NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 工作心得 .: 域控制的各种问题集锦

域控制的各种问题集锦

Q1、客户机无法加入到域?
一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。吗?这时如何在这台计算机上登录到域呀!
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现拒绝访问提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域,或用于域的AD域控制器无法联系上。
      
2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC IP 地址,然后开始进行网络身份验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINSlmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。
      
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。
      
若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见前)。能找到的话,再ping一下DC看是否通。



Q2
、用户无法登录到域?
一、用户名、口令、域
      
确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS
      
客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号
      
基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示计算机帐号已被禁用。可到AD用户和计算机中,将计算机帐号启用即可。
      
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……”此工作站和主域间的信任关系失败。解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录
      
见下一小节的Q1
五、跨域登录中的问题
2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
  如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。



Q3
、如何解决本地或域管理员密码丢失?
  本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到凤凰万能启动盘中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1
、上网搜索凤凰启动盘凤凰万能启动盘,大约178M
2
、下载后解压缩,将其内容刻录成光盘;
3
、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;
4
、出现选择菜单,选择第一项:ERD Commander 2002
5
、出现类似XP的启动界面
6
、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7
、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith
8
、进入ERD Commander 2002 locksmith向导界面,下一步;
9
、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10
、选择Start/Logoff,点OK
11
、稍候片刻,点reboot后重新启动计算机
凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。
由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。



Q4
、无法使用域内的共享打印机?
      
现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,
为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。
      
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你拒绝访问,无法连接当前打印机安装有问题“RPC服务不可用等等(在不同的操作系统或应用程序中提示会所不同)。
      
解决办法有3种,最好还是用方法1。:
1
、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2
、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。
3
、在客户机上每次要使用打印机前,在开始运行:[url=file://printserver/]\\PrintServer[/url],这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。



Q5
、无法访问域内的共享资源?
      
上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。
      
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC路径的IP形式来访问时的故障,如在开始/运行:[url=file://10.63.243.1/]\\10.63.243.1[/url]
前提:在网卡、协议、连接没问题的情况下。即在可ping通的前提下,若[url=file://10.63.243.1/]\\10.63.243.1[/url]不通,排错可从下面几个方面来考虑。
1
、目标机的“Microsoft网络的文件和打印机共享服务的问题。
提示:“\\10.63.243.1 文件名、目录名或卷标语法不正确
检查:服务是否安装、是否选中,或重装一下。
操作:网上邻居/右键/属性/本地连接/右键/属性
2
、由于访问相关的net logonserverworkstation服务务未正常启动的影响。
提示:
1)若目标机(为域成员)上的net logon服务停了:试图登录,但网络登录服务未启动
2)若目标机上的server服务停了:“\\10.63.243.1 文件名、目录名或卷标语法不正确。
3)若本机的worstation服务停了:“\\10.63.243.1 网络未连接或启动。连其它计算机,也是一样的提示。
检查:相应服务是否已经正常启动。
操作:我的电脑/右键/管理/服务和应用程序/服务下
3
、由于本机与其它计算机重名(指NetBIOS名称)的影响
提示:访问任何计算机均提示:找不到网络路径
检查:重启一下,看是否有网络中存在重名的提示。可能上次开机时没注意给忽略了。
操作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。
4
XP/03由于默认安全策略:帐户:使用空白密码的本地帐户只允许进行控制台登录的影响
提示:[url=file://10.63.243.1/]\\10.63.243.1[/url]无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败:用户帐户限制。可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。
检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。
操作:开始/运行:gpedit.msc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值启用改为禁用
注意:域帐号访问不受此策略限制。
5
、网络共享访问被筛选器的设置所阻止
提示:找不到网络路径
检查: TCP/IP筛选、IPSECRRAS筛选器是否被启用,且TCP端口139445被禁用。
操作:
1)网上邻居/属性/本地连接/属性:TCP/IP—高级选项—TCP/IP筛选
2)网上邻居/属性/本地连接/属性:TCP/IP—高级选项—IP安全机制
3)开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
1RRAS筛选器只在2000/03 Server版中才有,IPSEC只有在2000的上述位置才有。
2)若你就想设置筛选器,基于端口控制,不让别人访问你的网络共享资源,需要同时禁止TCP139445口。
3)由于此种原因产生的访问故障,一般是由于实验后忘了复原,或别人故意和你开玩笑。



