域控制器建立教程

蓝色枫叶

域控制器建立教程
域控制器建立教程
附件：  域控制器建立教程.part1.rar (489 K) 下载次数:221


附件：  域控制器建立教程.part2.rar (242 K) 下载次数:156

‰悔★恨№

域控制器诊断工具 (dcdiag.exe)


DCDiag.exe 有何功能？此命令行工具可以分析林中一个或所有域控制器的状态，并报告任何问题以帮助进行疑难解答。DCDiag.exe 由各种测试组成，这些测试可以单独运行，也可以作为套件的一部分来验证域控制器的健全性。


工具要求? 除非是下面声明的情况，否则，DCDiag 中的所有命令可以在 Windows XP Professional 和 Windows Server 2003 家族（成员服务器和域控制器）上运行。

? 从 Windows XP 或 Windows Server 2003 成员计算机或者 Windows Server 2003 域控制器的控制台上运行新的 DCDIAG /TEST：DNS 命令，可以验证 Windows 2000 Server（SP3 或更高版本）或 Windows Server 2003 家族域控制器的 DNS 健全性。


此功能适用于哪些用户？此功能适用于下列用户：
? DNS 管理员

? 域控制器管理员

? DCDiag.exe 用户


Windows Server 2003 Service Pack 1 为此功能新增了哪种新功能？Windows Server 2003 Service Pack 1 中对 DCDiag 进行了两项重大改进：
? DCDIAG /TEST：DNS 可以验证 DNS 健全性。

? DCDIAG /CheckSecurityError 可以检测可能会造成 Active Directory 复制失败的安全配置。.

这些新增强功能的详细信息如下所述。

新的 DNS 诊断测试
详细说明DCDiag.exe 已在 Windows Server 2003 Service Pack 1 中得到增强，包括了可用于报告有关域控制器整体 DNS 健全性的新 DNS 功能。有七种与 DNS 相关的新测试，可以单独运行这些测试，也可以同时运行。可以在 Active Directory 林中的一个或所有域控制器上执行这些测试。当测试完成时，DCDiag.exe 将显示一个结果总结以及每个被测试的域控制器的详细信息。
注：
新的 DNS 测试要求企业管理员凭据。
可以仅针对 Windows 2000 Server（SP3 或更高版本）或 Windows Server 2003 家族域控制器运行新 DNS 测试。


命令行语法Windows Server 2003 SP1 dcdiag 使用的基本语法与早期版本的 dcdiag 的基本语法相同。运行新的 DNS 测试的语法如下：
Dcdiag /test：DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:InternetName] | /DnsAll] [/f[s:11]ogfile] [/ferr[s:11]ogerr] /S[s:4]CName[/e] [/v]
参数说明/test：DNS
针对一定范围内的域控制器执行除 /DnsInternetName 测试以外的所有七种子测试。最常见的 DCDIAG 命令行参数包括：针对单个域控制器 (DC) 运行六种默认 DNS 子测试的 DCDIAG /TEST：DNS /V /S[s:4]CNAME，或者针对控制台计算机测试林中所有 DC 运行六种默认 DNS 子测试的 DCDIAG /TEST：DNS /V /E。如果未定义各个子测试，则 DCDIAG /TEST：DNS 与 /DnsAll 命令相同。
/test：DNS [DNS test]
执行指定的 DNS 测试。如果未指定测试，则默认为 /DnsAll。
/DnsBasic
执行基本 DNS 测试，包括网络连接性、DNS 客户端配置、服务可用性和区域存在性。
/DnsForwarders
执行 /DnsBasic 测试，还检查转发器的配置。
/DnsDelegation
执行 /DnsBasic 测试，还检查正确的委派。
/DnsDynamicUpdate
执行 /DnsBasic 测试，并同时确定是否在 Active Directory 区域中启用动态更新。
/DnsRecordRegistration
执行 /DnsBasic 测试，还检查是否已注册 A、CNAME 和已知的 SRV 记录。此外，还根据结果创建清单报告。
/DnsResolveExtName [/DnsInternetName:InternetName]
执行 /DnsBasic 测试，还尝试解析示例 Intranet 或 Internet 名称。如果未指定 /DnsInternetName，则命令将尝试解析名称 www.microsoft.com。如果指定了 /DnsInternetName，则命令将尝试解析用户所提供的 Internet 名称。
/DnsAll
执行除 DnsResolveExtName 测试 以外的所有测试并生成报告。
/f[s:11]ogfile
将输出重定向到用户提供的日志文件。
/ferr[s:11]ogerr
将致命错误输出重定向到单独的日志文件。
/s[s:4]CName
指定要为其运行测试的域控制器。
/e
针对 Active Directory 林中的所有域控制器运行 /test：DNS 指定的所有测试。
/v
详细信息。除了显示有关错误和警告的信息以外，还显示有关成功的测试结果的信息。（如果未使用 /v 参数，将仅显示错误和警告信息。）在总结表中报告错误或警告时，Microsoft 建议使用 /v 开关

