令人沮丧的 AD 问题

首先，术语问题：Active Directory 中没有“主服务器”。 “PDC 仿真器” FSMO 角色持有者与时间同步、NT 4.0 兼容性以及某些特定的用户密码验证行为有关。 PDC 仿真器 FSMO 角色持有者上的 AD 数据库在其他方面并不特殊，它是某种神奇的“主”副本。

您的错误是恢复了故障 DC 的备份，因为您还有其他 DC。正如其他发帖者指出的那样，正确的策略应该是将故障 DC 所拥有的 FSMO 角色转移到正常工作的 DC，执行元数据清理以从目录中删除故障 DC，然后启动与故障 DC 同名的新机器。（如果故障 DC 正在执行其他操作 - 文件和打印共享等，那么您也必须重建它。这也是 Microsoft 不建议将 DC 用于其他角色的另一个原因...）

您没有连接问题。相反，您违反了有关墓碑的规则，因为您执行了必须是权威性的备份还原，而这个备份太旧了。现在您遇到了 RID 池分配问题。

不用说，在做其他事情之前，你需要先整理好备份。在整理好之前，也不要覆盖任何旧备份。你可能需要它们。

我会将 FSMO 角色从故障 DC 转移出去，然后将其降级为成员服务器计算机。如果降级不彻底，则将 FSMO 角色转移到另一个 DC，强制降级故障 DC，执行元数据清理，然后在故障 DC 上重新安装操作系统（执行此操作时，您可以保持其上的所有数据文件/文件夹完好无损，但您必须重新安装所有应用程序）。

在重新升级故障 DC 之前，请先解决其他 DC 之间的复制问题。如有必要，请降级其中一个 DC，以便最终只有一个 DC 拥有所有 FSMO 角色。

我有点担心您的 RID 池主机已经“回到过去”并可能开始发布已经发布的 RID。我从未见过 AD 的源代码，我不知道它是否有任何机制来“检测”RID 池主机是否已回到过去。我记得一个客户问题就带有这样的问题（恢复了旧的 RID 池主机备份，发现当他们将来创建新的用户帐户时，现有用户帐户将从 AD 中“消失”），所以这是可能的。

墓碑寿命是指已删除项目保留的时间，一旦服务器离线或从此之前的时间恢复备份，域的其余部分将拒绝复制到它。

我有点困惑，您是否有 3 个 DC 或 2 个以太网方式，任何站点中的任何用户都可以使用其域凭据登录？坏的 DC 是拥有所有 FSMO 角色的 DC 吗？

快速的答案是尝试正常降级 BAD DC 并为该站点配置一个新的 DC。

这可不是什么好事。默认情况下，计算机帐户密码的有效期只有 30 天，因此您恢复的 3 个月前的密码意味着您的计算机帐户已经完全失灵。这至少解释了您所看到的部分症状。

你也已经超过了墓碑寿命（60 天），理查德·D已覆盖。

我建议您在继续之前阅读以下有关备份和恢复过程的一些很好的一般信息：点击的。

好的，深呼吸。

最好的情况是，如果您有其他 DC 之一的良好近期备份（我所说的近期是指上周内）。即使是来自其他站点的备份也可以。关闭刚刚恢复的 DC，使用 NTDSUTIL 将其从域中强制删除（以确保在正常降级期间不会复制任何不良情况），将其从网络中拔出，然后重新安装 Windows，以防万一您不会意外将其重新打开。然后从良好备份中恢复其他 DC，并在需要时获取 FSMO 角色。最后从头开始重新加入不良 DC（dcpromo，“现有域中的新域控制器”等）。让一切复制，您应该会很好。

最糟糕的情况是你没有好的备份，但我们先不要去那里，嗯。:)

我会从另一个 DC 夺取 FSMO 角色，并在发生故障的 DC 所在的站点中启用一个名称不同的新 DC。我唯一会使用系统状态来恢复 AD 的情况是，如果我没有另一个 DC。如果从过时的系统状态备份执行权威性恢复，这会带来更难以解决的问题。这不会帮助你，但可能会对阅读本文的其他人有所帮助。抱歉。

使用 Ntdsutil.exe 将 FSMO 角色转移或夺取到域控制器

http://support.microsoft.com/kb/255504