Q6
、在AD域中,如何批量添加域用户帐号?
作为网管,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果逐个添加、设置的话,十分地麻烦。一般来说,如果不超 10个,我们可利用AD用户帐户复制来实现。如果再多的话,我们就应该考虑使用csvde.exeldifde.exe来减轻我们的工作量了。最后简单介绍一下利用脚本(可利用循环功能)批量创建用户帐号
一、AD用户帐户复制
1
、在“AD域和计算机中建一个作为样板的用户,如S1
2
、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。
3
、在S1/右键/复制,输入名字和口令。
说明:
1
  只有AD域用户帐户才可以复制,对于本地用户帐户无此功能。
2
  帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下:
二、比较csvdeldifde
三、以csvde.exe为例说明:域用户帐户的导出/导入
  操作步骤如下:
1
  “AD域和计算机中建一个用户,如S1
2
  设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。
3
  DC上,开始/运行:cmd
4
  键入:csvde  –f  demo.csv
说明:
1)不要试图将这个文件导回,来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的,如:ObjectGUIDobjectSIDpwdLastSet samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么,其值应该怎么写,出错信息如下:
2)可通过-d –r参数指定导出范围和对象类型。例如:
       -d “ou=test,dc=mcse,dc=com”
-d “cn=users,dc=mcse,dc=com”
              -r “< Objectclass=user>”
1
  以上面的文件为参考基础,创建自己的my.csv,并利用复制、粘贴、修改得到多条记录。例如:
dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName
"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,
S1@mcse.com
"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,
S2@mcse.com
………………
,其它可用字段,我试了一下,见下表(不全): 
6
、导入到AD,键入 csvde  –i –f  my.csv  –j c:\
说明:-j用于设置日志文件位置,默认为当前路径。此选项可帮助用户在导入不成功时排错。
有一点大家必须明确的是:我们在这里做AD域用户帐户复制、做AD域用户帐户的导出/导入,并不能代替“AD备份和恢复。我们只是在批量创建用户帐号,帐号的SID都是重新生成的,权利权限都得重新设才行。(当然我们可以把导入的用户,通过memberof字段设到一些用户组中去,使它有权利权限。但这与利用“AD备份和恢复到原状,完全是两回事)。
四、利用脚本创建批量用户帐户
1
、利用脚本创建用户帐号(用户可参考下例)。
Set objDomain = GetObject("[url=ldap://dc=fabrikam,dc=com/]LDAP://dc=fabrikam,dc=com[/url]")
Set objOU = objDomain.Create("organizationalUnit", "ou=Management")
objOU.SetInfo
说明:在fabrikam.com域创建一个名叫ManagementOU 
Set objOU = GetObject("[url=ldap://OU=Management,dc=fabrikam,dc=com/]LDAP://OU=Management,dc=fabrikam,dc=com[/url]")
Set objUser = objOU.Create("User", "cn= AckermanPila")
objUser.Put "sAMAccountName", "AckermanPila"
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
说明:在Management OU下创建一个名叫AckermanPila的用户,口令为i5A2sj*!,启用。
Set objOU = GetObject("[url=ldap://OU=Management,dc=fabrikam,dc=com/]LDAP://OU=Management,dc=fabrikam,dc=com[/url]")
Set objGroup = objOU.Create("Group", "cn=atl-users")
objGroup.Put "sAMAccountName", "atl-users"
objGroup.SetInfo
objGroup.Add objUser.ADSPath
objGroup.SetInfo
说明:在Management OU下创建一个名叫atl-users的用户组,将用户AckermanPila加入到这个组中。
Wscript.echo "Script ended successfully"
说明:显示脚本成功结束信息
2
、利用脚本中的循环功能实现批量创建用户帐号
Set objRootDSE = GetObject("[url=ldap://rootDSE/]LDAP://rootDSE[/url]")
Set objContainer = GetObject("[url=ldap://cn=Users/]LDAP://cn=Users[/url]," & _
                                                  objRootDSE.Get("defaultNamingContext"))
For i = 1 To 1000
Set objUser = objContainer.Create("User", "cn=UserNo" & i)
objUser.Put "sAMAccountName", "UserNo" & i
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
Next
WScript.Echo "1000 Users created."
说明:在当前域的Users容器中创建UserNo1UserNo1000,共1000个用户帐户



