活动目录管理及维护

活动目录管理及维护

1.额外域控的作用

答：

A提高用户登录的效率

B提供容错功能

 

2.单主复制和多主复制的区别

答：单主复制对象是先被更新在操作主机内，再由这台操作主机将其复制到其他域控制器的

   多主复制可以直接更新任何一台域控制器内的ad对象，之后这个更新的对象会被自动复制到其他域控制器

 

3.卸载域控的注意事项

答：

A如果该域内还存在其他的域控制器，则它会被降级为该域的成员服务器

B如果这个域控制器是该域内的最后一个域控制器，它被降级后，该域会被删除，该计算机也会被降级为独立服务器，用户应该在降级前，先让该域内所有的计算机脱离这个域，因为降级域控制器后，该域也被删除了

如果这个域之下还有子域，则无法删除该域，必须删除子域

C如果这台域控制器是全局编录，则将其降级后，它将不再扮演全局编录的角色，因此请先确定网络上是否有其他的全局编录。如果没有其他的全局编录，则请先另外指派一台域控制器来扮演全局编录的角色，否则将影响用户的登录操作。

 

 

 

 

 

4.Windows Server 2003 AD升级到Windows Server 2008 AD的步骤

升级步骤：

    1、备份ZSDC02的AD服务器，防止升级失败可以有恢复的备份；

    2、升级2003 AD Schema 林架构；  adprep.exe /forestprep

    3、升级2003 AD Schema 域架构；  adprep.exe /domainprep

    4、更新组策略对象权限；         adprep.exe /domainprep /gpprep

    5、更新AD对RODC只读域控器的支持； adprep.exe /rodcprep

    6、把ZSDC03提升为额外域控制器；　

    7、把FSMO主机角色传递给windows 2008 AD（ZSDC03）服务器；

    8、对原Windows 2003 AD主机进行降级；

    9、提升Windows 2008 AD 域功能级别；

10、提升Windows 2008 AD 林功能级别；

 

 

 

5.AD常见故障种类（客户机无法加入域、无法登陆域、登陆域缓慢、组策略无法生效、域控之间复制失败）

6.AD常见故障排查思路（从客户机、DC和网络三个方面进行排查）

A1、客户机无法加入到域？
一、权限问题。
要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

1.1.1 无法正常加入域

Ø 问：域名输入栏为灰色，无法正常输入域名

ü 答：先检查相关服务（workstation与一些网络服务）有没有开启。如果服务开启不了的话，在硬件管理器那里点击“显示隐藏设备”，检查是否有设备的驱动被屏蔽。

 

A2、用户无法登录到域？
一、用户名、口令、域
确保输入正确的用户名和口令，注意用户名不区分大小写，口令是区分大小写的。看一下欲登录的域是否还存在（比如子域被非正常删除了，域中唯一的DC未联机）。
二、DNS
客户机所配的DNS是否指向DC所用的DNS服务器，讨论同前。
三、计算机帐号
基于安全性的考虑，管理员会将暂时不用的计算机帐号禁用（如财务主管渡假去了），出错提示为“无法与域连接……，域控制器不可用……，找不到计算机帐户……”，而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中，将计算机帐号启用即可。

 

AD常见故障种类---登陆域缓慢

1,时间不同步的情况一下,先同步起来,再看看具体情况:
参考http://bbs.winos.cn/thread-26048-1-3.html

2,若还是不行,DNS查询的时候有问题,
将DNS重建.

域控制器上重建AD集成dns区域
1. 控制面板->管理工具，打开dns管理器，展开正向搜索区域，右键单击domain.com区域，选择删除，在提示对话框中选择“是”；如果存在 _msdcs.domain.com区域，右键单击_msdcs.domain.com区域，选择删除，在提示对话框中选择“是”。
2. 在dns管理器中右键单击服务器，单击“清除缓存”。
3. 打开AD用户和计算机，单击查看菜单->高级功能，展开左边system\MicrosoftDNS，如果存在domain.com或_msdcs.domain.com，删除它们。
4. 打开控制面板->服务，停止netlogon服务。
5. 打开资源管理器，删除%windir%\system32\config下netlogon.dnb,  netlogon.dns。
删除%windir%\system32\dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 进入“本地连接“属性，进入TCP/IP属性，把首选dns server设为自己的ip,清除辅助dns server.
7. 打开dns管理器，右键单击正向搜索区域->新建区域，单击主要区域，选择“在Active
Directory中存储区域”，名称为domain.com，其余默认，完成。
8. 打开控制面板->服务，启动netlogon服务。
9. 进入命令行，输入ipconfig /flushdns， 再输入ipconfig /registerdns.
http://support.microsoft.com/kb/294328/en-us