AD服务器与DNS服务器

现在你想更换一台AD，

正常的步骤是这样：

1、添加一台机器。安装好windows server系统，打好补丁。

2、加入到现有域，dcpormo提升为域控。

3、将原先的DC上的功能全部转移到这台DC上，主要的有：FSMO角色，GC功能。DNS设置成AD集成,DHCP功能。

4、完成后将原因DC，dcpromo降级，成主成员服务器。新的域控服务器DNS服务器设置成本机IP，DHCP上将首先DNS服务器设置成新的。或者将这台DCIP改成将要替换的。原先的关机。

5、这个正常的步骤。

————————————————————————————

如果按照你的做法。除非人的环境，只有5台客户机，一般没那么做的。完全建立一个域，所以客户机需要重新加入域，重新设定。

通常我们的域有2台以上的DC才为合理。

参考：

http://wwwmicrosoftcom/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomconmspxpf=true

http://wwwwinsvrorg/bbs/indexphpshowtopic=4292

1 LDAP入门

11 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X500标准基础上产生的一个简化版本。

12 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

13 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

21 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

22 作用

221 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

222 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

223 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

224 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

225 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

23 AD域结构常用对象

231 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

232 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

233 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

234 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP操作AD域

特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXXcom:389 和 ldap://XXXXXcom:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

31 389登录

32 636登录验证（需要导入证书）

33 查询域用户信息

34 重置用户密码

35 域账号解锁

总结

DC是Domain Controller的缩写，即域控制器， AD是active directory的缩写，即活动目录。

Domain Controller是一台计算机，实现用户，计算机，目录的统一管理。AD（活动目录）是一种存储协议，基于LDAP。两者完全是两种概念，DC也可以不基于AD实现，比如基于数回据库或文件，当然目前微软还没有这样的答实现。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

ad是用做域服务器

数据库损坏

在本文档中，我们假定数据库是因为下列原因之一而损坏的：

磁盘损坏。

域控制器发生硬件故障，需要更换。

数据损坏

在本文档中，我们假定数据是因为下列原因之一而损坏的：

· Active Directory 数据损坏，而这些数据已经复制到其他的域控制器。

· 错误删除 Active Directory 对象，而这些对象已经复制到该域/目录林的其他域控制器。现在这些对象必须在 Active Directory 中恢复。

恢复 Active Directory

恢复 Active Directory 的方法有两种。您可以重新安装 Windows 2000，然后通过正常复制过程，重新导入 Active Directory。另外一种方法就是从备份恢复 Active Directory。第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。第二种方法是将 Active Directory 恢复为前一个已知状态（前次备份时的状态）。

通过重新安装和复制来恢复 Active Directory

您可以在受损的系统上重新安装 Windows 2000 Server，把该服务器当作域控制器，然后在安装 Active Directory时，让正确信息自动复制，借此恢复域控制器。通过 WAN 来安装 Active Directory，可能会大量消耗可用的 WAN 带宽。如果 Active Directory 很大，还会耗费许多时间。若要解决这个问题，建议您在中央位置安装新的域控制器，然后将它运送到远程位置。

对于分支机构环境来说，这可能不是很好的方法。因为它实质上是在远程位置安装新的域控制器，替代出故障的副本。但这需要新的域控制器在 Active Directory 中作为域控制器升级过程的一部分来进行复制，会用很长时间。

接移和运送域控制器

在进行 Active Directory 部署作业时，许多单位都在中央位置安装域控制器，待安装完毕之后，再将它们运送到远程位置。有关这一方法的详细信息，请参阅《Active Directory 分支机构规划指南》第 5 章“规划分支机构环境的接移站点”。

从备份媒体恢复 Active Directory

您也可以从备份媒体恢复“系统状态”数据，以恢复域控制器上的 Active Directory。这样可恢复 Active Directory 和 Active Directory 所依赖的“系统状态”组件。

当您从备份媒体恢复 Active Directory 时，请注意下列几项：

· 如果域控制器计算机因为故障而被替换，或者网络适配器已被换掉，您可能需要以手动方式重新配置网络设置。

· 如果域控制器的硬件问题很严重，必须重新建立，则请务必确保磁盘卷的数目和大小必须大于或等于前一个系统。如果您必须从空的磁盘开始重建系统，请先把 Windows 2000 Server 安装到与以前相同的磁盘上，按照在损坏的系统上的原样重新创建分区和卷，然后再恢复 Active Directory。这意味着您手头上有该服务器配置的文档，才能重新创建它。