Q7
、我的计算机不知道怎么回事,系统时间总是被改快1小时?
加入域的计算机,没有自己的时间。这是因为时间参数,在AD复制中是一个极为重要的因素。如:决定多主控复制时,谁的修改最终生效。所以整个域的时间,都由域的PDC仿真主控来控制,整个林的时间都由林根域上的PDC仿真主控来控制。
      
说明:如果整个林的时间都快1小时,对你AD的正常工作没有任何影响。
      
解决:修改林根域的PDC仿真主控计算机的时间。实际工作中,要先查看域内计算机的时区设置是否正确。


 
Q8
、建立AD域,需要有什么样的权限才行?
1
、若是创建林内的第一个域,即林根域,只要有目标计算机上的本地管理员权限即可。
2
、作为已有域的附加DC,需要该域的域管理员(Domain Admins)权限。
3
、安装子域的DC,或新树的DC,都涉及到林结构的改变,需要林管理员(Enterprise Admins)权限才行。



Q9
、如何在2000域中添加一台03DC
       03
2000比,功能更强大了,在域和AD的体系结构上也有了一些变化(参见前面:域、林功能级别)。但微软的产品十分讲究向前兼容,我们可以实现在一个2000域中加入03DC、加入03DNS,并且DC间的AD复制,DNS间的区域传输,都好像没有版本差异一样。
      
但要注意:直接就在03计算机上安装AD是不行的,会收到出错提示“Active Directory版本不同。我们需要做一些准备工作,在2000DCSP2及更高)上运行03光盘/I386/adprep
具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。
  顺便说一下:03可以作为2000域的附加DC2000也可以作为03域的附加DC,而直接在2000上安装AD即可,不需要准备。



Q10
、创建AD域时,由于没有NTFS分区,导致AD安装失败?
2000/03成员或独立服务上上运行dcpromo命令,安装AD,将其提升为DC,其上必须有一个NTFS 5.0分区,用来保存ADsysvol文件夹。
注意:2000NTFS分区是NTFS 5.0NT4的是NTFS 4.0NT4必须安装SP4后,才可访问2000NTFS分区。
如果C是引导分区,即系统夹winntwindows所在分区,采用FAT32分区,系统会自动查找下一个可用的NTFS分区来存放系统卷,如d:\sysvol。如果找不到NTFS分区,就会出错,导致AD安装失败。这时可利用convert命令将某个FAT32分区转成NTFS分区,这个转换会保持数据的完好。但要注意这个转换是单向不可逆,想回复到FAT分区,除非重新格式化该分区。
以转换D盘为例,具体操作如下:
1
、开始/运行:convert d: /fs:ntfs
2
、提示是否转换,键入y确认转换。
说明:这时并没有真正开始转换,如果后悔,可以到注册表HLM\当前控制\控制\会话管理\BootExecute下,删除其值Convert d: /fs:ntfs
3
、重新启动计算机,将在登录界面出现前,真正实施FATNTFS的转换。



Q11
、安装AD域时,出现NetBIOS名称冲突?
      
在安装AD时,安装选项会要求输入:新域的DNS全名,在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。
如果不重名则设为mcse(建议用户不要修改此名),重名系统则自动设为mcse0,建议用户最好换个名字,因为你的网络可能还会有2000以前版本的老系统,考虑到NetBIOS名称解析和DNS名称解析的互助,保持一致性比较好。
说明:NetBIOS名称,只是为95/98/NT等老版本用户通过浏览服务WINS来识别这个域用的,如果确信域内计算机都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。
这种冲突可能源自于网络中如果已有一个域,名字叫做mcse.orgDNS名虽然不冲突,但是NetBIOS名称冲突。也可能是你安装了一个mcse.com域未能完全成功,又再次安装导致的,这样情况倒可以强行将NetBIOS名称将为mcse,而不是mcse0



Q12
、安装AD完成后,重启登录非常慢,甚至长达20分钟之久。
这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的,故障较难定位。若重启几次后就正常了,则不必理会。如果多次重启后还是非常慢,那就要重装系统及AD了。建议:最好在新装的系统上来安装AD,这样不容易出问题。



