算机名）的容器以显示出更多容器。

双击 CN=NTFRS Subscriptions 容器。

鼠标右键单击 CN=Domain System Volume 容器，然后单击 Properties。

在 Select which properties to view 列表下，选择 Mandatory。

在 Select a property to view 列表下，选择 fRSStagingPath。当前值出现在 Value(s) 框中。

在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础，在表 1 中记录此参数的新路经值。

在 Run 文本框中，键入 regedit ，然后按 ENTER。

在 Registry Editor 中，导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。

Sysvol 出现在详细资料窗格中。当前值列在 Data 列中。

在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础，在表 1 中记录此参数的新路经值。

命令提示符下，更改目录到 %systemroot%\SYSVOL\Sysvol。

注意： 这是假设系统卷仍在默认位置。若其已重新定位，将适当路径替换到这些指令中。

在命令提示符下，键入 dir。确认完全限定域名 (FQDN) 列为类型 <JUNCTION>。

在命令提示符下，键入 linkd fqdn （其中 fqdn 是 Dir 输出所列的域名）。这显示出存储在交接点的值。按 ENTER。

在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础，在表 1 中记录此参数的新路经值。

命令提示符下，更改目录至 <%systemroot%>\SYSVOL\Staging Areas。

注意： 这是假设临时区域仍在默认位置。若其已重新定位，将正确路径替换到这些指令中。

在命令提示符下，键入 dir。确认完全限定域名列为类型 <JUNCTION>。

在命令提示符下，键入 linkd fqdn （其中 fqdn 是 Dir 输出所列的域名）。这显示出存储在交接点的值。按 ENTER 。

在表 1 中记录当前值。以稍前论述的文件夹结构和新位置为基础，在表 1 中记录此参数的新路经值。

本地登录或打开与要查询 IP 地址的服务器相连的终端服务。

桌面上，鼠标右键单击 My Network Places，然后单击 Properties。

在 Network and Dial-up Connections 对话框中，鼠标右键单击 Local Area Connection，然后单击 Properties。

双击 Internet Protocol (TCP/IP)。

使用 IP address and Subnet mask 中的值计算子网地址。

在 Active Directory Sites and Services 上展开 Sites 容器，然后单击 Subnets 容器。

在详细信息窗格的 Name 列，找到与子网地址匹配的子网对象。

在 Site 列，记录 IP 子网地址关联的站点。

确认操作主机可定位，在命令提示符下，键入：

dcdiag /s: domaincontroller /test:knowsofroleholders /verbose
其中 domaincontroller 是要添加新域控制器的域的域控制器名。详细选项提供了测试的操作主机的详细列表。接近屏幕底部，有一条消息确认测试成功。若是用详细选项，请留意输出显示的底部。操作主机列表后立即出现测试成功确认消息。然后按 ENTER。

要测试确保操作主机运行正常并能上网，在命令提示符下，键入：

dcdiag /s: domaincontroller /test:fsmocheck
其中 domaincontroller 是要添加新域控制器的域的域控制器名。详细选项提供了测试的操作主机的详细列表。接近屏幕底部，有一条消息确认测试成功。然后按 ENTER。

在 Active Directory 站点和服务上展开 Sites 容器并展开 Server 对象站点。

打开 Servers 容器，然后展开 Server 对象查看所有子对象。

本地登录或打开与要查询 IP 地址的服务器相连的终端服务。

桌面上，鼠标右键单击 My Network Places，然后单击 Properties。

在 Network and Dial-up Connections 对话框中，鼠标右键单击 Local Area Connection，然后单击 Properties。

双击 Internet Protocol (TCP/IP)。

使用 IP address and Subnet mask 中的值计算子网地址。

在 Active Directory 站点和服务上展开 Sites 容器，然后单击 Subnets 容器。

在详细资料窗格中，双击 Name 列，找到与子网地址匹配的子网对象。

在 Site 列，记录 IP 子网地址关联的站点。

在 Active Directory 站点和服务上展开 Sites 容器以及服务器对象所在的站点。

打开 Servers 容器显示当前为该站点配置的域控制器。

鼠标右键单击要移动的服务器对象，然后单击 Move。

在 Site Name 框中，单击目的站点，然后单击 OK。

展开服务器要移到的 Site 对象，然后展开 Servers 容器。

确认移动的服务器对象存在。

展开 Server 对象并验证 NTDS 设置对象存在。

若网络使用根目录提示作为转发器方法，则无需执行任何附加选项。根目录提示在安装时自动配置。不用继续步骤 2 。

若需要配置转发器，则打开 DNS 管理单元并继续步骤 3 。

在控制台树，鼠标右键单击 computer_name （其中 computer_name 是域控制器的计算机名），然后单击 Properties。

在 computer_nameProperties 工作表（其中 computer_name 是域控制器的名称）的 Forwarders 选项卡上，选择 Enable forwarders 复选框。

在 IP address 框中，键入 ip_address （其中 ip_address 是 DNS 服务器的 IP 地址或域所委派的最近复制伙伴），单击 Add，然后单击 OK。

从 DNS 管理单元，导航至控制台树中的 child_domain （其中 child_domain 是子域名称）。

在控制台树，鼠标右键单击 child_domain，然后单击 Properties。

在 child_domain properties中的 Name Servers 选项卡上, 单击 Add。

在 New Resource Record 对话框的 Server name 框中，键入 child_dc. child_domain. parent_domain （其中 child_dc 是新域控制器名称， child_domain 是子域名称，而 parent_domain 是父域名称）。