企业 DNS 结构测试 (/e)? 当将 /test：DNS 与 /e 参数结合运行时，会针对 Active Directory 林中的所有域控制器运行由 test:/DNS 指定的所有测试。

注：
当使用 /e 参数时，DNS 测试的运行时间对大型企业而言很重要。处于脱机状态的域控制器和 DNS 服务器将因为 RPC 和其他协议长时间处于超时阶段而增加运行时间。


连接测试? 连接测试是一个强制性测试，它将先于任何其他 dcdiag 测试自动运行。

? 连接测试可以决定是否在 DNS 中注册域控制器、是否可以对域控制器执行 Ping 操作以及是否具有 LDAP/RPC 连接。

? 如果连接测试在指定的控制器上失败，则不会对该域控制器运行其他测试。

注：
SP1 中的连接测试没有发生更改，本文档提及该测试是供参考用。


基本 DNS 测试 (/DnsBasic)? 基本 DNS 测试用于确认下列重要服务是否正在运行并且可以在由 dcdiag 测试的域控制器上使用：
? DNS 客户端服务

? Netlogon 服务

? KDC 服务

? DNS 服务器服务（如果域控制器上安装了 DNS）


? 基本 DNS 测试通过确认所有适配器上的 DNS 服务器都可以访问，来确认每个域控制器的网络连接性。

? 基本 DNS 测试确认在客户端上配置的至少一个 DNS 服务器上注册每个域控制器的 A 记录。

? 如果域控制器运行的是 DNS 服务器服务，则基本 DNS 测试将确认是否存在 Active Directory 域区域和 Active Directory 域区域的 SOA 记录。

? 基本 DNS 测试将检查是否存在根 (.) 区域。


转发器测试 (/DnsForwarders) 注：
此测试仅在被测试的域控制器运行 Microsoft DNS 服务器服务时运行。

? 转发器测试确定是否启用递归。

? 如果配置了转发器或根提示，则转发器测试将确认 DNS 服务器上的所有转发器或根提示是否都可以正常工作，还确认是否已解析 _ldap._tcp.<林根域> DC 定位器记录。（不会为林根域控制器上配置的转发器或根提示尝试解析 _ldap_tcp.<林根域> DC 定位器记录。）


委派测试 (/DnsDelegation) 注：
此测试仅在被测试的域控制器运行 Microsoft DNS 服务器服务时运行。

? 委派测试确认委派的名称服务器是一个运行正常的 DNS 服务器。

? 委派测试通过确保 Active Directory 域区域（目标域控制器所在的区域）中的所有 NS 记录均具有相应的粘附 A 记录，来检查断开的委派。


动态更新测试 (/DnsDynamicUpdate)? 动态更新测试确认已为安全动态更新配置了 Active Directory 域区域，并执行测试记录 (_dcdiag_test_record) 的注册。然后，测试记录将被删除。


记录注册测试 (/DnsRecordRegistration)? 记录注册测试验证所有 DNS 服务器（在域控制器的每个适配器上配置）上的所有重要 DC 定位器记录的注册。 This test returns the following records.

记录 说明
CNAME GUID
注册为 DNS 服务器的规范名称 (CNAME) 的 GUID。

A
主机地址 (A) 资源记录。将 DNS 域名映射到 Internet 协议 (IP) 版本 4 的 32 位地址中。

LDAP SRV
LDAP 服务的服务定位器 (SRV) 资源记录。

GC SRV
全局编录 (GC) 服务器的服务定位器 (SRV) 资源记录。

PDC SRV
主域控制器 (PDC) 的服务定位器 (SRV) 资源记录。


外部名称解析测试 (/DnsResolveExtName) 注：
外部名称解析测试仅在明确指定（使用 /DnsResolveExtName）的情况下运行；它不会作为 /DnsAll 的一部分运行。

? 外部名称解析测试使用示例 Internet 名称 (www.microsoft.com) 或用户提供的 Internet 名称，来验证来自指定客户端的基本外部 DNS 解析。