Q13
、安装AD时,选择了在本机安装DNS,但安装结束后,在DNS中未生成SRV记录?
如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置中的DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs
03DNS
在这里夹的层次结构有所变化,将_msdcs.域名夹提升了一级,直接放到了查找区域下,但本质没变。
如果安装前忘了将DNS指向自己,也可以后补上。然后到计算机管理/服务下,重启Net Logon服务即可。这样可以把启动时未能注册到DNS服务器的SRV记录(缓存在windows\system32\cache中)写入DNS。如果仍然不行的话,那只好重启DC了。



Q14
、安装子域失败。
      
在保证权限(需要林管理员权限,不要误以为是父域管理员权限)、DNS没问题的情况下,最常见的安装子域失败的原因就是域命名主控失效,出错提示为:由于以下原因,操作失败:AD无法与域命名主机xxx联系。指定的服务器无法运行指定的操作。
说明:域命名主控要正常工作,它本身要求GC必须可用。这是由于:为了保证域的名字在林中唯一,域命名主机需要查询GC。若是2000林,GC必须和域命名主机在同一台计算机上才行。若是2003林,不要求GC必须和域命名主机非得在同一台计算机上。
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给(查封seize)林内的任意一台DC,子域的DC也可以。原来的主控必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。



Q15
、修改用户密码需要几分钟,甚至更长的时间。
前面我们介绍过:PDC仿真主控负责最小化密码变化的复制等待时间,若一台DC接受到密码变化的请求,它必须通知PDC仿真主控。若是PDC仿真主机失效,收到该请求的DC必须经过一段时间的查找后,确认真的找不到PDC仿真主控了,才会自己修改用户密码。所以在此情况下,应首先检查PDC仿真主控。
如果确信其已无法正常工作,可强制传给(查封seize)域内的任意一台DC。原来的主控必须被重做系统后,才可连入网络,以保证PDC仿真主控的域唯一性。



Q16
、正常卸载AD时的常见问题
      
在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份,这就要进行AD的卸载。
1
、卸载时会提示给新的本地管理员设置密码
2
、附加DC卸载后,仍在域中。
3
、如果AD不能卸载,应从以下几方面考虑:
1)网卡是否正常工作
即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载,提示卸载SYSVOL文件夹出错
2)权限
权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
3DNS
      
一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。
4)域命名主控
      
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系提示不同,具体是:由于以下原因,操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用
5)卸载的顺序
      
与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而存在的子域还有问题,找不到林根域、树根域了。
      
因为这时极有可能架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删除林根域了。



Q17
AD无法正常卸载,或者说DC无法正常降级为成员服务器?
1
Dcpromo /forceremoval强制卸载AD
2
、重设目录恢复模式下的管理员密码:
2000
winnt\system32\setpwd.exe
03
:使用ntdsutil实用工具,set dsrm password
      
如果按照上例的要求,还是无法正常卸载AD,且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序,你还不想重做系统,可考虑使用如下办法。
1
、开始/运行,在命令行中输入regeditregedt32打开注册表编辑器。
2
、找到以下的键值:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options
  键值:ProductType  类型:REG_SZ
3
 将原来的值“LanmanNT”改为“ServerNT”
              
说明:
1LanmanNT表示本机为域控制器DCServerNT表示本机为非DC
2)只有当CurrentControlSet1CurrentControlSet下的键值:ProductType 所等于的数据不同时,即一个为ServerNT,一个为LanmanNT才允许修改。否则将会出如下提示:
¨    
对于2000系统已检测到干预您的注册产品类型,这是您对软件许可证的侵犯。干预产品类型是不允许的。
¨    
对于03系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。
3)教学实践中可以利用ntdsutil将子域的server对象(实质指DC)手动删除,然后运行dcpromo降级,降级失败后演示此知识点。
接下来,方法一:
1
、重新启动计算机,按F8键进入到目录服务恢复模式
说明:
1)在此模式下,AD不工作,以便对AD库文件及系统卷sysvol进行操作。
2)登录的口令不同于平时所用的口令,是在安装AD时,所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。
2
、删除存放活动目录数据库的文件夹,默认为C:\WinNT\NTDS,或C:\Windows\NTDS
3
、删除存放系统卷的文件夹,默认为C:\WinNT\SYSVOL,或C:\Windows\SYSVOL
4
、重新启动计算机。
5
、由于还有一些作为域控制器的注册表键值和文件存在,所以在重新启动完计算机后,还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器(域名可以任意填写),然后再用dcpromo命令降级,这样才会完整地删除所有和域控制器相关的注册表键值和文件。
方法二
1
、开始/运行,在命令行中输入dcpromo
2
、由于前面已经修改了注册表,此时为AD安装界面,而非卸载界面。
3
、会遇到如下出错提示:由于网络上名称冲突,选定默认的NetBIOS域名‘xxx’”
说明:xxx为你修改注册表前原来域的NetBIOS名称。
4
、不必介意出错提示,手动设置你想要的名称。比如你此次的域为abc.com,则手动设xxx改为ABC即可。 
5
、再接下来会遇到提示:“c:\winnt\ntds文件夹不是空的,当升级处理开始时,要删除文件夹中所有的文件吗?(如果不,请指定另一个文件夹。)
6
、选择:是
说明:
1)在选择系统卷的夹,如c:\winnnt\sysvol后,时间可能会比较长,请耐心等待。
2)和正常安装时一样,可能会碰到DNS错误提示,一般选择在本机安装DNS即可。
3)也可能会出现计算机已脱离域,帐号未被禁用的提示,不必理会。
4)最重要的一点是:这第一次非常可能不成功,再重来一遍dcpromo即可。
7
、如果这次安装是为了清除残余的注册表键值和垃圾文件,可再次运行dcpromo进行卸载。当然直接使用这台DC,也是可以的。
      
