在域中只有一個主域控制器,它負責維護域中安全數據庫,這個安全數據庫會自動復制到域的備份域控制器中,備份域控制器可以升級為主域控制器,當服務器升級時,域安全數據庫的最新備份會從舊的主域控制器復制一份到新的域控制器上,然後,舊的主域控制器會降為備份域控制器。
要 將備份域控制器升為主域控制器,在“服務器管理器”窗口的計算機列表中,選擇備份域控制器,從“計算機”菜單中選擇“升級至主域控制器”,這個步驟可能會 花上數分鐘的時間,完成時,舊的主域控制器會自動還原為服務器狀態。同様要將先前主域控制器降為服務器,在“服務器管理器”窗口的計算機列表中選擇先前的 主域控制器,在“計算機”菜單中,“升級至主域控制器”命令會變成“降級為備份域控制”命令,從“計算機”菜單中選擇“降級為備份域控制器”,即可將 PDC降為BDC。但在實際的操作中我没有這様做,我只是先把PDC正常關機,然後又重新啓動,這時PDC則變為BDC了。
PDC哪裏去了?
這時我把PDC正常關機(BDC還在運行),然後,我又重新啓動機器 PDC,啓動完以後,問題提示就出來了。説“在系統啓動時至少有一個設備或驅動程序産生錯誤。詳細信息請使用事件查看器查看事件日志”。查看後説有關服務 不匹,SXNT(PDC主機名)有重復名稱。這時我也打不開“域用户管理器”,提示為“找不到這個域的域控制器,您是否要選另一個域來管理”,或是“没有 安裝工作站驅動程序,您是否要選擇另一個域來管理”(這時,“服務器管理器”、“域用户管理器”等都打不開)。在“服務器管理器”裏一看,PDC變為 BDC了,這時有兩個備份域控制器,另一台BDC也顯示兩個備份域控制器。我想那麽就把變為BDC的這台機器升為PDC吧,但經過幾個過程等了一段時間, 升級失敗,提示為找不到這個域的主域控制器。這整個過程就是關機然後重新啓動,什麽也没變,PDC就不知怎麽不存在了,也就談不上來管理域用户了。
不知原因的服務停止
在 網絡上的一些問題,尤其是没有遇過的,真是煩而痛苦的過程,在事件管理器的提示中,所説的相關錯誤和服務失敗,也没明確提示什麽過程的失敗。讓你無從下 手。最後在“網絡”中的“服務”中查找,發現NETLOGON(WORK-STATION)服務没有啓動,把它啓動然後打開服務器管理器一看,SXNT變 為一般服務器了,情况雖然發生了變化,但是還没有解决問題,我想是不是其它相關服務也没有啓動呢,于是我又把COMPUTER BROWSER等其它相關服務都啓動了,這時問題解决了,SXNT變為PDC了。
經驗總結
後來,我又經過反復測試,終于掌握了規律:啓動機器,必須先啓動PDC,然後再啓動BDC。關機時如果只關閉PDC,而没有把BDC升為PDC,則會出現上面相關錯誤信息提示。
雖 然NT主域、備份域的概念并不復雜,有些細節我還是想在此提醒你:通常,當備份域控制器升級為主域控制器時,不需要采取任何特殊的操作,系統會自動將先前 的主域控制器降為備份域控制器;如果原來的主域控制器失效,在將一台備份域服務器升級為主域控制器之後,如果原來的主域控制器又恢復了服務,必須將其降 級,在它降級前不會運行NETLOGON服務,亦不會參加用户登録確認,同時,它在“服務器管理器”窗口中的圖標會變成灰色。
===================================================================
當你把BDC升級為PDC時,原來的PDC就自動降級為BDC。
但是,如果BDC升級時,PDC并没有在綫, 那麽當PDC重新啓動後,
仍然會認為自己是PDC,而且當它檢測到另一個PDC存在時,
他就只是簡單的停止自己的netlogon 服務。
為了真正地把這台機器變為BDC, 需要直接修改注册表:
1. 以域管理員身份登録到這台機器
2. RUN REGEDIT32
3. 察看HKEY_LOCAL_MACHINE\Security
4. 從Security菜單中選擇Permissions
5. 選擇Administrators并改變訪問類型為Full Control,
選定“Replace Permission on Existing Subkeys” 并點撃OK.
然後點撃確認對話框的Yes.
