AD恢复主域控制器 
本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先 
又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常 
运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。 
---------------------------------------------------------------------- 
---------- 
目录 
Active Directory操作主机角色概述 
环境分析 
从AD中清除主域控制器DC-01.test.com 对象 
在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 
设置额外域控制器为ＧＣ（全局编录） 
重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 
参考信息 
作者介绍 

---------------------------------------------------------------------- 
---------- 
一、Active Directory操作主机角色概述 
Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：  
架构主机 schema master、 
域命名主机 domain naming master 
相对标识号 (RID) 主机 RID master 
主域控制器模拟器 (PDCE)  
基础结构主机 infrastructure master 
而每种操作主机角色负担不同的工作，具有不同的功能： 
架构主机 

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构 
主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目 
录林中只有一个架构主机。 
域命名主机 
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新 
域。 从目录林中删除现有的域。  
添加或删除描述外部目录的交叉引用对象。  

相对标识号 (RID)  

主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创 
建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结 
合，以创建唯一的安全标识符 (SID)。 每一个 Windows 2000 DC 都会收到用于 
创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID  
在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之 
间移动所有对象。 
域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号 
（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 

PDCE  
主域控制器模拟器提供以下主要功能：  
向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入 
到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE 
。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在 
那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。  
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步 
。 
PDCE是基于域的，目录林中的每个域都有自己的PDCE。  
基础结构主机 
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此 
引用包含该对象的 
全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用 
的对象移动，则在域中担 
当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 
基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机 
默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域 
中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 
---------------------------------------------------------------------- 
---------- 
二、环境分析 
公司Test.com（虚拟）有一台主域控制器DC-01.test.com，还有一台额外域控制 
器DC-02.test.com。现主域控制器（DC-01.test.com）由于硬件故障突然损坏， 
事先又没有DC-01.test.com的系统状态备份，没办法通过备份修复主域控制器 
（DC-01.test.com），我们怎么让额外域控制器（DC-02.test.com）替代主域控 
制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之 
后，如何使损坏的主域控制器恢复。 
如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上 
夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。 
---------------------------------------------------------------------- 
---------- 
三、从AD中清除主域控制器DC-01.test.com对象 
3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC 
-01.test.com)从ＡＤ中删除； 
c:>ntdsutil 
ntdsutil: metadata cleanup 
metadata cleanup: select operation target 
select operation target: connections 
server connections: connect to domain test.com 
server connections:quit 
select operation target: list sites 
Found 1 site(s) 
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com 
select operation target: select site 0 
Site - CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=test,DC=com 
No current domain 
No current server 
No current Naming Context 
select operation target: List domains in site 
Found 1 domain(s) 
0 - DC=test,DC=com 
Found 1 domain(s) 
0 - DC=test,DC=com 
select operation target: select domain 0 
Site - CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=test,DC=com 
Domain - DC=test,DC=com 
No current server 
No current Naming Context 
select operation target: List servers for domain in site 
Found 2 server(s) 
0 - CN=DC-01,CN=Servers,CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=te 
st,DC=com 
1 - CN=DC-02,CN=Servers,CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=te 
st,DC=com 
select operation target: select server ０ 
select operation target: quit 
metadata cleanup:Remove selected server 
出现对话框，按“确定“删除DC-01主控服务器。 
metadata cleanup:quit 
ntdsutil: quit 
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain  
controllers中DC-01服务器对象， 
ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000  
support tool，安装程序在windows 2000光盘中的support\tools目录下。打开 
ADSI EDIT工具，展开Domain NC[DC-02.test.com]，展开OU=Domain controllers 
，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1： 
3.3 在Active Directory Sites and Service中删除DC-01服务器对象 
打开Administrative tools中的Active Directory Sites and Service，展开 
Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete 
，单击Yes按钮，如图2： 
---------------------------------------------------------------------- 
---------- 
四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 
c:>ntdsutil 
ntdsutil: roles 
fsmo maintenance: Select operation target 
select operation target: connections 
server connections: connect to domain test.com 
server connections:quit 
select operation target: list sites 
Found 1 site(s) 
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com 
select operation target: select site 0 
Site - CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=test,DC=com 
No current domain 
No current server 
No current Naming Context 
select operation target: List domains in site 
Found 1 domain(s) 
0 - DC=test,DC=com 
select operation target: select domain 0 
Site - CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=test,DC=com 
Domain - DC=test,DC=com 
No current server 
No current Naming Context 
select operation target: List servers for domain in site 
Found 1 server(s) 
0 - CN=DC-02,CN=Servers,CN=Default-First-Site- 
Name,CN=Sites,CN=Configuration,DC=te 
st,DC=com 
select operation target: select server ０  
select operation target: quit 
fsmo maintenance:Seize domain naming master 
出现对话框，按“确定“ 
fsmo maintenance:Seize infrastructure master 
出现对话框，按“确定“ 
fsmo maintenance:Seize PDC 
出现对话框，按“确定“ 
fsmo maintenance:Seize RID master 
出现对话框，按“确定“ 
fsmo maintenance:Seize schema master 
出现对话框，按“确定“ 
fsmo maintenance:quit 
ntdsutil: quit 
（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer 
操作） 
---------------------------------------------------------------------- 
---------- 
五、设置额外控制(DC-02.test.com)为ＧＣ（全局编录） 
打开Administrative Tools中的Active Directory Sites and Services，展开 
Sites，展开Default-First-Site-Name，展开Servers，展开DC-02.test.com(额 
外控制器)，右击NTDS Settings选择Properties，然后在"Global Catalog"前面 
打勾，单击"确定"按钮，然后重新启动服务器。 

