我尝试在可用的DC里面添加账户，但DC不能添加帐户，错误提示：“Windows cannot create the object because the Directory Service was unable to allocate a relative identifier"。环境：两台DC (Windows server 2008R2),其中一台DC因硬件问题，已经无法使用。请问是因为什么原因？我该如何排错呢？谢谢。

回答：根据您的描述，在您域环境中有2台DC，其中一台DC因硬件问题已经Down掉，无法使用，您在另一台DC上添加用户时出现unable to allocate a relative identifier的错误。 根据错误信息，RID这个FSMO 角色很可能保留是在Down掉的那台DC上，这样您是无法新建用户的。请在能运行的那台DC上运行Netdom query FSMO命令确认一下FSMO角色是如何分配在这2台DC上的。 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

解释RID主控：在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

如果RID或者其他的几个FSMO角色都停留在Down的主机上，有2种方法来解决您的这个问题。

1.  尽量维修Down掉的那台DC，如果硬件确实无法修复，请问您那边是否有此DC的system backup,可以安装一台新服务器，使用系统备份来恢复此DC.
有关如何从系统备份中恢复DC,请参考How to Restore the System State on a Domain Controller of the "How To Use the Backup Program to Back Up and Restore the System State in Windows 2000"
http://support.microsoft.com/kb/240363 

2.  如果第一条无法实现，就需要在能运行的那台DC上去Seize RID等FSMO.有关如何Seize the FSMO,请参考如下文章：您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller
   http://support.microsoft.com/kb/255504 

   Seize the Operations Master Role
   http://technet.microsoft.com/en-us/library/cc816779(WS.10).aspx 

参考文章：
Operations master roles
http://technet.microsoft.com/en-us/library/cc773108(WS.10).aspx 

What to do with FSMO roles...
http://blogs.technet.com/b/bpuhl/archive/2005/12/07/415761.aspx

方美华 微软全球技术支持中心

不能添加域账户的相关文章请参考
windows 无法创建对象,因为:目录服务无法分配相对标识符

AD域活动目录角色的相关文章请参考
操作主机角色如何分配
额外域辅助域控制器无法和主域控制器进行同步
FSMO问题释疑|活动目录域ADFSMO操作主机角色

AD域活动目录恢复还原的相关文章请参考
ad域dc恢复还原
ad恢复还原
活动目录域备份恢复
活动目录恢复|活动目录域AD教程
Active Directory备份还原恢复
---gnaw0725

加入域后特别慢。在日常的加域操作中，我发现，256M的Windows XP SP3加域后，系统性能极度缓慢，无法忍受。通过查看进程，我发现Svchost.exe,Wuauclt.exe内存使用量非常之高。你们有什么建议？

回答：根据您的描述，我对这个问题的理解是：您的Windows XP SP3客户端加入域后性能缓慢。由于您的客户端的内存是256M，在加入域后，如果要执行更多的组策略或安装软件，我们推荐您使用更多的内存。因为这会导致客户端频繁使用页面文件，而导致性能大为降低。有关Svchost.exe和wuauclt.exe占用资源过多的问题，我们有如下建议：

1. 我们建议您可以安装Windows Update Agent version 3.0 客户端程序来修正之前版本中的一些问题。 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

您可以下载适合于您操作系统类型的安装文件，如下：
32位 系统 http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe

64位系统  http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x64.exe

Ia64位系统 http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-ia64.exe

请注意，安装时可能会提示您：“不需要安装此程序，因为自动更新代理已经安装”（Install is not needed since Windows Update Agent is already installed）

这样的话，请您用命令行安装，并在命令后加上/wuforce来强制安装：c:\WindowsUpdateAgent30-x86.exe /wuforce

2. 建议您可以关闭第三方的非微软程序和服务，重新启动，再看是否能提高性能。  您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

a. 点击开始菜单-运行
b. 输入msconfig，点击ok
c. 点击服务标签，选择下面的隐藏所有Microsoft服务，点击全部禁用
d.  点击启动标签，点击全部禁用。请记住c，d两个步骤中所禁用的服务和程序。
e. 重启。