? 外部名称解析测试无法解析使用代理服务器的环境中的外部 Internet 名称。

? 您可以使用 Intranet 名称或 Internet 名称来测试名称解析。

? 要解析用户提供的 Internet 或 Intranet 名称（而不是默认名称 www.microsoft.com），必须使用 /DnsInternetName 参数。


如何读取 DNS 增强 dcdiag 的输出以下步骤概括了如何解释 DNS 增强的 dcdiag 所提供的结果：
1.
运行 dcdiagtest：DNS /e /f:dns.txt。Microsoft 建议始终使用 /v 开关获取详细信息。

2.
在记事本或兼容的编辑器中打开报告。

3.
滚动到报告末尾并阅读总结表。

4.
在总结表中标识针对任何子测试返回的“警告”或“失败”状态的服务器。

5.
检查该服务器的输出部分，以查看检测到的问题（提示：使用“编辑”菜单上的“查找”命令在字符串“DC: DC_computername”（不包括引号）中搜索，以查找指定 DC 的详细部分。）

6.
根据需要解决有关 DNS 客户端或 DNS 服务器的问题。

7.
再次运行 dcdiag /test：DNS /v /e（或 /s[s:4]CName）以验证修补程序。重复第 1 步到第 6 步，直到了解并协调了所有故障。


警告和错误Dcdiag 采用保守方法来识别可能有问题、不符合最佳实践配置或者 dcdiag 无法完整验证的 DNS 客户端或 DNS 服务器配置。因此，dcdiag 的总结和详细部分可能会报告目前运行正常的 DNS 配置的警告。当由 dcdiag 进行识别时，管理员应该查看并验证此类配置。
下表包含的配置可以触发 dcdiag，以报告每个 DNS 子集的警告或错误。

基本警告附加信息警告：适配器 <适配器名称> 具有动态 IP 地址
建议为所有 DNS 服务器使用静态 IP 地址。
警告：适配器 <适配器名称> 具有无效的 DNS 服务器：<名称> <IP 地址>
可能无法访问 DNS 服务器。
警告：无 DNS RPC 连接（出错或当前运行的是非 Microsoft DNS 服务器）
如果 DNS 服务器为 BIND 服务器或其他非 Microsoft DNS 服务器，则可以忽略此警告。
警告：未找到此 DC/DNS 服务器上的 Active Directory 区域
N/A
警告：未找到此 DC/DNS 服务器上的根区域
N/A
错误附加信息错误：使用指定的凭据身份验证失败
DCDIAG 需要企业管理员凭据才能运行所有测试。
错误：没有 LDAP 连接
N/A
错误：没有 DS RPC 连接
N/A
错误：没有 WMI 连接
DNS 测试要求 WMI 连接才能在远程计算机上运行。
错误：无法通过 WMI 读取操作系统版本
这可能是因为远程计算机上缺少 WMI 连接。
错误：<操作系统名称> 不受支持（只有 Windows 2000、Windows XP 和 Windows Server 2003 支持此工具）
N/A
错误：打开服务控制管理程序失败
无法查看服务是否正在运行。
错误：Kdc/netlogon/DNS/dnscache 没有运行
某些关键服务没有运行。
错误：无法通过 WMI 读取网络适配器信息
N/A
错误：所有 DNS 服务器都无效
客户端所指向的 DNS 服务器要么无法访问、要么不是 DNS 服务器、要么具有无效的 IP 地址。
错误：未找到此 DC 的 A 记录
每个 DC 都应该注册一个 A 记录。请确保客户端所指向的所有 DNS 服务器上都注册了 A 记录。
错误：区域枚举无法找到根和 AD 区域
N/A
错误：无法查询此 DC 上的 DNS 区域
确保要在其中注册 DC 的区域存在。

转发器错误附加信息错误：转发器列表具有无效的转发器：<转发器的 IP 地址>
DNS 服务器上配置的转发器具有无效的 IP 地址或者不是一个 DNS 服务器，或者名称解析无法正常工作（也就是说，如果它是非根域 DC，将无法解析林根域 SRV 记录）。
错误：既未配置根提示，也未配置转发器。请配置转发器或根提示
请确保 DNS 服务器上已配置转发器或根提示，除非该服务器寄存根区域。
错误：根提示列表具有无效的根提示服务器：<根提示服务器的 IP 地址>
DNS 服务器上配置的根提示服务器具有无效的 IP 地址或者不是一个 DNS 服务器，或者名称解析无法正常工作（也就是说，如果它是非根域 DC，将无法解析林根域 SRV 记录）。
错误：<根提示服务器名称> IP：<不可用> 状态：<服务器的状态>
配置的根提示服务器没有相应的 IP 地址。状态字段将告诉您服务器的状态
错误：<根提示服务器名称> IP：<不可用> 状态：未找到 A 记录
配置的根提示服务器没有 A 记录。
错误：<DNS 服务器名称> 上的根提示服务器枚举失败
无法在目标 DNS 服务器上列出根提示服务器。