6. 瀏覧Security菜單項,彈出Policy\PolSrvRo
7. 雙撃默認項
的值,改變第二個數字位(對于PDC應該是3)為2(代表BDC),
點撃OK. 如:該03000000 為02000000
8. 現在你應該用上述同様的方法恢復注册表Security
部分的Security 項,但是要把Administrators項改回
為Special Access。 Administrators 的權限應為
-Write DAC -Read Control
9. 重新啓動機器,它就變為BDC了,為了避免設置security,
可以通過計劃服務用提交注册表編輯器的方法來從系統帳號中執行注册表的修改。 C:\> net start schedule (如果還没運行)C:\> at
/inter regedt32.exe C:\> net stop schedule (當你必須啓動它時)
===========================================================================
發生事件 3210 和 7023 後,如何重新同步處理 PDC/BDC 信任關係
徵狀
事件 ID: 3210
來源: Netlogon
類型: 錯誤
說明: 無法為網域 <網域名稱> 的
Windows NT 網域控制器
<電腦名稱> 進行身份驗證
資料字: c0000022
事件 ID: 7023
來源: 服務控制管理員
類型: 錯誤
說明: 網路登入 (Netlogon) 服務因以下
錯誤訊息而中止: 拒絕存取。
如果 BDC 從多日前的舊備份進行還原,或 BDC 離線已超過數日,極有可能發生上述問題。
發生的原因
解決方案
| 1. | 啟動 BDC,開啟 [伺服器管理員] |
| 2. | 選擇 BDC 的名稱,然後選擇 [同步處理主網域控制器]。 |
但如果在首次嘗試時,BDC 並未與 PDC 進行同步處理,請嘗試再次執行相同指令。往往第二次嘗試就會成功。但如果執行三次之後 BDC 仍未同步,網路登入 (Netlogon) 也未啟動,則必須為 BDC 建立新的機器帳戶。以下方法摘自相關文件, 137987 (http://support.microsoft.com/kb/137987/EN-US/) :
| 1. | 使用「伺服器管理員」建立新的電腦名稱。 |
| 2. | 同步處理整個網域(檢查另一個 BDC 的事件檢視器以確定是否同步)。 |
| 3. | 在有問題的 BDC 上,使用 [控制台] 的 [網路] 工具,將名稱變更為步驟 1 中建立的新名稱。 |
| 4. | 關閉 BDC,然後重新啟動並登入至 Windows NT。記錄任何錯誤訊息。必須登入至 BDC 所在的網域,而不是信任網域。 |
| 5. | 使用「伺服器管理員」同步處理整個網域。 |
| 6. | 從 PDC 中刪除舊的電腦名稱(使用「伺服器管理員」)。 |
| 7. | 使用「伺服器管理員」同步處理整個網域。 |
| 8. | 在繼續進行之前,先確認舊的 BDC 名稱已自「伺服器管理員」中刪除。 |
| 9. | 舊的 BDC 名稱從「伺服器管理員」中取消後,重新建立名稱。 |
| 10. | 使用「伺服器管理員」同步處理整個網域。 |
| 11. | 在有問題的 BDC 上,使用 [控制台] 中的 [網路] 工具,將電腦名稱變更為步驟 9 中所建立的舊名稱。 |
| 12. | 關閉 BDC,然後重新啟動並登入網域。記錄所有錯誤訊息。 |
| 13. | 同步處理整個網域。 |
相關文件:
有關 NWLink 特定的身份驗證問題的其它資訊,請參閱以下 Microsoft Knowledge Base 文件:
126752 (http://support.microsoft.com/kb/126752/EN-US/) DC 無法透過 NWLINK 進行同步處理或驗證使用者
有關嘗試進行 Net View 時,所產生的身份驗證相關資訊,請參閱以下 Microsoft Knowledge Base 文件:
137987 (http://support.microsoft.com/kb/137987/EN-US/) NET VIEW 可能會引起號誌逾時和事件 ID 3210
有關從 PDC 角度考量身份驗證的其它資訊,請參閱以下 Microsoft Knowledge Base 文件:
142869 (http://support.microsoft.com/kb/142869/EN-US/) 同步處理整個網域時,出現事件 ID 3210 & 3722
這篇文章中的資訊適用於:
| • | Microsoft Windows NT Server 3.5 |
| • | Microsoft Windows NT Server 3.51 |
| • | Microsoft Windows NT Server 4.0 Standard Edition |
轉載自
沒有留言:
張貼留言