3. 建议您可以对客户端进行一下杀毒。

经过咨询我们的wsus工程师，客户端每次开机因为需要应用组策略后，都会和wsus服务器同步检查一下自己需要打什么补丁。不管您服务器上wsus是怎么设置的。

同时，您wsus服务器上的策略设置，也可能影响客户端。比如如果您设置先下载，然后定时再打补丁，那么客户端会先逐渐下载补丁。

另外，你这个wuauclt.exe占用了多少内存？其他附近的物理内存较高的机器上，wuauclit.exe占用的内存数量是不是和这台机器差不多的？还是差了多少？因为Windows Update Agent version 3.0客户端程序改进了扫描的时间和性能，我想您可以试验安装一下，测试一下。

Lamb Shu

加入域后特别慢的相关文章请参考
什么是计算机域|如何将计算机加入域
Vista加入到域的debug问题排查
加域的过程
活动目录是可以跨网段的|活动目录端口
从工作组向域管理转型该如何设置？
---gnaw0725

不加入域不能访问域资源。能不能做到？客户机没有加入域，即使有域帐户和密码，也不能访问域中的资源（例如共享文件夹是可以通过拒绝访问权限来做，我希望基于计算机来做）。

回答：根据您的描述，我对这个问题的理解是：您想禁止用户从非域的计算机访问域内的资源，即使用户知道域账户密码。由于当计算机未加入域时，活动目录内是没有存储此计算机的对象的。 我们无法通过限制计算机的方式限制这些来在非域用户的访问。如果您需要禁止用户从非域的计算机访问域内的所有资源，我建议您可以尝试使用IP security来实现这个目的。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/ 

您可以在您的所有资源服务器上设置组策略，让客户端必须启用IP security、并使用Kerberos验证来访问服务器上的资源。这样，非域内计算机因为无法接受到策略，且无法进行Kerberos验证，就无法访问这些服务器资源了。

但是这个设置的影响是全局性，它将影响到所有的域资源访问，影响所有的计算机，而不是个别非域的计算机。我建议你在选择这个方案之前，进行一些必要的测试。 

您可以参考如下链接，来了解IP security是如何运行和配置的：

IPsec
http://technet.microsoft.com/en-us/network/bb531150.aspx 

Internet 协议安全 (IPSec)
http://technet.microsoft.com/zh-cn/library/cc783420(WS.10).aspx 

Step-by-Step Guide to Internet Protocol Security (IPSec)
http://technet.microsoft.com/en-us/library/bb742429.aspx 

Windows Server 2003 IPSec Concepts
http://technet.microsoft.com/en-us/library/cc779969(WS.10).aspx

创建和使用 IPSec 策略
http://technet.microsoft.com/zh-cn/library/cc730656(WS.10).aspx

如何使用 IPSec 阻止特定网络协议和端口
http://support.microsoft.com/kb/813878

如何： 使用 IPSec 策略来保护 Windows Server 2003 中的终端服务通信
http://support.microsoft.com/kb/816521/zh-cn

Lamb Shu

不加入域不能访问域资源的相关文章请参考
禁止未加入域电脑访问域资源|活动目录域外的用户不能访问域内怎么设置
阻止没有加入域的用户访问AD域
---gnaw0725

内外网域名选择，dns split。请教关于内外网域名选择的问题。查过一些微软的资料比较含糊，微软的说法为便于管理建议使用内部域名和公网域名不同的名称，但是我们的客户基本都是使用同名的方式。请帮忙列出各自具体的优缺点.