最后强调一下,此方法并不是万能的。一是前面我们已经提到的,有时注册表不允许修改或者改完了存不上。再有就是如果在卸载的一开始,就出现有关DNS的出错信息,必须首先排除DNS故障才行。



Q18
、如何清理AD数据库中的垃圾对象。
      
如果我们非正常卸载AD子域、DC等,就会在AD元数据库中留下垃圾。比如上面的例子,又比如未经AD卸载就把DC计算机的系统重做了。这些垃圾对象一般来讲无碍大局,但如果我们想优化AD的性能,不想给用户带来不必要的麻烦(比如用户选择登录到已经不存在的子域),就可以利用ntdsutil工具进行元数据库清理(metadata cleanup),来删除垃圾对象。具体操作如下:
1
、开始/运行:cmd,在命令行下键入 ntdsutil
说明:
1)直接,开始/运行:ntdsutil,也可以。
2)进行元数据库清理,不要进到目录恢复模式下。
3)进行元数据库清理,可以在非DC2000/XP/03计算机上进行。但有些操作(如使用ntdsutil工具进行授权恢复、整理移动AD库文件)必须在DC上进行。
4)在ntdsutil的每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。
2
、在 ntdsutil: 提示符下,键入 metadata cleanup ,然后按 ENTER
说明:ntdsutil是个分层的多级命令行工具,用户在键入名字时,可简写,只要不同于本级命令中的其它命令即可。比如上面的命令metadata cleanup可简写为m c
3
、在 metadata cleanup: 提示符下,键入 connections ,然后按 ENTER
4
、在 server connections: 提示符下,键入 connect to server servername,然后按 ENTER
说明:
1)其中 servername 是指域控制器的DNS名称,用主机名或FQDN均可。注意:虽然联机说明中提到了可以用IP去连,但实际上发现用IP去连接,会出现参数不正确的出错提示。
2)在这里要连接的DC,应是一个正常工作的、可操作的DC,而不是你要清理的那个DC对象。
5
、键入 quit ,然后按 ENTER 回到 metadata cleanup: 提示符。
6
、键入 select operation target ,然后按 ENTER
7
、键入 list domains ,然后按 ENTER
说明:此操作将列出林中的所有域,每一域附带与其相关联的一个数字。
8
、键入 select domain number,然后按 ENTER
说明:其中 number 是与故障服务器所在的域相关的数字。
9
、键入 list sites ,然后按 ENTER
10
、键入 select site number,然后按 ENTER
说明:其中 number 是指域控制器所属的站点号码。
11
、键入 list servers in site ,然后按 ENTER
说明:这将列出站点上所有服务器,每一服务器附带一个相关的数字。
12
、键入 select server number,然后按 ENTER
说明:其中 number 是指要删除的域控制器。
13
、键入 quit ,然后按 ENTER,退回到Metadata cleanup 菜单。
接下来,根据需要,删除相应的垃圾对象:
14
、键入 remove selected server ,然后按 ENTER
此时,Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告,Active Directory 可能已删除了域控制器。
15
、或者键入 remove selected domain,然后按 ENTER
说明:要想删除域,必须得先删除这个域的server对象(实质是DC)才行。
16
、键入 quit 然后按 ENTER 直至回到命令符。
如果清理的是Server对象,还需要:1、到Active Directory 站点和服务上,展开适当站点,删除相应Server对象。2、到Active Directory 用户和计算机上,双击打开Domain Controllers这个OU,删除相应的DC对象。
      