在 New Resource Record 对话框的 IP address 框中，键入 ip_address （其中 ip_address 是子域控制器的 IP 地址），单击 Add，然后单击 OK。

在网上邻居，打开 Properties 对话框。

在 Network and Dial-up Connections 对话框中，鼠标右键单击代表本计算机所使用连到网络的连接。默认的标签为 Local Area Connection，但可更改，因此这不一定与计算机上的标签相同。 单击 Properties。

在 Local Area Connection Properties 对话框中，在 Internet Protocol (TCP/IP) 上单击一次，突出显示它（确认没有清除其前面的复选框），然后单击 Properties。

在 Internet Protocol (TCP/IP) Properties 对话框中，确认 Use the following DNS server addresses: 已经选中。

若新域控制器位于林根域，则给林根域中另一个 DNS 服务器设置首选 DNS 服务器 IP 地址。设法选择离新域控制器较近的服务器。给新域控制器的 IP 地址设置备用服务器地址（这样它将引用自己）。

若新域控制器位于子域，给新域控制器的 IP 地址设置首选 DNS 服务器 IP 地址（这样它将引用自己）。为同一域中另一 DNS 服务器设置备用 DNS 服务器地址。设法选择离新域控制器较近的服务器。

单击 OK 关闭对话框。

从 DNS 管理单元，导航至控制台树中的 child_domain （其中 child_domain 是子域名称）。

在控制台树，鼠标右键单击 child_domain，然后单击 Properties。

在 child_domain properties 中的 Name Servers 选项卡上, 单击 Add。

在 New Resource Record 对话框的 Server name 框中，键入：

child_dc。 child_domain。 parent_domain
其中 child_dc 是新域控制器名称， child_domain 是子域名称，而 parent_domain 是父域名称。

在 New Resource Record 对话框的 IP address 框中，键入 ip_address （其中 ip_address 是子域控制器的 IP 地址），单击 Add，然后单击 OK。

在 DNS 管理单元，鼠标右键单击控制台树上的新域控制器，然后选择 New Zone。

在新区域向导上，单击 Next 继续。

选择 Standard secondary 作为区域类型。单击 Next。

确认 Forward lookup zone 已经选中。单击 Next。

作为区域名，键入 _msdcs.forestrootdomain （其中 forestrootdomain 是林根域的完全限定域名），然后单击 Next。

在 Master DNS Servers 对话框中，输入至少两个林根域中的 DNS 服务器的 IP 地址。单击 Next。

检查您所定义的设置，然后单击 Finish 关闭向导。

打开网上邻居中的 Properties 对话框。

在 Network and Dial-up Connections 对话框中，鼠标右键单击代表本计算机所使用连到网络的连接。默认的标签为 Local Area Connection，但可更改，因此这不一定与计算机上的标签相同。 单击 Properties。

在 Local Area Connection Properties 对话框中，在 Internet Protocol (TCP/IP) 上单击一次，突出显示它（确认没有清除其前面的复选框），然后单击 Properties。

在 Internet Protocol (TCP/IP) Properties 对话框中，确认 Use the following DNS server addresses: 已经选中。

若新域控制器定位于林根域，给林根域中另一个 DNS 服务器设置首选 DNS 服务器 IP 地址。设法选择离新域控制器较近的服务器。给新域控制器的 IP 地址设置备用服务器地址（这样它将引用自己）。

若新域控制器位于子域，给新域控制器的 IP 地址设置首选 DNS 服务器 IP 地址（这样它将引用自己）。为同一域中另一 DNS 服务器设置备用 DNS 服务器地址。设法选择离新域控制器较近的服务器。

单击 OK 关闭对话框。

在命令提示符下，键入 netdiag /test:member

若测试成功，您应在接近屏幕底部看到消息“ Domain membership test Passed ”。若使用 /v 选项，将列出域控制器名称、角色、域名及许多新域控制器的其他统计信息。

要检查复制是否运转，在命令提示符下，键入 dcdiag /test:replications ，然后按 ENTER。

对于此测试， /v 选项不显示任何有意义的附加信息。消息显示测试通过的连通性及复制。

要确认为复制设置了适当的权限，在命令提示符下，键入 dcdiag /test:netlogons ，然后按 ENTER。

消息显示测试通过的连通性及网络登录。

在 Run 文本框中，键入 ntdsutil ，然后按 ENTER。

在 ntdsutil: 提示符下，键入 roles ，然后按 ENTER。

在 fsmo maintenance: 提示符下，键入 connections ，然后按 ENTER。

在 server connections: 提示符下，键入 connect to server servername （其中 servername 是属于包含操作机主的域的域控制器名）。

收到连接确认后，键入 quit 然后按 ENTER 退出此菜单。

在 fsmo maintenance: 提示符下，键入 select operation target ，然后按 ENTER。

在 select operations target: 提示符下，键入 list roles for connected server ，然后按 ENTER。

系统响应，列出当前角色以及当前分派托管每一角色的域控制器的轻型目录访问协议 (LDAP) 名。

键入 quit 然后按 ENTER 退出 Ntdsutil.exe 的每一提示符。键入 quit ，然后在 ntdsutil: 提示符下按 ENTER 关闭窗口。