回答： 根据您的描述，我对这个问题的理解是：您想知道内网网域名应该如何选择以及各自的优缺点。为便于管理，我们一般推荐以下两种方式来命名内外网域名： 

方法1：设置内网域为外网域的一个子域
方法2：内网域和外网域使用不同的名字 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

参考文章：Creating Internal and External Domains
http://technet.microsoft.com/en-us/library/cc755946(WS.10).aspx

对于方法1，我们可以保证内外域的连续性。对于一个拥有众多子公司（子域）的大公司（父域），很显然这种命名方式可以极大地减轻管理员的负担，而且很容易扩展新的分支机构。

对于方法2，通过对内网域和外网域分别命名的方式，我们可以分别管理这两个域，并且这两个域互不影响。这个也很容易管理。

您提到，绝大多数客户使用相同命名的方式，但是这种方法确实会产生一些问题。比如说，客户的公司有一台网站服务器，如果内网用户尝试去访问该服务器上的某些站点，他们往往会被直接转到一个内网地址，因为DNS在解析这些站点时会首先检查内网域是否含有这些站点的记录。如果说客户要求的是访问该网站的外部地址，那么这个时候问题有出现了。要解决这个问题，我们需要内网域添加一条记录链接到外网地址，并使用外网域的DNS服务器对该条记录进行授权。从这个角度而言，相同的内网域命名确实会带来一些管理上的不便。

从安全角度来看，如果说内外域名相同，同样以上面网站服务器作为例子。如果这个网站服务器可以通过外网进行访问，我们事实上会将部分内域的名称信息同样也扩散给外界，这是极其危险的。如果您的内域信息被人截获，那么对于内部用户而言都是极大的威胁。或许您说我们可以配置相关防火墙策略来避免这个情况，但事实证明要配置这么一个防火墙往往会给日常的管理带来诸多不便，并且您可能需要经常修改一些防护墙策略来满足不同的需求。但是这些问题并不存在于我们推荐的两种命名方式上。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

Vernon Yu

内外网域名选择相关文章请参考 About domain naming strategies
dns的更多文章请参考 DNS服务器专题
---gnaw0725

利用AD部署打印机。客户当前活动目录为windows 2003的活动目录，如果我在活动目录部署2008的打印服务器，我需要做一些什么操作么？是否2003R2的打印机管理器就可以？

回答：据您的描述，我认为您想知道，在您目前的Windows server 2003域环境中，安装一台Windows Server 2008作为打印机服务器，您需要怎么去配置？

       您所说的“是否2003R2的打印机管理器就可以？”这句话，我不是很清楚是什么意思，我猜测您是不是在问：安装一台Windows Server 2008作为打印机服务器，是否如同 Windows server 2003 R2上安装打印机管理器那样操作就可以？您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

       没有什么特殊的操作，只需要将2008 服务器加入域，并安装“打印和文件服务”角色和“打印服务器”角色服务就可以了。值得注意的是，如果您想使用组策略来部署打印机，您的AD架构必须是Windows Server 2003 R2以上或者Windows Server 2008以上。

       Windows Server 2008的打印机服务器功能跟windows server 2003 R2上的类似，但新增了LPD 服务以支持基于 UNIX 的计算机或其他使用 Line Printer Remote (LPR) 服务的计算机来通过打印机服务器上的共享打印机进行打印。

具体的操作您可参考如下文章： 

部署打印机和打印服务器（Windows 7, Windows Server 2008 R2）
http://technet.microsoft.com/zh-cn/library/cc770760.aspx  

在 Active Directory 域服务中列出或删除打印机（Windows 7, Windows Server 2008 R2）
http://technet.microsoft.com/zh-cn/library/cc771349.aspx 

打印服务器角色：配置打印服务器(windows  server 2003 R2)
http://technet.microsoft.com/zh-cn/library/cc775791(WS.10).aspx

方美华 微软全球技术支持中心

AD部署打印机的相关文章请参考
网络打印机部署解决方案
组策略网络打印机
网络打印服务器安装配置
域中打印机共享添加
教程部署实施方案|分支机构分公司子域委派active directory