委派警告附加信息警告：DNS 服务器：<DnsServer 名称> IP：<Ipaddress> 故障：缺少粘附 A 记录
配置的委派缺少粘附 A 记录。
错误附加信息DNS 服务器：<服务器名称> IP：<IP 地址> 错误：断开的委派 - 详细
配置了委派但名称服务器不相应。
DNS 服务器：<服务器名称> IP：<IP 地址> 错误：断开的委派域 <委派域名称> - 非详细
N/A
错误：无法枚举服务器的区域根上的记录
暂缺

DynamicUpdate警告附加信息警告：区域上已启用动态更新，但不是安全的 <区域名称>
建议采用安全的动态更新。
警告：无法在区域 <区域名称> 中添加包含错误 <错误代码> 的测试 record _dcdiag_test_record
测试动态添加虚拟记录
警告：无法在区域 <区域名称> 中删除包含错误 <错误代码> 的测试 record _dcdiag_test_record
还会删除添加的记录。
错误附加信息错误：区域 <区域名称> 上未启用动态更新
Active Directory 区域上未启用动态更新，因此客户端无法注册其记录。

记录注册警告其他信息警告：DNS 服务器中缺少 DC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略用以阻止注册此记录，则请忽略此错误。
警告：DNS 服务器中缺少 GC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略以阻止注册此记录，则请忽略此错误。
警告：DNS 服务器中缺少 PDC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略以阻止注册此记录，则请忽略此错误。
警告：某些网络适配器中未找到记录注册
N/A
错误附加信息错误：DNS 服务器 <DNS 服务器 IP 地址> 中缺少 A 记录：<A 记录名称>
DC 尚未在指定的 DNS 服务器上注册其 A 记录。
错误：DNS 服务器 <DNS 服务器 IP 地址> 中缺少 CNAME 记录：<CNAME 记录名称>
DC 尚未在指定的 DNS 服务器上注册其 CNAME 记录。
错误：DNS 服务器 <DNS 服务器 IP 地址> 中缺少 DC SRV 记录：<SRV 记录名称>
DC 尚未在指定的 DNS 服务器上注册其 DC SRV 记录。
错误：DNS 服务器 <DNS 服务器 IP 地址> 中缺少 GC SRV 记录：<SRV 记录名称>
DC 尚未在指定的 DNS 服务器上注册其 GC SRV 记录。
错误：DNS 服务器 <DNS 服务器 IP 地址> 中缺少 PDC SRV 记录：<SRV 记录名称>
DC 尚未在指定的 DNS 服务器上注册指定的 PDC SRV 记录。所有这些记录都可以通过停止并启动 netlogon 服务来注册。
错误：所有网络适配器都无法找到记录注册
如果有多个网络适配器，则测试将检查是否所有记录都显示在每个适配器上配置的所有 DNS 服务器上。如果 DNS 服务器中缺少记录注册，就会发生此错误。

外部名称解析错误附加信息错误：无法解析 Internet 名称 <名称>
无法解析指定的 Internet 名称。请确保已正确配置代理客户端、服务器、根提示和转发器。

企业 DNS 结构测试警告附加信息警告：从从属域到父域既未配置转发器也未配置根提示
需要在寄存其各自区域的授权区域的父域或从属域中配置转发器或根提示，才能使名称解析正常工作。
错误附加信息错误：父域上未配置委派
从父域到从属域都应该配置委派。
错误：存在委派但缺少粘附记录
配置了委派，但名称服务器缺少其粘附记录。
错误：从父域到从属域的转发器配置错误
必须配置从从属域到父域的转发器。
错误：从父域到从属域的根提示配置错误
必须配置从从属域到父域的根提示。
错误：配置了从从属域到父域的转发器，但某些转发器未通过 DNS 服务器测试（请参阅 DNS 服务器部分了解错误详细信息）
配置的转发器具有无效的 IP 地址或者不是一个有效的 DNS 服务器，或者名称解析无法正常工作（如果它位于非根域中，将无法解析林根域 SRV 记录）。
错误：配置了从从属域到父域的根提示，但某些转发器未通过 DNS 服务器测试（请参阅 DNS 服务器部分了解错误详细信息）
配置的根提示具有无效的 IP 地址或者不是一个有效的 DNS 服务器，或者名称解析无法正常工作。