系统密钥 (Syskey) 和 Active Directory 恢复过程

域控制器上有安全敏感信息，例如，进行域身份验证所用的用户密钥副本。建议您最好将域控制器放置在物理安全地点，限制访问权限。物理访问域控制器会让入侵者取得加密的密码数据副本，用来进行脱机密码攻击。为了避免这种情况发生，Microsoft 提供了 Syskey 这个工具，它可以用 128 位的随机密钥，将所有的密钥加密。这个密钥可以存储在域控制器的本地注册表中，也可以存储在软盘上。为了保证最大程度的安全性，建议您将 Syskey 存储在软盘上。

将 Active Directory 恢复到不同的硬件上

您可以将 Active Directory 恢复到原计算机以外的计算机上，但是这部计算机的驱动器数量必须等于或多于原计算机的驱动器数量。“硬件抽象层”和 Bootini 文件也必须完全一样。同时，如果替换的域控制器有不同的视频适配器或多个网卡，请先将它们卸下，再恢复数据。当您重新启动计算机时，“即插即用”功能会进行相应的更新。

通常从备份媒体恢复 Active Directory 有下面两种方法：

· 非权威性恢复

· 权威性恢复

非权威性恢复

在恢复 Active Directory 时，非权威性恢复是默认的方法。大部分的恢复情形都采用这种方法，例如域控制器硬盘故障时，而且此方法也是分支机构最有可能选择的方法。在这种情况下，Windows 2000 操作系统已经完整地重新安装完毕，包括 Service Pack 在内。然后使用 Windows 2000“备份”工具，将 Active Directory 从备份媒体恢复到域控制器。

这样就会将 Active Directory 恢复到域控制器上，其状态与进行备份时一致。域控制器在正常 Active Directory 复制过程中，就会接收到自备份后所进行的任何目录服务变更。

由于恢复过程不会将之前删除的数据恢复到 Active Directory，因此称之为非权威性。

使用 Windows 2000 备份工具进行非权威性恢复

在多种不同的情况下需要恢复 Active Directory。在某些情形中，域控制器可能因为操作系统故障或硬件故障而发生故障。而在另外一些情形中，域控制器上的 Active Directory 会出现故障、停止响应、或者受到损坏。出现这些情形时 Active Directory 恢复过程稍有差异，详述如下：

这种情况下，整个计算机，包括操作系统和 Active Directory 在内，都需要完全重新建立。

要将 Active Directory 恢复到发生故障的域控制器，步骤如下：

1 在同一个域中状态良好的域控制器中，单击“开始”、“程序”、“管理工具”，然后再单击“Active Directory 站点和服务”。

2 在“Active Directory 站点和服务”中，导航到发生故障的域控制器所属的站点上。

3 删除到发生故障的域控制器的任何引用。

4 在要替代发生故障的服务器的计算机上，完整安装适当版本的 Windows 2000 操作系统，包括必要的 Service Pack 在内。

5 在安装 Windows 2000 Server 时，在出现提示时，将发生故障的域控制器名称指定为计算机名称。

6 安装之后，请确保含有 Active Directory 的备份媒体可以使用。或者，将备份文件 (bkf) 通过本地网络复制到此计算机上。

7 在“开始”菜单，单击“运行”，然后键入 Ntbackup。

8 在“欢迎”页面上，单击“恢复向导”。

9 单击“下一步”，选择您要从中进行恢复的备份集。然后选“系统状态”，再单击“下一步”。

10 单击“完成”。

将 Active Directory 恢复到发生故障的 Active Directory 所在的域控制器

在此情形中，Windows 2000 Server 并没有发生故障，相反, Active Directory 可能在域控制器上无法正常运行。这可能是因为 Active Directory 损坏、注册表损坏，或是因为 Active Directory 一直依赖的一项服务发生故障所导致。这种情况并不需要重新安装 Windows 2000 操作系统，而是需要从此域控制器的前一个备份恢复“系统状态”，以确保 Active Directory 返至稳定的运行状态。

Active Directory 无法恢复到运行 Active Directory 的计算机上。如果要完成这个过程，必须将计算机置于目录服务恢复模式下。在目录服务恢复模式下，Windows 2000 操作系统虽在运行，但 Active Directory 却是在脱机状态。

如果要将 Active Directory 恢复到 Active Directory 发生故障的域控制器上，步骤如下：

1 重新启动该域控制器。

2 在操作系统选择菜单上，选择您要启动的操作系统，然后按 F8。

3 在选择菜单上，选择“目录服务恢复模式”，然后按 ENTER 键。

注意：当您在目录服务恢复模式下重新开机时，必须以本地系统管理员的身份登录到本地计算机。必须使用存储在本地帐户数据库的帐户名称和密码登录，此数据库称为“安全帐户管理器 (SAM)”数据库。这是在运行“Active Directory 安装向导”时所提供的管理员用户帐户和密码。您不能使用 Active Directory 管理员名称和密码，因为 Active Directory 是在脱机状态，无法验证帐户。

4 以该服务器的本地管理员帐户作为用户帐户进行登录。

5 登录之后，在“开始”菜单中单击“运行”，然后键入 Ntbackup。

6 在“欢迎”页面上，单击“恢复向导”。

7 单击“下一步”，选择您要从中进行恢复的备份集，再选“系统状态”，然后单击“下一步”。

8 单击“完成”。

恢复过程完成之后，再以正常方式重新启动域控制器。Active Directory 现在应该可以正常运行了。重新启动之后，域控制器会将它自己重新插入到 Active Directory 复制拓朴当中，接受任何新的更新。

注意：恢复“系统状态”数据时，系统根的位置必须与您在备份“系统状态”数据时的位置一样。

由于“备份”工具可以恢复数据库和注册表设置，因此当它恢复 Active Directory 时，Internet 协议 (IP) 配置也会一并恢复。此外，DNS、“证书服务”数据库文件和“文件复制”服务 (FRS) 也会一并恢复。恢复作业完成之后，其结果如下：

o FRS 被重新设置，可以接受来自 FRS 复制伙伴的复制任务。

o Active Directory 得到验证，可以进行恢复作业。

o 然后服务器在正常操作方式下重新启动，并执行下列动作：

o 检查 Active Directory 文件的一致性，并且重新编制索引。

o 与 FRS 复制伙伴一起复制 FRS 数据。

o 恢复“证书服务”数据库。

非权威性恢复的意义和注意事项

上述过程主要是针对 Active Directory 的非权威性恢复。但是，有些 Active Directory 对象（例如组织单位、域和站点）可能具有关联的组策略，这些组策略存储在 SYSVOL 目录下。

SYSVOL 文件夹及其内容复制到指定域的所有域控制器。与 Active Directory 不同的是，SYSVOL 使用“文件复制服务”(FRS)，在域控制器之间复制 SYSVOL 及其内容。即使一个文件中只更改了少量的数据,FRS 也会复制整个文件。

当域控制器从备份恢复之后，当前的 SYSVOL 就被视为过期。在恢复后重新启动之时，整个 SYSVOL 就会从另一个域控制器复制过来。这在大量使用“组策略”的 Windows 2000 域或其他有大量登录脚本的环境中，可能是一项非常大的作业。在远程分支机构的情形中，SYSVOL 复制作业可能非常耗时，具体取决于复制的数据量以及 WAN 上的可用带宽。因此，建议您在下班时间或者在分支机构与集线器的链接不忙时，再执行这项作业。

权威性恢复

权威性恢复的主要目的，是将已经从 Active Directory 删除的对象“放回原处”或恢复。当对象被删除时（不管是有意还是意外），一定要先完成非权威性恢复，才能执行权威性恢复。Windows 2000“备份”工具用来执行非权威性恢复，而 Ntdsutilexe 则用于执行权威性恢复并恢复被删除的对象。

用非权威性恢复过程从旧版备份图象恢复删除的对象是不可能的，因为恢复所用的备份媒体会含有一个在对象删除前创建的 Active Directory 映像。当域控制器在恢复之后重新启动时，会收到来源于复制伙伴的复制更新，这些复制更新含有备份之后所做的目录服务变更，包括对象的删除。这是因为被删除的对象版本号高于备份媒体上的对象版本号。

权威性恢复过程的执行方式如下：在非权威性恢复完成之后，但在域控制器重新启动之前，权威性恢复过程可用来恢复所需的对象。这一动作会将对象标记为权威性，并将它们恢复到 Active Directory 中。其过程是，更改对象的元数据，以克服将版本号加上 100,000 时可能发生的复制冲突。权威性恢复动作是通过命令行工具 Ntdsutil 完成的。

注意：只有域和配置分区可以标为权威性。架构不可以进行权威性恢复，因为这样可能会危及数据的完整性。比方说，如果修订架构之后，创建了新的或经过修订的类架构对象，那么后续的权威性恢复可能会替换新的或修订的类，从而产生严重的数据不一致问题。

Ntdsutil 工具的权威性恢复功能不应该常用，因为它会将目录恢复到一个较早的状态，而从该时间点以后对此恢复对象所做的任何更新都会丢失。您可以使用权威性恢复,有选择地修改子目录树、组织单位，甚至可以以域为单位有选择地修改整个目录林，但只有在已找出了具体问题，并且确定权威性恢复可将它修复时，才可以进行此类操作。

活动目录(Active Directory)主要提供以下功能：

①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按需实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

Active Directory

什么是活动目录？

Active Directory 可帮助 IT 团队监控各种网络对象，授予和撤销不同的用户权限，并将各类策略在网络中顺利实施。例如，管理员可以创建一组用户并为他们分配对服务器上目录的特定访问权限。然而，随着网络的发展，管理员可能很难跟踪用户、登录详细信息、资源分配详细信息和权限。Active Directory 是最重要的 IT 基础架构工具之一，它可以帮助管理员管理用户配置流程、安全性和审计，并提供从单个位置访问每个用户帐户的权限。在 Active Directory 的帮助下，用户可以按逻辑组织成组和子组，以提供访问控制。

AD域管理

在 Active Directory 中，数据存储为对象。对象可以理解为单个元素，例如用户、组、应用程序或设备。对象可以是资源或安全主体，如用户或组。每个对象都有一个名称和属性。例如，用户名可能是名称字符串和与用户相关联的信息的组合。

Active Directory 结构由三个主要组件组成：域、树和林。可以将多个对象（例如使用同一 AD 数据库的用户或设备）分组到一个域中。域具有域名系统 (DNS) 结构。多个域可以组合形成一个称为树的组。树形结构使用连续的名称空间以逻辑层次结构排列域。树中的不同域共享安全连接并在层次结构中相互信任。这意味着第一个域可以隐式信任层次结构中的第三个域。多棵树的集合称为森林。管理员可以在各个级别分配特定的访问权限和通信权限。此外，森林还包括目录架构、共享目录、域配置和应用程序信息。全局编录服务器提供林中所有对象的列表，架构定义林中对象的类和属性。组织单位 (OU) 管理组、用户和设备。每个域都可以包含自己的 OU。

域树结构

Active Directory 提供多种服务，例如域服务、轻量级目录服务、证书服务、联合服务和权限管理服务。这些服务属于 Active Directory 域服务 (AD DS)。AD DS 随 Windows Server 一起提供，旨在管理客户端系统。AD DS 可以被认为是 Active Directory 的主要服务；它存储目录信息并负责用户和域之间的交互。当用户尝试通过网络连接到设备、服务器或资源时，AD DS 会检查授予用户的登录凭据和访问权限。SharePoint Server 和 Exchange Server 等其他产品也依赖 AD DS 进行资源访问。

Active Directory 证书服务 (AD CS) 创建、共享和管理证书。这些证书使用户能够通过 Internet 安全地交换信息。

Active Directory 轻型目录服务 (AD LDS) 具有与 AD DS 相同的功能。AD LDS 可以使用轻量级目录访问协议 (LDAP) 存储目录数据，并在单个服务器上运行多个实例。LDAP 应用程序协议存储与目录服务中的对象相关的数据，例如用户名和密码，并在网络上共享它们。

Active Directory 联合身份验证服务 (AD FS) 使用单点登录 (SSO) 的概念来验证用户，并允许他们在单个会话中访问不同网络上的多个应用程序。使用 SSO，用户只需为每项服务登录一次。

Active Directory 权限管理服务 (AD RMS) 通过加密服务器上的内容来保护机密和离散信息免遭未经授权的访问。

Active Directory 附带 Microsoft Server 操作系统，并提供多种功能和服务。Active Directory 可帮助 IT 专业人员将访问权限分配给新员工（帐户配置）并撤销离开公司的员工的访问权限（帐户取消配置）。虽然 Active Directory 域服务在组织中发挥着至关重要的作用，但它本身并不提供针对网络犯罪的安全性。如果存在可疑活动，IT 团队需要手动查看日志并花时间查明需要纠正的区域。这是因为 Active Directory 附带的集成工具在企业级别可能不是非常有效或有用。

因此，我们还可以利用第三方工具对域进行有效管理，接下来就给大家介绍几款AD域管理、审计、自助服务工具。

我个人简单理解是：ad

server是表示微软服务器系统的域服务器，如windows

2000

server，2003服务器版或企业版，如2008服务器版等等，这些系统都具有建立域服务器功能，域服务器具有良好的集中管理，各种应用服务，如ftp服务，文件共享服务（根据授权数来决定最大共享数量），那些应用服务我就不一一例举了。ad

network是指域网络，作为一台服务器，所有的管理和服务都是在建立有网络的环境下才能实现它的功能，在此就无需再说了，ad

exchange是微软推出的一款大型邮件服务器，也是建立在服务器系统平台上才可安装使用的。