网络打印机的更多文章请参考 打印服务器专题
---gnaw0725

加域失败。加域时提示：不允许一个用户使用一个以上用户名与服务器或共享资源的多重连接。刚启动计算机，并未访问任何共享资源，请问怎么会出现这种情况？

回答：根据您的描述，我对这个问题的理解是：加域时出现错误“不允许一个用户使用一个以上用户名与服务器或共享资源的多重连接” 。我想提供如下建议，并收集一些信息，有一些截图和日志需要上传到工作区，工作区的链接在邮件的最后：

1. 有可能仍然存在一些自动的对共享资源的连接。比如，如果您这台计算机上映射了网络驱动器，并设置了登录时重新连接，则可能遇到这个问题。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

您也可以使用net use 命令，查看是否存在和其他共享资源的连接。请截图上传到工作区。如果有的话，您可以使用以下命令，删除这些连接： 命令：net use * /del /y

2. 在登录后且未做任何操作前，您也可以使用net session命令查看是否存在和其他计算机的通讯。请截图上传到工作区。

您可以使用 net session /delete 来删除已有的通讯。

----Lamb Shu

加入域的相关文章请参考
委派加入域
加入域自动添加描述
加入域提示找不到网络路径活动目录缺少dns记录
什么是计算机域|如何将计算机加入域
域用户把计算机加入域

加入域的更多文章请参考 活动目录加入域专题
---gnaw0725

多个域密码策略.在同一2003域中，是否支持多个密码策略？2008域是否支持？

回答：2003 不支持多元密码策略，他的OU上的密码策略只针对这个OU里面的计算机的本地用户，其他用户受到的密码策略的影响将是域根策略的密码策略影响。Windows 2008的密码支持多个密码策略，但是2008的密码针对的也不是OU，而是针对具体的对象，包括全局安全组和用户！

Windows 2008 的密码策略仅限于安全组和用户 因为他是针对对象的，OU的没有办法对应到域用户上，这个是可以肯定的。Windows 2008的多个密码策略使没有最高数量限制，但是优先级决定了密码的有效性！您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
--雾岛心情;

您想知道在Windows 2003网域中和Windows 2003是否支持多个密码策略？根据您的问题，我们分一下两种场景来讨论：场景一： 在Windows 2003网域中是否支持多个密码策略。场景二： 在Windows 2008网域中是否支持多个密码策略。 

场景一： 在Windows 2003网域中是否支持多个密码策略。

根据我的研究，在Windows 2003网域中，只能有一个密码策略，而且必须要将设置密码策略的组策略链接到在域功能级别上才会生效，默认的密码策略在Default Domain Policy中配置。为验证链接到OU的密码策略是否生效，我们可以用下面的方法来做个简单的测试：

a. 在域中新建一个含有密码策略的GPO，并链接到用于测试的客户端电脑所在的OU上。

b. 编辑新建的GPO，展开到“计算机配置”-> “Windows设置” -> “安全性设置” -> “账户策略” -> “密码策略”。

c. 在右边双击”密码必须符合复杂性要求”，选中“Disabled”后点确定，这样就取消了密码的复杂性要求。 然后双击”最小密码长度”,输入“3”后点确定（您可以输入其它数值，这里我们用3来做测试）。

d. 用有用管理员权限的账号登录测试电脑，点“开始”-> “运行”，输入“compmgmet.msc”后回车，打开“计算机管理”窗口。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

e. 点左面的“本地用户和组”，修改其中的本地用户的密码，您会发现密码可以设置为3位的且没有复杂性要求，这说明链接到该电脑所在的OU上的密码策略已经生效了。

这个测试也说明了，如果您在链接到OU上GPO设定中启用了密码策略，这个策略只会对OU中所包含的电脑的本地用户生效。总之，在Windows 2003网域中只能有一个域级别的密码策略，这个策略会对所有的域账号起作用。 

