域控制器修復(fù)過程第一步，通過重新安裝還原DC ，清除操作，例如從Active Directory中刪除出現(xiàn)故障的DC 對象通過重新安裝進行恢復(fù)的步驟和創(chuàng)建新DC 的步驟相同。要通過重新安裝進行還原，在

域控制器修復(fù)過程

第一步，通過重新安裝還原DC ，清除操作，例如從Active Directory中刪除出現(xiàn)故障的DC 對象

通過重新安裝進行恢復(fù)的步驟和創(chuàng)建新DC 的步驟相同。要通過重新安裝進行還原，在目標域中必須至少有一臺工作正常的DC 。理想情況下，此DC 應(yīng)該和要復(fù)制的DC 新的DC 位于同一Active Directory站點中；

清理操作如下所述。步驟2和步驟3是在閱讀本文時假設(shè)您已具備的知識。有關(guān)提升過程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中獲得。清除操作與新DC 的名稱是否與故障計算機的名稱相同有關(guān)。 如果新DC 的名稱與故障DC 的名稱相同，則必須刪除故障DC 中的ntdsDSA 對象： 1.

2.

3.

4.

5. 在命令行中，鍵入ntdsutil 。 在ntdsutil:提示符下鍵入metadata cleanup，然后按Enter 鍵。 現(xiàn)在，需要連接到現(xiàn)有的域控制器，以便在上面刪除故障DC 中的ntdsDSA 對象。 在metadata cleanup提示符下鍵入connections ，然后按Enter 鍵。 鍵入connect to server <服務(wù)器名>，然后按Enter 鍵。其中<服務(wù)器名>是從其上清除元數(shù)據(jù)的DC （同一域中的任何工作正常的DC ）。

6.

7.

8.

9. 鍵入quit ，然后按Enter 鍵。將返回元數(shù)據(jù)清除菜單。 鍵入select operation target，然后按Enter 鍵。 鍵入list domains，然后按Enter 鍵。將列出目錄林中所有的域，其中每一個域都和一個編號相關(guān)聯(lián)。 鍵入select domain <編號>，然后按Enter 鍵，其中<編號>是與故障服務(wù)器所在的域?qū)?yīng)的編號。 10. 鍵入list sites，然后按Enter 鍵。

11. 鍵入select site <編號>，然后按Enter 鍵，其中 <編號> 是指該DC 所在站點的編號。

12. 鍵入list servers in site，然后按Enter 鍵。將列出該站點中所有的服務(wù)器，其中每一個服務(wù)器都有一個對應(yīng)的編號。 13. 鍵入select server <編號>，然后按Enter 鍵，其中 <編號> 是指要刪除的DC 。

14. 鍵入quit ，然后按Enter 鍵。將顯示元數(shù)據(jù)清除菜單。

15. 鍵入remove selected server，然后按Enter 鍵。

此時，應(yīng)出現(xiàn)一條說明該DC 已成功刪除的確認信息。如果接收到一個錯誤，指出沒有找到該對象，則可能該對象已經(jīng)從Active Directory中刪除了。

16. 鍵入quit ，然后重復(fù)按Enter 鍵，以返回到命令提示符。

注意 由于此過程需要修改配置命名上下文，所以此操作需要企業(yè)管理員權(quán)限。

如果新的DC 名稱與故障DC 的名稱不同，則應(yīng)該執(zhí)行以下附加步驟：

從站點和服務(wù)管理單元中刪除故障服務(wù)器對象：

1.

2.

3. 打開站點和服務(wù)管理單元。 選擇適當(dāng)?shù)恼军c。 刪除與故障 DC 相關(guān)聯(lián)的服務(wù)器對象。

從用戶和計算機管理單元中刪除故障計算機的帳戶：

4. 打開用戶和計算機管理單元。

5.