如果清理的是Domain对象,还需要到Active Directory域和信任关系上,删除相应的已经没有用的信任关系。否则该域名还会出现在登录的域列表。
      
在实际操作中,必须先做元数据清理,然后再到相应的管理工具中删除相应的对象。若是直接到管理工具中去删,系统将不允许删除。



Q19
、欲替换域中唯一的一台DC,如何传送五种主控和转移GC
一、传送五种主控
操作:
1
、安装第二台DC(假设为DC2,原来的为DC1),
2
、到相应的管理工具(具体见前)下,右键连接到域控制器:DC2
3
、右键/操作主机/相应标签下,点击更改即可。
说明:
1
、其实在图形界面下,操作很简单,关键看能不能成功。
2
、目标都在下面,只有架构的特殊,目标在上面。
3
、如果DC都是最近安装的,极易成功。如果是运行了一段时间的,就不好说了。但我估计你的成功率应在九成以上,因为一般网管都不太动这个。
4
、传送结构主控时,若目标已是GC,会提示出错。可以不理会,继续。因为结构主控负责:更新外部对象的索引(组成员资格),不应该和GC在同一个DC上,应手动移走,否则将不起作用。而单域不需要基础结构主控非得有效,我们一般平常用的都是单域,默认基础结构主控就和GC在一起,不起作用。
5
、若传送不成功,不要着急,等5分钟~2小时不等,你什么都没做,再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本,来强制AD马上复制。但有时候,仅依赖于此,还是不行,还得等。
6
、至于把老DCAD中去除,在开始/运行/DCPROMO,卸载AD。不要选这是域中最后一台DC”,若能成功卸载,就一切OK了。如不成功,可以直接把原DC废掉重装。AD中会有原DC的垃圾对象,也不影响什么。若非要清干净,参见前例。
7
、如果原角色DC已经无法访问,就只能进行强制传送了,也就是查封(seize)。查封的实质就是强行推出新的主控,会有数据的丢失。在图形界面下会有提示:原主控无法联系,是否强行传送。选择,进行的就是查封操作。
8
、利用ntdsutil工具rolestransfer命令和seize命令也可以实现上述操作。实验中发现,无论是用transfer还是seize,关键看是否能连接到原主控。连接下情况,就是传送;不连接情况下就是查封。如:在连接情况下,使用查封(seize)命令,操作的结果仍是传送:原主控不再是主控,目标成为新的主控。
二、转移GC
       GC
不具有唯一性,可在AD站点和服务中,将DC2设为GC。操作如下:
1
、在Default-First-Site-Name/servers/dc2/NTDS Settings/右键/属性。
2
、选中全局编录
3
、你会看到在选项下面的说明:发布全局目录所需要的时间取决您使用的复制拓扑。
说明:不要急于把DC1断开,应等待足够长的时间,局域网环境一般也就是几分钟。是否将GC的内容成功传送,可在DC2上查看注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
下是否有这样一条:Global Catalog Promotion Complete=1。若未传送完,没有这一条。



Q20
、如何进行AD的备份与恢复
      
最好的办法是作为系统状态数据的一部分,利用2000/03自带的备份工具来进行备份/恢复。备份工具位于:开始/程序/附件/系统工具下。利用备份/恢复系统状态数据,可以恢复之前的域用户帐户数据和DNS,以及安全设置、组策略设置、还有配置等等。但DHCPWINS等需要单独备份。
说明:
1
  DNS区域必须为AD集成区域,如果不是,在备份之前,将标准主区域转成AD集成区域即可。因为AD集成的意思就是:将DNS区域信息,作为AD的一部分进行存储、复制。
2
  管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题),可以运行2000S光盘I386\adminpak.msi,将所有的域管理工具追加上。也可手动开始/运行/MMC,添加相应的管理工具,如DNSAD用户和计算机等。
3
  重装的2000/03系统,不必安装AD,直接恢复就行。开机,F8,目录恢复模式,恢复大约需要4-5分钟。(实际当中我也试了,新装的系统,没有安装AD,在正常启动模式下恢复也可以,因为它根本没有AD,不涉及到AD正在工作,不允许替换的问题,只不过时间会稍长一些,约7-8分钟)
4
  2000下利用备份工具恢复系统状态数据时,需要手动将如果文件已存在:不替换改为如果文件已存在,总是替换
具体操作:工具/选项/还原:选择无条件替换本地上的文件。否则2000在恢复时,可能不会把winnt\sysvol\sysvol(里面是组策略具体的设置值,被称为GPT)给恢复回来。03DC上没有这个问题,系统会自动提示是否替换,选择即可。
5
、具体备份/恢复的步骤,参考下例。