场景二： 在Windows 2008网域中是否支持多个密码策略。 

在Windows 2008网域中，是支持过个密码策略的。在 Windows 2008 网域中，我们可以使用严格的密码策略指定多个密码策略，并将不同的密码限制和帐户锁定策略应用到单个域中的不同用户集。例如，为了提高特权帐户的安全性，您可以将较严格的设置应用到特权帐户，而将不太严格的设置应用到其他用户的帐户。或者在某些情况下，您可能希望为其密码与其他数据源同步的帐户应用特殊密码策略，这些在Windows 2008网域中都是可以实现的。

 关于具体的实现方法，我们已经有很多非常详细的文章，请您参考下面的文章: 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

严格的密码和帐户锁定策略配置循序渐进指南
http://technet.microsoft.com/zh-cn/library/cc770842(WS.10).aspx 

Windows 域密码策略
http://technet.microsoft.com/zh-cn/magazine/2007.12.securitywatch.aspx 

AD DS：严格的密码策略
http://technet.microsoft.com/zh-cn/library/cc770394(WS.10).aspx

windows server 2008多元密码策略三部曲
http://conanhan.blog.51cto.com/728461/147157

Kevin Su

域密码策略的相关文章请参考
域密码
域密码修改通知
windows 2008 r2 AD密码策略
windows 2008密码策略
密码不符合系统密码复杂性策略
---gnaw0725

如何确认域是否被扩展。如何确认scheme扩展是否成功？2003的域环境，想安装Exchange2010。我想了解在什么地方能够确认林、域和架构已经被扩展过了。非常感谢

回答：根据您的描述，我了解到您想知道如何确认已完成Exchange2010的架构扩展。
根据我的经验，可以使用以下办法来检查Exchange2010架构是否扩展成功。
1、检查CN=<your organization>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<domain>的objectVersion属性是12639（Exchange 2010 RTM的值）您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

2、检查这些对象是否创建成功。
CN=Address Lists Container,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Addressing,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Administrative Groups,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Client Access,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Connections,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=ELC Folders Container,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=ELC Mailbox Policies,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Global Settings,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Mobile Mailbox Policies,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Recipient Policies,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=System Policies,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=Transport Settings,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=UM AutoAttendant,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=UM DialPlan,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=UM IPGateway Container,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
CN=UM Mailbox Policies,CN=<Organization Name>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
此外，我提供一些链接以供您参考。
Prepare Active Directory and Domains: Exchange 2010 Help
http://technet.microsoft.com/en-us/library/bb125224.aspx

微软全球技术支持中心

AD恢复删除帐号。公司AD WIN2003,有个域帐号不慎删除，我做了域的系统状态备份，如果我只是想恢复该帐号，而不想通过备份的系统状态恢复整个域数据，（因为整个域恢复，可能又会导致更多的问题），不知道是否可以做到，如可以，如何做呢？多谢！

回答：根据您的描述，我对这个问题的理解是：在您的Windows Server 2003域中，您想恢复不慎删除的域账号 。对于您的问题，我们可以使用授权还原来实现。授权还原主要就是拿来做类似于恢复不慎删除的账号的操作。您所指的恢复整个域数据的还原，我们称之为非授权还原。关于授权还原和非授权还原的具体信息，请您参考以下文章（英文）：
http://technet.microsoft.com/en-us/library/cc779573(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc784922(WS.10).aspx

要恢复一个被删除的用户，我们可以使用以下的KB文章：
如何在 Active Directory 中还原已删除的用户帐户及其组成员身份
http://support.microsoft.com/kb/840001/zh-cn

您可以使用文章中的方法2或者方法3来进行授权还原。从文章中看可能步骤比较复杂，在这里我列出简单的步骤供您参考：
1. 找到有最近系统备份的域控，将AD复制停止。
2. 在这台域控上，启动到AD恢复模式。然后进行一次非授权还原。
3. 不要关机或者重启计算机。在AD恢复模式下使用ntdsutil命令将被删除的账户恢复。