6. 選擇域控制器容器。 刪除與故障DC 相關(guān)聯(lián)的計算機對象。 警告 如果新計算機的名稱與故障計算機的名稱相同，請不要執(zhí)行上述附加步驟。確保問題不是由硬件故障引起的。如果不更換故障硬件，則通過重新安裝進行還原的方法會無濟于事。

第二步，從站點和服務(wù)管理單元中刪除故障服務(wù)器對象時，出現(xiàn)無法刪除DSA 對象處理

癥狀

如果您嘗試在“Active Directory 用戶和計算機”中刪除域控制器的計算機帳戶，您可能會收到以下錯誤消息：

Error:DSA object cannot be deleted（錯誤：無法刪除DSA 對象）

如果在您通過在域控制器上運行 dcpromo 進程以將其降級之后刪除該計算機帳戶，就會發(fā)生此問題。

原因

若 UserAccountControl 的值設(shè)置為 8192，則會發(fā)生此問題。

解決方案

要解決此問題，請把 UserAccountControl 值更改為 4096。

備注：只有在下列任一情況屬實時才可以使用此解決辦法：

您已在域控制器上運行 dcpromo 工具將其降級。

計算機硬件發(fā)生故障，您使用 ntdsutil 進程清除了帳戶元數(shù)據(jù)，然后從“Active Directory 站點和服務(wù)”中刪除了帳戶，但您仍不能刪除該計算機帳戶。

單擊開始，指向程序，指向 Windows 2000 支持工具，指向工具，然后單擊 ADSI 編輯。

展開Domain NC，展開dc=domain,dc=com，然后展開ou=domain controllers。

右鍵單擊此計算機域控制器的名稱，然后單擊屬性。

在屬性選項卡上，將 “Select which properties to view”（選擇查看哪些屬性）列表框中的兩個屬性都選中。

在 “Select a property to view”（選擇一個要查看的屬性）列表框中，選擇 UserAccountControl 。

在屬性值下，查看其值。使其值為 4096 以向該計算機帳戶賦予成員服務(wù)器身份，以便能夠刪除它。

在編輯屬性框中鍵入 4096。 單擊設(shè)置按鈕。單擊應(yīng)用，然后單擊確定。退出“ADSI 編輯”。

注：上述處理后如果還不能刪除，就直接用ADSI 編輯器刪除相應(yīng)對象

第三步，在另一臺服務(wù)器上安裝全新操作系統(tǒng)，運行DCpromo.exe （AD 安裝工具），以將此計算機提升為域控制器角色 驗證另一臺服務(wù)器 上的 DNS 名稱解析

驗證第一個域控制器后，請使用下列步驟來驗證第二個服務(wù)器上的 DNS 名稱解析。

1.

2.

3.

4.

5.

6.

7. 以“管理員”身份登錄另一臺服務(wù)器。 在 另一臺服務(wù)器 上打開一個命令提示符。 鍵入 nslookup pipeline-sw.com 然后按 ENTER 鍵。您將看到下面的結(jié)果： C:>nslookup pipeline-sw.com Server:swpp-1. pipeline-sw.com Address: xxx.xxx.xxx.xxx

8.

9. Name: pipeline-sw.com Address: xxx.xxx.xxx.xxx 如果沒有看到成功的名稱解析（即響應(yīng)中的第二個信息集），則請檢查另一臺服務(wù)器上的 IP 設(shè)置，以確認它的首選 DNS 服務(wù)器是 原域控制器服務(wù)器的IP 。Nslookup 首先告訴您哪個服務(wù)器在提供 Nslookup 響應(yīng)，然后再提供找到的信息。通過檢查 DNS MMC 正向搜索區(qū)域中的 pipeline-sw.com 記錄，驗證 原域控制器服務(wù)器 的DNS 服務(wù)器上的 DNS 記錄。直到 DNS 能正常運行后，才可繼續(xù)。

在另一臺服務(wù)器上運行 DCPROMO

完成驗證 DNS 名稱解析后，請使用下列步驟，將服務(wù)器提升為域控制器： 1.

2.

3.

4.

5.

6.

7.

8.

