这几天，我们总在为AD的几个小问题所困扰，按照习惯介绍系统结构。首先，公司是单域环境。内部有一台GC（windows2008企业版），并且同时启用一台台式机作为额外域控（windows2008标准版）。另外，公司使用一台64位的服务器安装exchange2007(平台为windows2008企业版64bit)作为邮件服务器。但是，由于安装人员在搭建邮件系统时，不知出现何种错误导致邮件服务器上的AD竟然无法使用，在我将报错提示，发邮件到微软的一位解决方案部专家咨询，也建议我打微软的客服电话咨询。所以现在域内只有两台GC在工作。
问题出现的原因，上周为一位公司合作伙伴设立邮箱时，用户有以下要求。邮箱用户名中间加“.”而用户登录用户却不用加“.”。当然，在我看来这完全是不合理要求，因为邮箱的身份认证和AD是集成的没有必要设计这么一个如此怪异的帐号。为了满足用户的要求，便为该用户添加了一个含“.”的接受域，并设为默认接受域。原本操作是很简单但是，此时问题终于出现了，在更改用户密码后，以前使用过的密码均能够登陆帐户。当然，此前AD已经出现过相似的问题。就是邮件用户的身份验证，总是依靠台式机的那台额外域控来进行身份验证。其实这个问题很容易解决。因为如果两台DC无法同步数据，有可能时间差多余5分钟（PDC仿真器）
域成员更改密码后，依然能使用原有密码登陆。有可能是由于多台DC造成的数据同步未完成（实际上是密码更改是由PDC仿真器来完成的）。如果想更改访问的顺序功能更改优先级或权重才能改变访问顺序。如何更改PDC的访问优先级在SRV纪录的KERBORS里更改（优先级小的优先访问，权重高的优先访问）。但重启NETLOGO或计算机更改失效可以更改注册表实现：
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NETLOGO\PARAMETERS下建两个DWORD值ldapsrvpriority（优先级）
ldapsrvweight（权重）
以上两个值可根据域内其他PDC仿真主机的值来定。
优先级越小，越先访问。
权重越大，越先访问。
最后重启netlogo服务
要想实现PDC仿真主机的负荷调整，以上两个值就必须相应的变大或变小。

具体方法如下：
方法一，赶紧找一台机器转移森林级操作主机（当然此时那台唯一的GC还能保证工作正常）
来转移操作主机角色（常用作GC角色降级或性能下降时使用）：
（方法1）使用ntdsutil命令行实现
在命令提示符下输入：ntdsutil——roles——connections to server 你要转移的目的地域控制器FQDN——quit
transfer **** (具体转移对象名称可通过？查看)
最后通过netdom query fsmo /domain 本地的域控FQDN查看角色是否已经转移
（方法2）图形化界面
打开活动目录用户和计算机，单击右键可以实现域级别的三个操作主机的角色转换。
但是，架构主机通过这种方法是无法查看的。必须在命令提示符下输入“regsvr schmmgmt.dll”来注册一个动态连接库，然后再在控制台添加schema单元，通过图像化界面来转移角色。当然在这个控制台也可以进行对scheme的更改。
域命名主控需要在域和信任的操作主机中找到，并通过图形化界面实现角色转移。
当然保证我们的域内GC的高可用性及安全还是要通过添加额外域控来实现。
如果这台唯一的GC已不能正常工作了只好进行抢占操作主控（操作主机宕机已不能恢复当然数据会丢失，故不建议使用）：
ntdsutil
roles
connection to server 进行抢夺的操作主机FQDN
quit
seize 抢夺的操作主机
这样才能保证域内的有一台GC在工作，但是此时原有的AD中的数据已不完整，如果域内再有一台exchange服务器的话，哈哈，后果我就不说了。所以，我建议千万要做好GC的备份。千万千万！