與操作主機相關的故障

在實際的工作中，有時會遇到和操作主機角色有關的問題。因為有些操作需要在一臺域控上進行，但是可以根據(jù)實際需要來轉移其位置。在切換域控時（例如更換域控等），必然要將其所承擔的操作主機角色轉移到其他的域控上，才能讓該機退出域環(huán)境。對于全局編錄服務器來說，處理方法是一樣的。如果之前的操作主機處于可用狀態(tài)，可以采用在線轉移的方式，來執(zhí)行轉換操作。如果已經(jīng)不可用的話，就需要使用強制轉移。

在Active Directory用戶和計算機窗口左側的“Active Directory用戶和計算機”項，在右鍵菜單上點擊“連接到域控制器”項，選擇目標域控。在左側選擇域名項，在右鍵菜單上點擊“操作主機”項，在打開窗口中的“PDC”等面板上點擊“更改”按鈕，即可將操作主機更改到該目標主機上。當然，也可以在命令行下執(zhí)行上述轉移操作。執(zhí)行“ntdsutil”命令，依次執(zhí)行“roles”、“connections”、“connect to xxx”、“quit”等命令，連接到目標主機，其中的“xxx”為目標主機的完整名稱或IP。如果該機處于可用狀態(tài)，可以執(zhí)行“transfer PDC”命令，確定后執(zhí)行轉移操作。

如果原域控已經(jīng)損壞，可以執(zhí)行強制奪取操作，先按照上述方法連接到目標域控上，執(zhí)行“seize schema master”、“seize naming master”、“seize pdc”、“seize rid master”、“seize infrastructure master”等命令，來奪取架構主機、域命名服務器、PDC、RID、結構主機等角色。

和活動目錄相關的故障有很多，不過一般說來，其大體上包括以下類型。

其一是和網(wǎng)絡相關的配置引起的，例如因為網(wǎng)絡連接不可靠，造成各種奇怪的故障。使用Ipconfig、Ping、Net.exe、Netdiag.exe等工具，來測試和診斷網(wǎng)絡連接問題。即使網(wǎng)絡從表面看上去不存在連通性的問題，但實際上存在由各種原因引起的丟包問題，就會造成活動目錄數(shù)據(jù)庫復制失敗的情況發(fā)生。

例如，有時為了安全起見，管理員將域控防止到受到防火墻保護區(qū)域中，通過NAT轉發(fā)和客戶機通訊的話。如果防火墻僅僅轉換了IP包頭中的IP，沒有轉換NetBios中的數(shù)據(jù)包頭中的源IP地址的話，就會出現(xiàn)客戶端無法登錄的情況。所以防火墻必須支持上述功能。

二是和活動目錄有關的支撐服務（例如DNS服務、PRC、SMTP服務等）出現(xiàn)問題導致的。因為域控之間進行復制，必須使用Kerberos進行身份驗證之后才可以順利進行。如果該身份驗證服務沒有開啟，或者在防火墻上關閉了kerberos身份驗證所需的端口（UCP/TCP 88），都會造成復制失敗。在域控之間是通過LDAP輕型目錄訪問協(xié)議進行通訊的，在防火墻必須打開LDAP所需的端口（UDP/TCP 389或者UCP/TCP636）。 在域控之間的復制，可能采用的是文件復制服務或者分布式文件系統(tǒng)復制，因此在域控上必須允許或者開啟這些服務，在防火墻也必須開啟TCP 53、445、3268、3269 等與AD復制相關的端口。

其三是由于活動目錄數(shù)據(jù)庫復制的問題（例如復制的不完整，沒有及時復制等），導致AD運行出現(xiàn)異常。在Windows Server 2008之前，域控之間的數(shù)據(jù)復制是不支持DFS分布式文件復制的，在之后的版本中使用FRS或DFSR在域控之間復制SYSVOL目 錄。FRS或DFSR需要在域控之間使用LDAP和RPC連接。對應的使用Ntfrsutil和FRSDiag命令，來排查FRS復制故障。使用DFSRAdmin命令，來排查DFRS復制故障。如果域控本身配置存在問題，例如開啟了防火墻軟件，出于優(yōu)化和安全目的關閉了一些服務，關閉了共享項目等，也會造成AD運行出現(xiàn)問題。

當然，因為域控本身性能下降，也會導致其運行出現(xiàn)故障。例如，域控的CPU使用率過高、內存和磁盤IO占用率過高、網(wǎng)絡帶寬占用率過高等原因，造成域控性能下降，無法正常為外部服務。解決的方法是，找出并關閉CPU占用率過高的進程，使用資源監(jiān)視器來發(fā)現(xiàn)哪些程序消耗了過高的帶寬并及時將其關停。將過多的應用程序移動到其他的服務器上運行，在多臺服務器上分布安裝AD DS和DNS服務，將域控的運行負荷降低，使其可以高效運行。