9. 單擊“開始”、“運行”，鍵入 dcpromo ，然后按 ENTER 鍵。 單擊“下一步”。 選擇“現(xiàn)存域的其他域控制器”，然后單擊“下一步”。 輸入pipeline-sw.com 域的 Enterprise Administrator 憑據(jù)，并輸入 pipeline-sw.com 作為域名，然后單擊“下一步”。 輸入pipeline-sw.com 作為“域名”，然后單擊“下一步”。 按如果您只有一個物理磁盤，請單擊“下一步”以接受數(shù)據(jù)庫和日志文件的默認位置。否則，請指定想要的文件位置。 單擊“下一步”以接受默認的 SYSVOL 文件夾位置。 輸入此服務(wù)器的“目錄服務(wù)還原模式管理員密碼”，然后單擊“下一步”。 查看設(shè)置，然后單擊“下一步”以開始 Active Directory 安裝向?qū)?(Dcpromo.exe) 配置過程。

10. 單擊“完成”。

11. 出現(xiàn)提示后單擊“立即重新啟動”。

驗證另一臺服務(wù)器名稱注冊

若要驗證另一臺服務(wù)器，請按下列步驟操作：

1.

2. 重新啟動后，請以“管理員”身份登錄。 單擊“開始”、“程序”、“管理工具”、“DNS”。展開 pipeline-sw.com 域，并驗證新域控制器的記錄在 pipeline-sw.com“正

向搜索區(qū)域”中注冊的_msdcs、_sites、_tcp、_udp子域中可見。如果它們在DNS 控制臺中不可見，重新啟動

NETLOGON 將啟動記錄注冊。

3. 驗證“反向搜索區(qū)域”已經(jīng)復(fù)制。

將域操作主機角色移到 另一臺服務(wù)器

原域控制器服務(wù)器 是全局編錄服務(wù)器，建議不要讓此服務(wù)器上同時具有 RID 主機、PDC 模擬器或基礎(chǔ)結(jié)構(gòu)主機操作主機角色。因此，此過程提供將這些角色移到另一臺服務(wù)器所需的必要步驟。

若要將操作主機角色移到另一臺服務(wù)器，請按下列步驟操作：

1.

2.

3.

4.

5.

6.

7. 啟動“Active Directory 用戶和計算機”。 用鼠標右鍵單擊“Active Directory 用戶和計算機”樹的頂層。 選擇“連接到域控制器”。 從列表上選擇“另一臺服務(wù)器”，然后單擊“確定”。 用鼠標右鍵單擊pipeline-sw.com 域，然后選擇“操作主機”。 默認情況下會顯示RID 主機角色，請選擇“更改”。 單擊“是”以確認轉(zhuǎn)移。 單擊“確定”。

重復(fù)上述步驟，完成 PDC 模擬器和基礎(chǔ)結(jié)構(gòu)主機操作主機轉(zhuǎn)移。

第四步，在升級域控制器過程中提示“未能修改機器帳戶 XXXX$ 的必需屬性, 訪問被拒絕?！碧幚?/p>

解決方案

要解決該問題，可以使用 Administrators 組中的帳戶，或者將合適的帳戶添加到 Administrators 組中。 要將該權(quán)利授予其它用戶或組：

在組策略對象中設(shè)置委派權(quán)限 1.

2.

3.

4. 在 Active Directory 用戶和計算機管理單元中，編輯域控制器組織單元上的默認域控制器策略。 雙擊計算機配置、Windows 設(shè)置、安全設(shè)置、本地策略，然后是用戶權(quán)利指派。 在使用計算機和用戶帳戶能夠被信任進行委派操作下，添加合適的帳戶或組。 使用如下某種方法應(yīng)用策略：

?

? 在提示符下，鍵入secedit/refreshpolicy machine_policy /enforce。 在站點和服務(wù)管理單元(Dssite.msc) 中，使用立即復(fù)制副本功能，強制在域中執(zhí)行從更改策略的域控制器到其它域控

制器的復(fù)制操作。