示例：以下示例演示了 Windows Server 2003 SP1 dcdiag 的使用。您应该将以斜体表示的参数替换为适用于您环境的参数：
? 要以非详细模式在单个域控制器上运行所有 DNS 测试，请执行以下操作：
Dcdiag /test：DNS /s:TargetDCName /f[s:11]ogFileName

? 要以详细模式在单个域控制器上运行所有 DNS 测试，请执行以下操作：
Dcdiag /test：DNS /s:TargetDCName /v /f[s:11]ogFileName

? 要以非详细模式在整个林中运行所有 DNS 测试，请执行以下操作：
Dcdiag /test：DNS /e /f[s:11]ogFileName

? 要以详细模式在整个林中运行所有 DNS 测试，请执行以下操作：
Dcdiag /test：DNS /v /e /f[s:11]ogFileName

? 要在单个域控制器上运行 DNS 基本测试，请执行以下操作：
Dcdiag /test：DNS /DnsBasic /s:TargetDCName /f[s:11]ogFileName

? 要在单个域控制器上运行 DNS 转发器测试，请执行以下操作：
Dcdiag /test：DNS /DnsForwarders /s:TargetDCName /f[s:11]ogFileName

? 要在单个域控制器上运行 DNS 委派测试，请执行以下操作：
Dcdiag /test：DNS /DnsDelegation /s:TargetDCName /f[s:11]ogFileName

? 要在单个域控制器上运行 DNS 动态更新测试，请执行以下操作：
Dcdiag /test：DNS /DnsDynamicUpdate /s:TargetDCName /f[s:11]ogFileName

? 要在单个域控制器上运行 DNS 记录注册测试，请执行以下操作：
Dcdiag /test：DNS /DnsRecordRegistration /s:TargetDCName /f[s:11]ogFileName

? 要解析示例 Internet 或 Intranet 名称，请执行以下操作：
Dcdiag /test：DNS /DnsResolveExtName /DnsInternetName:InternetName /f: LogFileName

注：
当运行单个测试时，在运行指定的单个测试之前，将默认运行 /DnsBasic 测试。
如果未指定单个测试，则默认情况下将运行所有 DNS 测试（/DnsResolveName 除外）。


新的 Active Directory 复制安全性测试

详细说明DCDiag.exe 已在 Windows Server 2003 Service Pack 1 中得到了增强，包括用于识别可能会导致 Active Directory 复制失败的安全配置的新功能。
可以在 Active Directory 林中的一个或所有域控制器上执行新的 CheckSecurityError 测试。该测试执行下列操作：
? 检查目标域控制器和源域控制器的域中的“密钥发行中心 (KDC)”是否可用。

? 验证目标 DC 是否足以收发较大的 UDP 格式的数据包（供 Kerberos 使用）。

? 验证目标 DC 的系统时钟与目标域和源域中的 KDC 以及源 DC 的系统时间相差不超过 5 分钟。

? 确认为源域控制器上每个命名上下文的根配置了必要的权限。

? 确认未禁用源 DC 和目标 DC 计算机帐户，可以得到委派信任，并且包含所有必要的服务主体名称。

测试完成时，DCDiag.exe 将显示所测试的每个域控制器的结果总结以及遇到的安全错误的诊断。
可以使用以下语法从命令行运行此测试：
Dcdiag /test:CheckSecurityError
或者，您可以在命令中添加 /ReplSource:SourceDC 开关，以将特定的域控制器标识为复制尝试的来源。/replsource: 参数中指定的域控制器不必是当前源域控制器，即当前所测试的域控制器从该源控制器复制（目标域控制器当前具有来自该源控制器的入站连接对象）。此测试将收集来自域控制器、密钥发行中心 (KDC) 源服务器和目标服务器以及 Active Directory 的信息。
注：
Dcdiag /test:CheckSecurityError 可以在成员计算机（使用 /e 或 /s:servername 命令）以及域控制器的控制台上执行。要获得最佳效果，请在入站 Active Directory 复制由于可疑安全错误而失败的每个域控制器的控制台上运行 Dcdiag /test:CheckSecurityError

