与操作主机相关的故障

在实际的工作中，有时会遇到和操作主机角色有关的问题。因为有些操作需要在一台域控上进行，但是可以根据实际需要来转移其位置。在切换域控时（例如更换域控等），必然要将其所承担的操作主机角色转移到其他的域控上，才能让该机退出域环境。对于全局编录服务器来说，处理方法是一样的。如果之前的操作主机处于可用状态，可以采用在线转移的方式，来执行转换操作。如果已经不可用的话，就需要使用强制转移。

在Active Directory用户和计算机窗口左侧的“Active Directory用户和计算机”项，在右键菜单上点击“连接到域控制器”项，选择目标域控。在左侧选择域名项，在右键菜单上点击“操作主机”项，在打开窗口中的“PDC”等面板上点击“更改”按钮，即可将操作主机更改到该目标主机上。当然，也可以在命令行下执行上述转移操作。执行“ntdsutil”命令，依次执行“roles”、“connections”、“connect to xxx”、“quit”等命令，连接到目标主机，其中的“xxx”为目标主机的完整名称或IP。如果该机处于可用状态，可以执行“transfer PDC”命令，确定后执行转移操作。

如果原域控已经损坏，可以执行强制夺取操作，先按照上述方法连接到目标域控上，执行“seize schema master”、“seize naming master”、“seize pdc”、“seize rid master”、“seize infrastructure master”等命令，来夺取架构主机、域命名服务器、PDC、RID、结构主机等角色。

和活动目录相关的故障有很多，不过一般说来，其大体上包括以下类型。

其一是和网络相关的配置引起的，例如因为网络连接不可靠，造成各种奇怪的故障。使用Ipconfig、Ping、Net.exe、Netdiag.exe等工具，来测试和诊断网络连接问题。即使网络从表面看上去不存在连通性的问题，但实际上存在由各种原因引起的丢包问题，就会造成活动目录数据库复制失败的情况发生。

例如，有时为了安全起见，管理员将域控防止到受到防火墙保护区域中，通过NAT转发和客户机通讯的话。如果防火墙仅仅转换了IP包头中的IP，没有转换NetBios中的数据包头中的源IP地址的话，就会出现客户端无法登录的情况。所以防火墙必须支持上述功能。

二是和活动目录有关的支撑服务（例如DNS服务、PRC、SMTP服务等）出现问题导致的。因为域控之间进行复制，必须使用Kerberos进行身份验证之后才可以顺利进行。如果该身份验证服务没有开启，或者在防火墙上关闭了kerberos身份验证所需的端口（UCP/TCP 88），都会造成复制失败。在域控之间是通过LDAP轻型目录访问协议进行通讯的，在防火墙必须打开LDAP所需的端口（UDP/TCP 389或者UCP/TCP636）。 在域控之间的复制，可能采用的是文件复制服务或者分布式文件系统复制，因此在域控上必须允许或者开启这些服务，在防火墙也必须开启TCP 53、445、3268、3269 等与AD复制相关的端口。

其三是由于活动目录数据库复制的问题（例如复制的不完整，没有及时复制等），导致AD运行出现异常。在Windows Server 2008之前，域控之间的数据复制是不支持DFS分布式文件复制的，在之后的版本中使用FRS或DFSR在域控之间复制SYSVOL目 录。FRS或DFSR需要在域控之间使用LDAP和RPC连接。对应的使用Ntfrsutil和FRSDiag命令，来排查FRS复制故障。使用DFSRAdmin命令，来排查DFRS复制故障。如果域控本身配置存在问题，例如开启了防火墙软件，出于优化和安全目的关闭了一些服务，关闭了共享项目等，也会造成AD运行出现问题。

当然，因为域控本身性能下降，也会导致其运行出现故障。例如，域控的CPU使用率过高、内存和磁盘IO占用率过高、网络带宽占用率过高等原因，造成域控性能下降，无法正常为外部服务。解决的方法是，找出并关闭CPU占用率过高的进程，使用资源监视器来发现哪些程序消耗了过高的带宽并及时将其关停。将过多的应用程序移动到其他的服务器上运行，在多台服务器上分布安装AD DS和DNS服务，将域控的运行负荷降低，使其可以高效运行。