---------------------------------------------------------------------- 
---------- 
六、重新安装并恢复损坏主域控制器 
修理好DC-01.test.com损坏的硬件之后，在DC-01.test.com服务器重新安装 
Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额 
外的域控制器；如果你需要使DC-01.test.com担任五种FMSO角色，通过ntdsutil 
工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过 
Active Directory Sites and Services设置DC-01.test.com为GC，取消DC- 
02.test.com的GC功能。 
建议domain naming master不要和RID master在一台DC上，而domain naming  
master同时必须为GC。 

一、胆大

蹬自行车冲红灯看着警察招手你还照去不误，拿部没装胶卷的相机到不准拍照的地方，比如时装专卖店等地猛拍，保安过来你还“据理力争”。这类事你不能多干且可能会有不少麻烦，但绝对可以锻炼胆量。女孩子喜欢胆大的男人。

二、心细

记得你心中的女孩每天梳什么发式穿什么衣服裙子袜子等等，直至比她自己还清楚她的装备和习惯。胆大而心细的男人，女孩子更喜欢。

三、脸皮厚

选择大厅演唱卡拉ＯＫ，不怕起哄不怕被人扔蕃茄，全场人都吓跑了你仍津津有味地坚持下去。“脸皮厚”这个字眼不大好听，但它是胆大的基本功之一。

四、果断

吃大排档十分钟内点齐八菜一汤，星期天去哪里玩两分钟内提出十个方案十秒钟内做出抉择，而且君子一言驷马难追决不后悔。

五、机智加口才

把黑的说成白的，假的说成真的，美的说成丑的，并且振振有理理直气壮，以此训练机智；

六、有见识

每天熟读报章杂志，务必搞清楚所有名人名牌的来龙去脉。

七、幽默

喜剧专家把正常的反应相反做出就引人发笑，比如下次别人打你的左脸你就摸右脸，或者向克罗地亚队的比利奇学习。

八、大方

省自己但不能省别人，平时节俭储备“弹药”，到她面前挥霍有度大方得体。心地善良的女孩买什么都嫌贵，但你硬是买回来给她，她心里很甜蜜。

九、真诚

准时准点决不食言,应承的事情一定要负责到底。每天对镜练习“真诚笑容”,使面部肌肉习惯于微笑,变成招牌表情,就算被出卖被拒绝也面不改色。