Q21
、如何进行授权恢复
      
首先我们通过一个例子,来说明一下什么是授权恢复。
设域内有不止一台DC,管理员误删除了一个OU,然后用以前的AD备份进行了恢复操作。如果不做什么特别的设置(即授权恢复),当DC间进行AD同步时,由被恢复的数据是以前的,AD的版本号低,将被其它DC的高版本内容所覆盖。这样刚被恢复的OU就又被删掉了。
所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复,系统将按距备份时间每隔一天100000的标准来增加其AD版本号,确保一定高于其它DC上的版本号。
具体操作如下:
1
、重启DC,按F8,选择目录恢复模式
2
、用目录恢复模式下的管理员SAM帐号登录
3
、开始/程序/附件/系统工具/备份,在恢复标签下进行系统状态数据的恢复
4
、若此时重新启动DC,则以上为正常恢复,即非授权恢复。
若要进行授权恢复,则此时一定不要重启DC
4
、开始/运行:ntdsutil
5
、键入authoritative restore,到授权恢复提示符
6
、键入restore subtree 对象DN(也可以是子树,甚至是整个AD
7
、退出Ntdsutil
8
、重新正常启动DC
说明:若要进行系统卷SYSVOL(主要是组策略设置)的授权恢复,即将组策略恢复到以前的状态,但AD库要保留当前。不必使用Ntdsutil,直接将AD库恢复到其它位置即可,这是因为系统状态数据在备份/恢复时,不能进行细化的选择。



Q22
、如何移动、整理AD数据库?
一、移动AD数据库
      
Ntds.dit 数据文件移动到指定的新目录中并更新注册表,使得在系统重新启动时,目录服务使用新的位置。系统为了安全起见,并不删除原来的数据库。具体操作如下:
1
、为了以防万一,最好备份AD
2
、重启DC,按F8,选择目录恢复模式
3
、用目录恢复模式下的管理员SAM帐号登录
4
、开始/运行:ntdsutil
5
、输入files,切换到文件提示符files>
6
、输入 move DB to c:\ folder
7
、移动Ntds.dit成功提示。
8
、输入quit二次,退出
9
、重新正常启动DC
二、整理AD数据库
      
将调用 Esentutl.exe 以压缩现有的AD库文件,并将压缩后的AD库文件写入到指定文件夹中。压缩完成之后,将保留原来的AD库文件,将新的压缩后的AD库文件保存到到该文件的原来位置。
另外顺便说明一下,ESENT也支持联机压缩,目录服务定期(默认12小时)调用联机压缩,但联机压缩只是重新安排数据文件内的页面,并不能象手动压缩这样:将空间释放回文件系统。
      
整理AD数据库具体步骤如下:
1-5
步,与前面相同。
6
、输入compact to c:\folder
7
、显示整理碎片,直至完成。
8
、输入quit,退出。
9
、对于2000需要:复制新的NTDS.DIT文件覆盖旧的NTDS.DIT文件
10
、重新正常启动DC2-3-4组策略应用相关实例
关于组策略应用的实例,那真是三天三夜也说不完,因为总共有600+200多条策略。在此仅举几例,来说明问题。有的比较简单,有的稍微复杂一些,我们会展开来讨论一下。需要强调的是,作为管理员平时要多看看组策略中具体都有哪些设置,当然谁也不可能逐条去实践去测试,但要大概有个印象。当有某种需求时,你才会想起某条组策略设置来,根据印象找到那条策略,先看说明标签,再具体实践,逐步积累。 

 


这篇文章对你多有用?

相关文章

article MSN登录不上的各种问题报错代码以及解决方法
有许多原因导致不能登录到 .NET Messenger...

  9-1-2010    Views: 1706   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited