怎样将AD域控制器服务器搬迁到不同服务器上？

1 可以采用两种方式。你的意思应该是替换原有的域控，建议采用方法1

2 方法1：是首先把现有域控备份，然后把数据拷贝到新机器上恢复。注意一定要确认两台机器分区是相同的，比如c:盘内容不能恢复到d:盘。

备份步骤可以参考 http://winsystemctociocomcn/windows2003/203/7393203shtml

3 方法2：首先把新服务器安装为现有域控的额外控制器,然后升级成主域控（通过fsmo角色抢夺），最后把原有的域控退出域。

升级主域控的步骤可以参考

http://hibaiducom/%CD%F5%C1%DA%BE%B0/blog/item/1e11701e8598e0174134178ahtml

4 第一种方式相对简单，没有风险，且速度快。

有问题可以留消息

AD域控本身就支持广域网的域名，你如果把域控放在云端，那就需要你那个云主机要有域名和公网IP地址，然后所有用户需要可以上网，首选DNS设置设置为域控的公网IP地址，但我们不建议你这样做，因为等于你把整个网络的电脑暴露在网上了，不安全，并且网络万一网络质量不稳定的话也会导致你可以域控认证失败，无法正常登录电脑，共享文件夹无法正常访问。

域控服务器主要做的是登陆验证授权，即使3000台机器都不会造成很大负载，或者说压根不存在负载。

300台左右，一台双核处理器+4G内存的普通PC都行。

这种要啥配置，任意双核20以上处理器（4核心更好）+4G/8G内存。OK。

你服务器设置固定IP 200之后，还是要设置默认路由为19216811的，与其他正常的电脑一样设置好网络就可以了。

DC只是管理其他电脑，其实也就是一台普通电脑一样就可以了。你ping外网dns不通，似乎是你的域控服务器没有设置好DNS Server导致的。

根据本人使用经验，公司200人。主域（同时担任文件服务器）和备份域控，采用普通台式机：双核CPU，4G内存，win2003操作系统，平均重启时间30天，运行七年至今，未发生任何故障。

我的意思是想告诉你，只要双核、4G以上内存，就能完美运行并支持200人左右的用户运行。

所以，完全不用考虑配置问题。除非你将来有很大规模发展或者资金足够多，那么有多好的就买多好的。

一域的作用：如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。 创建域 。

二域控安装：要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（AD），就会将这台计算机安装成dc。

安装条件：

1安装者必须具有本地管理员的权限。

2操作系统版本必须满足条件（Windows server2003除web以外的所有都满足）。　 3本地磁盘必须有一个NTFS文件系统

4有TCP/IP设置

5有相应的DNS服务器支持

6有足够的可用空间

三安装活动目录（AD）

1打开ad开始--运行输入dcpromo

2是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

3新域的DNS全名。如ruiruicomcn

4新域的NetBIOS名。下一步

5数据库和日志文件夹。为了优化性能，可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控，则sam数据库就会升级到C:\windows\ntds\ntdsdit，本地用户账户变成域用户账户。

6共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。7DNS注册诊断。AD需要DNFS服务支持。

8域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器，就选第二项。如果存在选第一项。

9还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。

10安装完成后需重启计算机。

前面讲解了怎样创建windows域，现在完善一下，讲解怎样将计算机加入域。 在安装完AD后，需要将其它的服务器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。

在加入域之前，首先检查客户机的网络配置：

1确保网络上物理连通

2设置IP地址

3检查客户机到服务器是否连通 4配置客户机的首选DNS服务器（通常为第一台DC的IP） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了！将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS，下面讲解DNS在域中的作用。

DNS在域中有两个作用： 域名的命名采用DNS的标准、定位DC。

1、域名的命名采用DNS标准。公司要创建第一个域，域名为ruiruicomcn。上海分公司要成为子域，域名为shruiruicomcn。这些都遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。

2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时，首先要定位DC，这需要DNS服务器支持，

主要步骤： 1）客户机发送DNS查询请求给DNS服务器。

2）DNS服务器查询匹配的SRV资源记录。

3）DNS服务器返回相关DC的ip地址列表给客户机。

4）客户机联系到DC

5）DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用

。 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS，打开DNS管理器，就是SRV资源记录。

采用活动目录管理网络的意义在于：加强网络管理、统一身份认证、增强安全性、组织间的相互身份认证。

1 加强网络管理

在没有使用域模式管理的网络中，通常采用工作组模式。这种模式下，网络中的各台终端地位是平等的，没有一个统一的网络管理的

角色。网络管理员无法对网络内的用户及用户使用的计算机进行管理。域模式的应用使网络从“自由市场”变成了“商场”，域控制器就是“商场”的管理员。域控制器知道网络中所有资源的信息，并且将他们组织起来。通过组策略可以对网络中的计算机进行设置，例如可以统一设置IE选项、在开机和关机时自动运行脚本、远程安装软件等。域让网络管理员有了管理网络的手段。

2 统一身份认证

企业一般有很多的信息系统，例如，协同办公系统、财务系统、人力资源系统、项目管理系统等等。每个信息系统都要维护一套用户信息、实现一套身份认证程序，根据用户的权限对其开放相应的资源。对用户来说，要记住每个系统的账号和口令，复杂还容易遗忘。对信息系统管理员来说，维护多套系统的用户信息带来了大量枯燥无味的工作。

域管理解决了这一问题，通过域和各信息系统的集成，系统的人员信息由域统一提供。在域中新增用户，即可同步到各信息系统。身份认证的工作也由域来完成，用户通过了域认证即可访问其授权的网络资源，访问各信息系统时不必再输入账号和口令，实现单点登录。解决了记忆多套系统账号和口令的问题。

3 增强安全性

这是域的统一认证功能带来的附加优势。各应用系统厂商实现的身份认证模块安全性良莠不齐，可能存在各种安全漏洞。域的身份认证支持kerberos协议、X509、智能卡认证等多种身份认证方式。主

要的认证方式是kerberos协议，该协议采用了公钥密码和对称密钥结合的技术，保障了身份认证的安全性。

4 组织间的身份认证

随着信息化的发展，组织之间需要交互的系统越来越多。比如企业的采购系统，定期在上面发布招标信息，各供应商登录系统进行投标。这就需要给供应商开设账户。但怎样认证某个人是该供应商公司的员工可能是各复杂的问题。而且当这个人离职之后，怎样通知采购系统管理员及时删除该账户，避免恶意登录呢？

AD支持联合身份认证来解决这个难题。例如，甲乙两家公司都采用了域管理，甲公司的员工需要登录乙公司的信息系统。通过活动目录联合身份认证服务，甲公司的AD为需要登录乙公司系统的用户发布一个声明（可以理解成其身份证），该用户将声明交给乙公司的AD进行验证，验证通过后自动登录系统。当然这些过程不是用户手工完成的，而是由系统自动实现的。

总之，活动目录（AD）是网络管理和核心和基石，随着技术的不断进步，其功能也会更加强大。