在實際的工作中，有時會遇到和操作主機(jī)角色有關(guān)的問題。因為有些操作需要在一臺域控上進(jìn)行，但是可以根據(jù)實際需要來轉(zhuǎn)移其位置。在切換域控時（例如更換域控等），必然要將其所承擔(dān)的操作主機(jī)角色轉(zhuǎn)移到其他的域控上，才能讓該機(jī)退出域環(huán)境。對于全局編錄服務(wù)器來說，處理方法是一樣的。如果之前的操作主機(jī)處于可用狀態(tài)，可以采用在線轉(zhuǎn)移的方式，來執(zhí)行轉(zhuǎn)換操作。如果已經(jīng)不可用的話，就需要使用強(qiáng)制轉(zhuǎn)移。

在Active Directory用戶和計算機(jī)窗口左側(cè)的“Active Directory用戶和計算機(jī)”項，在右鍵菜單上點擊“連接到域控制器”項，選擇目標(biāo)域控。在左側(cè)選擇域名項，在右鍵菜單上點擊“操作主機(jī)”項，在打開窗口中的“PDC”等面板上點擊“更改”按鈕，即可將操作主機(jī)更改到該目標(biāo)主機(jī)上。當(dāng)然，也可以在命令行下執(zhí)行上述轉(zhuǎn)移操作。執(zhí)行“ntdsutil”命令，依次執(zhí)行“roles”、“connections”、“connect to xxx”、“quit”等命令，連接到目標(biāo)主機(jī)，其中的“xxx”為目標(biāo)主機(jī)的完整名稱或IP。如果該機(jī)處于可用狀態(tài)，可以執(zhí)行“transfer PDC”命令，確定后執(zhí)行轉(zhuǎn)移操作。

如果原域控已經(jīng)損壞，可以執(zhí)行強(qiáng)制奪取操作，先按照上述方法連接到目標(biāo)域控上，執(zhí)行“seize schema master”、“seize naming master”、“seize pdc”、“seize rid master”、“seize infrastructure master”等命令，來奪取架構(gòu)主機(jī)、域命名服務(wù)器、PDC、RID、結(jié)構(gòu)主機(jī)等角色。

和活動目錄相關(guān)的故障有很多，不過一般說來，其大體上包括以下類型。

其一是和網(wǎng)絡(luò)相關(guān)的配置引起的，例如因為網(wǎng)絡(luò)連接不可靠，造成各種奇怪的故障。使用Ipconfig、Ping、Net.exe、Netdiag.exe等工具，來測試和診斷網(wǎng)絡(luò)連接問題。即使網(wǎng)絡(luò)從表面看上去不存在連通性的問題，但實際上存在由各種原因引起的丟包問題，就會造成活動目錄數(shù)據(jù)庫復(fù)制失敗的情況發(fā)生。

例如，有時為了安全起見，管理員將域控防止到受到防火墻保護(hù)區(qū)域中，通過NAT轉(zhuǎn)發(fā)和客戶機(jī)通訊的話。如果防火墻僅僅轉(zhuǎn)換了IP包頭中的IP，沒有轉(zhuǎn)換NetBios中的數(shù)據(jù)包頭中的源IP地址的話，就會出現(xiàn)客戶端無法登錄的情況。所以防火墻必須支持上述功能。

二是和活動目錄有關(guān)的支撐服務(wù)（例如DNS服務(wù)、PRC、SMTP服務(wù)等）出現(xiàn)問題導(dǎo)致的。因為域控之間進(jìn)行復(fù)制，必須使用Kerberos進(jìn)行身份驗證之后才可以順利進(jìn)行。如果該身份驗證服務(wù)沒有開啟，或者在防火墻上關(guān)閉了kerberos身份驗證所需的端口（UCP/TCP 88），都會造成復(fù)制失敗。在域控之間是通過LDAP輕型目錄訪問協(xié)議進(jìn)行通訊的，在防火墻必須打開LDAP所需的端口（UDP/TCP 389或者UCP/TCP636）。 在域控之間的復(fù)制，可能采用的是文件復(fù)制服務(wù)或者分布式文件系統(tǒng)復(fù)制，因此在域控上必須允許或者開啟這些服務(wù)，在防火墻也必須開啟TCP 53、445、3268、3269 等與AD復(fù)制相關(guān)的端口。

其三是由于活動目錄數(shù)據(jù)庫復(fù)制的問題（例如復(fù)制的不完整，沒有及時復(fù)制等），導(dǎo)致AD運(yùn)行出現(xiàn)異常。在Windows Server 2008之前，域控之間的數(shù)據(jù)復(fù)制是不支持DFS分布式文件復(fù)制的，在之后的版本中使用FRS或DFSR在域控之間復(fù)制SYSVOL目 錄。FRS或DFSR需要在域控之間使用LDAP和RPC連接。對應(yīng)的使用Ntfrsutil和FRSDiag命令，來排查FRS復(fù)制故障。使用DFSRAdmin命令，來排查DFRS復(fù)制故障。如果域控本身配置存在問題，例如開啟了防火墻軟件，出于優(yōu)化和安全目的關(guān)閉了一些服務(wù)，關(guān)閉了共享項目等，也會造成AD運(yùn)行出現(xiàn)問題。

當(dāng)然，因為域控本身性能下降，也會導(dǎo)致其運(yùn)行出現(xiàn)故障。例如，域控的CPU使用率過高、內(nèi)存和磁盤IO占用率過高、網(wǎng)絡(luò)帶寬占用率過高等原因，造成域控性能下降，無法正常為外部服務(wù)。解決的方法是，找出并關(guān)閉CPU占用率過高的進(jìn)程，使用資源監(jiān)視器來發(fā)現(xiàn)哪些程序消耗了過高的帶寬并及時將其關(guān)停。將過多的應(yīng)用程序移動到其他的服務(wù)器上運(yùn)行，在多臺服務(wù)器上分布安裝AD DS和DNS服務(wù)，將域控的運(yùn)行負(fù)荷降低，使其可以高效運(yùn)行。