傻傻de爱着你

域控制器迁移


需完成的任务：Windows2003专业版SP1 域控制器迁移到另一台新的Windows2003R2上（迁移和升级）。
操作步骤：
1.在Windows  2003 服务器上，运行林升级操作：运行Windows 2003 R2安装光盘（第2张）\\CMPNENTS\\R2\\ADPREP\\目录中adprep程序，运行命令：adprep/forestprep
2.在Windows  2003服务器上，运行域升级操作：运运行Windows 2003 R2安装光盘（第2张）\\CMPNENTS\\R2\\ADPREP\\目录中adprep程序，运行命令：adprep/domainprep
3.在现有的AD域中，安装一台新的Windows Server 2003 R2服务器，并将服务器加入现有域中
4.在Windows Server 2003 R2上，运行DCPROMO将服务器升级为现有域的额外域控制器。
5.将五种操作主机角色(FSMO角色)从老服务器迁移至新服务器
6.在Windows 2003服务器上，安装DNS服务，再创建一个新的与活动目录集成的、与Windows域名相同的、DNS正向搜索区域，重新启动服务器,使
DNS 与现有DNS服务同步
*在Windows 2003的域控制器上，运行DCPROMO将服务器降级,退出网络，操作系统全新部署Windows Server 2003 R2，另做他用。

可能会碰到的问题:
升级域控制器出错
现象：
安装额外域控制器时，弹出“Active Directory安装向导”错误提示窗口，信息如下：Active Directory安装向导不能继续，因为林没有安装Windows Server 2003 准备好。使用Adprep 命令行工具来准备林和域。要了解有关使用Adprep 的详细信息，参阅Active Directory帮助。“源林的Active Directory架构与这台计算机上的Active Directory的版本不兼容。”
原因：
1／用win2k3 企业版做的prep
2／用win2k3 r2 第一张盘上的执行文件，做了prep。其实应该用第二张盘上的，执行文件目录如下：
adprep/forestprep Drive:\\CMPNENTS\\R2\\ADPREP\\adprep.exe

蓝色枫叶

在域控制器上安装Exchange 2003的注意事项

微软反对在域控制器上安装Exchange，但在有需要的环境中，它也支持这样做。但是，如果你发现自己确实要在域控制器上运行Exchange——可能是因为预算的原因——确信你了解下面的限制，并做出明智的决策：
一旦你在域控制器上安装了Exchange，你就不能将服务器还原到成员服务器状态。
一般来说，考虑一个最佳办法，不要在域控制器上使用还在运行Exchange的3GB交换器，因为这样可能会导致Exchange使用过多的系统随机存取内存。
由于关闭时卸载服务的顺序问题，关闭或重启运行Exchange的域控制器可能需要10多分钟。在重新启动这些服务前，手动终止Exchange服务，以避免出现这些延迟。
由于Exchange只使用由主域控制器提供的服务，且如果AD服务（即全局编录服务器）出现问题时，Exchange将不会寻求其它控制器，所以这一安装方法会严重阻碍你提高可用性。

taotao

　
域控制器关机后客户端仍然可以登陆是设计使然


域
回答：您好！当您登录到 Windows NT，如果域控制器无法验证帐户，会使用缓存登录信息。默认情况下, Windows NT 会记住 10 最近登录尝试。这里所指的10次，是10个用户登陆，而不是一个用户登陆的最大有效次数，一个用户可登陆的次数理论上是无限的。如果要禁止此项设定，您可以把这个值设为0。
具体设置：点击“开始→运行”并输入“gpedit.msc” ， “计算机配置→Windows设置→安全设置---本地策略--安全选项中，双击交互式登录：可被缓冲的前次登陆个数（在域控制器不可用的情况下）---缓存10次登录。您可以通过注册表更改缓存登陆次数， 服务器将缓存的数。用于此参数的值有效范围是 0 到 50。关闭登录缓存值为 0 并 50% 以上任何值将只缓存 50 登录尝试。
警告：“注册表编辑器”使用不当会导致严重的问题，这种问题可能需要重新安装操作系统。 Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。 使用注册表编辑器需要您自担风险。缓存登录信息由下列项控制：
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon ValueName: CachedLogonsCount Data
Type: REG_SZ
Values: 0 - 50
对该项进行任何更改需要您重新启动计算机使更改才能生效控制器关机后，在域中的某台客户机上仍然可以登录到此域，是怎么回事，登录时不用到域控做验证的吗？真是迷惑了……

傻傻de爱着你

Win 2003域控制器的安全性


域控制器，正如其名，它具有对整个Windows域以及域中的所有计算机的管理权限。因此你必须花费更多的精力来确保域控制器的安全，并保持其安全性。本文将带您了解一些在域控制器上应该部署的安全措施。
　　
域控制器的物理安全
　　
第一步（也是常常被忽视的一步）就是要保障你的域控制器的物理安全。也就是说，你应该将服务器放在一间带锁的房间，并且严格的审核和记录该房间的访问情况。不要有“隐蔽起来就具有很好的安全性”这样的观点，错误地认为将这样一台关键的服务器放在一个偏僻的地方而不加以任何保护，就可以抵御那些顽固的数据间谍和破坏分子的攻击。
　　
因为专门从事犯罪预防研究的警察告诉我们，我们是没有办法使自己的家，公司，汽车，当然也包括我们的服务器具有百分之百的安全性。安全措施并不能保证您的贵重物品不被那些“坏人”拿到，它只能增加他们获取贵重物品的难度和困难度。如果您能让他们的攻击过程持续更长的时间，那么他们放弃攻击或停止尝试，甚至将他们当场抓住的可能性都会大大增加。
　　
物理安全之后，就应该部署多层防御计划。带锁的服务器间只是第一层。这只能被认为是周边安全，就像您院子周边的篱笆或者您家房门的锁。万一周边安全被突破，就应该为保护目标（此时即DC）进一步设置一些安全措施以保护它们。您可能会安装安全警报系统，以便当您的篱笆或者门锁遭到破坏的时候，通知您或者警察。同样，您应该考虑在服务器间部署警报系统，当未授权用户（他不知道解除警报系统的密码）进入服务器间的时候，它就发出声音警报。另外还可以考虑在门上安装探测器，以及红外探测器以防止通过门、窗及其他孔洞（我们强烈建议，尽可能得减少门、窗及孔洞的数量）的非法进入。
　　
当您从里至外的部署你的多层安全计划时，您应该反复问自己一个问题“如果这个安全措施失效了怎么办？我们可以在入侵者的攻击线路上部署哪些新的障碍？”就像您将自己的金钱和珠宝放在一个有篱笆的，带锁的，有警报系统保护的房间中，您也应该考虑服务器自身的安全。下面有一些准则：
　　
移除所有的可移动存储设备驱动器，如软驱、光驱、外置硬盘、Zip驱动器、闪存驱动器等。这将增加入侵者向服务器上传程序（如病毒）或下载数据的难度。如果您不使用这些设备，您也可以移除这些外部设备需要使用的端口（从BIOS中关闭或物理移除）。这些端口包括USB/IEEE 1394、串口、并口、SCSI接口等。
　　
将机箱锁好，以防止未授权用户盗窃硬盘，或损坏机器组件。
　　
将服务器放在密闭带锁的服务器机架中（确保提供良好的通风设备），电源设备最好也能设置在服务器机架中。以避免入侵者能够方便的切断电源或UPS从而干扰系统的电力供应。
防止域控制器的远程入侵
　　
如果您认为您的物理安全计划已经足够完美，那么您就要将您的注意力转移到防止黑客、骇客和攻击者通过网络访问您的域控制器。当然，“最好的”方法是将域控制器从网络中断开，但是这样，域控制器也就毫无用处了。因此，您要通过一些步骤，加固它们，以抵御一般的攻击方法。
　　
保障域账号的安全
　　
最简单的（对于黑客来说），最让人意想不到的，也是最常用的方法就是通过一个合法的账号密码，登陆系统，以获得网络和域控制器的访问权限。
　　
在一个典型的安装中，黑客如想登陆系统，只需要两个东西：一个合法账号，以及它对应的密码。如果您仍使用的是默认的管理员账号——Administrator，这将使黑客的入侵容易很多。他需要做的只是收集一些信息。与其他账号不同，这个默认的管理员账号，不会因为多次失败登陆而被锁定。这也就意味着，黑客只要不停的猜测密码（通过“暴力破解”的方法破解密码），直到他拿到管理员权限。
　　
这就是为什么您应该做的第一件事就是把系统内置账号改名。当然，如果您只是改名而忘记修改默认的描述（“计算机/域的内置管理账号”）也没有什么意义。所以您要避免入侵者快速的找出拥有管理员权限的账号。当然，请记住，您所做的措施都只能减慢入侵者。一个坚定的、有能力的黑客还是能够绕过您的安全措施的（例如，管理员账号的SID是不能更改的，它通常是以500结尾的。有一些黑客可以利用工具SID号来辨别出管理员的账号）。
　　
在Windows Server 2003中，完全的禁用内置管理员账号成为可能。当然如果您想那样做，必须要先创建另外的一个账号，并赋予它管理员的权限。否则，您将发现您自己也无法执行某些特权任务了。当然内置的来宾账号是应该被禁止的（默认就是如此）。如果一些用户需要具有来宾的权限，为他创建一个名字没那么显眼的新账号，并限制它的访问。
　　
所有的账号，特别是管理账号都应该有一个强壮的密码。一个强壮的密码应该包含8位以上的字符，数字和符号，应该大小写混排，而且不应该是字典中的单词。用户必须要注意，不要将他们的密码用笔写下来或者告诉其他人（社交工程术也是未授权取得访问权限的常用方法）。还可以通过组策略来强制要求密码在一定的基础上进行变化。

重定向活动目录数据库
　　
活动目录的数据库包含了大量的核心信息，是应该妥善保护的部分。方法之一就是将这些文件从被攻击者熟知的默认位置（在系统卷中）转移到其他位置。如果想进行更深入的保护，考虑把AD数据库文件移动到一个有冗余或者镜像的卷，以便磁盘发生错误的时候您还能恢复它。
　　
活动目录的数据库文件包括：Ntds.dit；Edb.log；Temp.edb
　　
附注：将活动目录的数据库文件移动到与系统卷不同的物理硬盘，也可以提高DC的系统性能。
　　
您可以按照以下步骤，通过NTDSUTIL.EXE这个工具来转移活动目录的数据库和日志文件：
　　1．重新启动域控制器。
　　2．在启动的时候按下F8键，以访问高级选项菜单。
　　3．在菜单中选择 目录服务恢复模式。
　　4．如果您装有一个以上的Windows Server 2003，选择正确的那个，按回车键继续。
　　5．在登陆提示的时候，使用当时您提升服务器时指定的活动目录恢复账号的用户密码登陆。
　　6．点击 开始 　 运行，输入CMD，运行命令提示行。
　　7．在命令提示行中，输入NTDSUTIL.EXE，并执行。
　　8．在NTDSUTIL的提示行中，输入FILES。
　　9．选择你想要移动的数据库或者日志文件，输入MOVE DB TO或者MOVE LOGS TO。
　　10．输入两次QUIT，退出NTDSUTIL，返回到命令提示行，并关闭命令提示行窗口。
　　11．再次重新启动域控制器，以正常模式进入Windows Server 2003。
使用Syskey保障密码信息的安全
　　
保存在活动目录中的域账号密码信息是最为敏感的安全信息。系统密钥（System Key - Syskey）就是用来加密保存在域控制器的目录服务数据库中的账号密码信息的。
　　
Syskey一共有三种工作模式。模式一，就是所有Windows Server 2003中默认采用的，计算机随机产生一个系统密钥（system key），并将密钥加密后保存在本地。在这种模式中，你可以像平时一样的登录本地计算机。
　　
在模式二中，系统密钥使用和模式一中同样的生成方式和存储方式，但是它使用一个由管理员指定的附加密码以提供更进一步的安全性。当你重起电脑的时候，你必须在启动的时候输入管理员指定的附加密码，这个密码不保存在本地。
　　
模式三是安全性最高的操作方法。计算机随机产生的系统密钥将被保存在一张软盘上，而不是电脑本地。如果您没有软盘的物理访问权限，并在系统提示时插入该软盘，您就无法引导系统。
　　
附注：在使用模式二和模式三之前，请先考虑他们相关的特性。例如，可能会需要管理员在本地插入含有syskey密码的软盘，这就意味着，您将无法不在服务器端插入软盘就实现服务器远程重启。
　　您可以通过以下方法创建system key：
　　1．点击 开始 　 运行，输入CMD，运行命令提示行。
　　2．在命令提示行中，输入SYSKEY，并执行。
　　3．点击 UPDATE。选中ENCRYPTION ENABLED。
　　4．如果需要一个syskey的开始密码，点击PASSWORD STARTUP。
　　5．输入一个强健的密码（密码可以含有12到128个字符）。
　　6．如果您不需要开始密码，点击 SYSTEM GENERATED PASSWORD。
　　7．默认的选项是STORE STARTUP KEY LOCALLY。如果您想要将密码保存在软盘中，选中STORE STARTUP KEY ON FLOOPY DISK。
　　
如果您使用模式三，将密码保存在软盘中，请确保该软盘有备份。