4. 完成后重启计算机，然后开启AD复制。
5. 检查该账户是否被复制到了其他的域控上。
6. 将该账户加入正确的组中。

由于AD复制时比较重要的操作，如果出问题的话可能会将其他域控上的新数据覆盖。我们建议您先在虚拟机上进行模拟操作，对授权还原熟悉后再在您的真实环境中将账户还原。

邵宏 微软全球技术支持中心

AD恢复删除帐号的相关文章请参考
恢复删除的域帐户
域账户恢复删除
还原AD帐号
AD域账户删除记录追查

如何恢复刚刚被误删除的对象
活动目录备份与恢复
---gnaw0725

组策略不同步的解决方法。AD活动目录为windows 2003 纯模式，SYSVOL 目录正常共享，问题出在两台AD组策略不同步，在A建立的组策略无法复制到B上。尝试了修改NTFRS的BFLAG值为D2，重启NTFRS与NETLOGON 服务后策略复制正常。但是出现了新的问题：

   在SYSVOL的目录出现了多个Policy_ntfrs_xxxx这样的文件夹，在TECHNET 搜索了一个解决方式，但是不是太理解里面的内容。能否协助帮忙看下，

回答：根据您的描述，我对这个问题的理解是：在在SYSVOL的目录出现了多个Policy_ntfrs_xxxx这样的文件夹。文档中的描述是说该问题的出现是由于两个相同的文件名称出现在FRS的复制伙伴上，这样FRS的复制导致了冲突。此时系统会仍未其中一个文件夹为最高的优先级，那么其他的文件夹就会被命名为Policy_ntfrs_xxxx的形式。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

您可以通过下面的方法解决该问题：

1.  将原来的文件名称如Policy（就是没有_ntfrs_xxxx的）更改为一个临时的不同的名称如Policy1。然后等待新的名称复制到整个系统中
注意：不要删除Policy_ntfrs_xxxx的文件然后重命名源文件。这样会导致更多名称冲突

2.  当临时命名的文件Policy1复制完毕，您可以在源文件Policy1和带有Policy_ntfrs_xxxx的文件中选择一个，然后将其该文原来初始的文件名Policy。完成之后，您就可以安全的将另外一个文件删除掉了。
注意：在您删除任何文件夹之前，建议您最好对文件夹中的数据做一个完全备份。

我举的例子是哪两个有冲突的文件做例子的，因为在domain中的组则略复制的文件夹名称都为Policy，当系统检测到不同的GUID创建的这个文件夹时，就会产生该问题。因此产生多个Policy_ntfrs_xxxx文件夹很正常。简单的说就是当系统检测到不同用户创建的冲突名称的FRS复制文件时，就会创建一个新的Policy_ntfrs_xxxx文件夹。 

也不是每次修改注册表为D4都会出现该情况，如KB中说的一样，只有

1.  在授权性还原后没有在成员DC上重启NTFRS service
2.  个别的DC上没有设置D2的还原

您的理解是正确的。每个DC都需要更改键值并重启服务。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
详情见 http://support.microsoft.com/kb/290762

Jason Hou MCSE 2003+Security

组策略的更多文章请参考 组策略group policy专题
---gnaw0725

AD的时间怎样和Internet北京时间同步。WIN2003 的AD没有和Internet时间同步选项，AD服务器的时间老是会比正常的时间快，这是为什么，要怎样改或自动与Internet同步

回答：根据您的描述，我的理解是您希望得知如何使PDC和外部的时间服务器同步的信息。根据现有的信息我们还无法分辨出AD服务器的时间老是会比正常的时间快的原因。其中的一种可能的原因是您将PDC置于hyper-V虚拟机上，因为虚拟机会和宿主主机同步时间，因而可能会导致这个时间快的问题。

我们可以让PDC域外部的时间服务器（设备）同步，从而达到与北京时间同步的目的（当然了，这个外部的时间服务器需要和北京时间同步）。您可以参考如下的步骤：您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

1． 如果PDC是基于Hyper-V的虚拟机，请您首先停止Hyper-V中的时间同步功能。
2． 使用管理员账户登录到PDC。
3． 打开注册表编辑器。

4． 定位到键值HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
5． 修改值NtpServer的值，使其指向一个受信的互联网时间源，例如time.windows.com，同时指定同步的数据包类型为0x1, 即修改后的值为time.windows.com, 0x1
6． 修改值Type的值,将其更改为NTP

7． 定位到键值HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config
8． 修改值AnnounceFlags的值,将其更改为5。
9． 运行如下的命令重新启动W32TIME服务：net stop w32time 以及net start w32time您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

事实上，当我们使用BIOS/COMS的时钟来做时间源的时候，确实会出现时间或快或慢的问题，这种情况发生的原因可能是因为主板电池的电量不足。通常情况下，我们可以通过将系统时间与外部时间源进行同步。

除了在上一篇回复中提供的方法，我们也可以参考KB816042提供的方法来配置PDC，使其与外部的时间源同步。

How to configure an authoritative time server in Windows Server
http://support.microsoft.com/kb/816042

Alex Yu

AD时间同步的相关文章请参考
时间同步
时间同步导致DC拒绝机器登录
AD同步|站点时间同步
windows域时间同步
windows 2003 time 服务有什么用处
域里面的客户机电脑计算机时间不准|活动目录域AD时间同步
---gnaw0725

活动目录元数据清除。活动目录删除域控制器。在父子域的环境中，如果其中的一个子域的域控制器在没有通过正常退域的情况下进行了强制退出，需要在AD中进行那些方面的数据清除才能完全将子域的信息完全清除？请给出具体信息？

回答：根据您的描述，我的理解是您希望获得关于如何清除活动目录元数据的信息。因为我们的环境是父子域环境，根据您提供的信息，我们希望的是在父域上将子域的信息完全移除，即清除父域中存储的子域的元数据。我们可以使用如下步骤来实现这一目标：您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

1. 请检查确认子域的所有服务器是否都已降级。
2. 单击开始，指向程序，指向附件，然后单击命令提示符。
3. 在命令提示符下，键入： ntdsutil。
4. 键入： metadata cleanup，然后按 ENTER 键。
5. 键入：connections，然后按 ENTER 键。此菜单用来连接到将在其上发生这些更改的具体的服务器。如果当前登录的用户不是 Enterprise Admins 组的成员，那么可通过在进行连接前指定要用的凭据来提供备用凭据。为此，请键入： set creds domain user password，然后按 ENTER 键。对于空密码，请键入： null 作为密码参数值。

6. 键入：connect to server ServerName（其中服务器名 是担任“域命名主机 FSMO”角色的域控制器的名称），然后按 ENTER 键。您会收到一条说明该连接已成功建立的确认消息。如果出现错误，则请确认连接中所用的域控制器是否可用而且您提供的凭据是否有对该服务器的管理权限。
7. 键入：quit，然后按 ENTER 键。Metadata Cleanup（元数据清除）菜单将显示出来。
8. 键入：select operation target，然后按 ENTER 键。
9. 键入：list domains，然后按 ENTER 键。将显示一个列出林中所有域的列表，每一个域都有一个关联的编号。
10. 键入：select domain 编号，然后按 ENTER 键，其中编号 是与要删除的域关联的编号。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

11. 键入：quit，然后按 ENTER 键。Metadata Cleanup（元数据清除）菜单将显示出来。
12. 键入：remove selected domain，然后按 ENTER 键。您会收到一条说明删除成功的确认消息。
13. 在每个菜单键入：quit 以退出 NTDSUTIL 工具。您会收到一条说明连接已成功断开的确认消息。

有关从想要清除的域中删除域控制器的其他信息， 请您参考这篇文章：
域控制器降级失败后如何删除 Active Directory 中的数据
http://support.microsoft.com/kb/216498/zh-cn

Alex Yu

清除元数据的相关文章请参考
Windows 2003 AD
AD恢复|DC恢复镜像
删除域
如何删除AD域控制器DC
手动删除域控制器

----gnaw0725