试验:DNS重建+Active Directory灾难恢复
 
网络拓扑:
 
内网有 3 台域控制器,分别为一台为主域控制器,其余二台是额外域控制器 ,DNS 服务器是在主域控制器上,现在主域控制器与其他二台额外域控制器连接不上。如图DNS重建+Active Directory灾难恢复_第1张图片
试验1 DNS重建
 
思路:由于DNS上存有域控制器的主机名称,IP地址及所扮演的角色等数据,所以在转移操作主机前,要重建DNS,添加主机记录,把剩余两台域控制器的NETLOGON.DNS文件内的DNS备份复制到新建的DNS文件中(要先停止DNS,在保存修改的内容)。
 
过程: 因原 DNS 服务器已丢失,所以可以在 FLORENCE PERTH 中任选一台 DC 作为 DNS 服务器,这里我选用 florence 作为 DNS 服务器。(在这里注意把设置 ip 里的 DNS 指向 florence IP
1.
安装 DNS ,在开始 -- 设置 -- 控制面板里打开添加或删除程序 -- 添加 windows 组件 -- windows 组件向导中选择网络服务,在网络服务中选择域名系统 DNS
DNS重建+Active Directory灾难恢复_第2张图片
点确定 ---- 下一步 即安装。(在安装过程中会提示需要系统盘上的文件,所以提前准备哦)
DNS重建+Active Directory灾难恢复_第3张图片
2.恢复DNS,点击开始---程序---管理工具---DNS,打开DNS服务器,然后新建区域
DNS重建+Active Directory灾难恢复_第4张图片
DNS重建+Active Directory灾难恢复_第5张图片
在这注意在最末行我们看见了一项默认打钩的“在AD中存储区域”的选项,我们需要去掉这个钩后在点击下一步,因为待会儿重建DNS需要区域文件,我们去掉这个钩,区域文件将存贮在本地计算机,方便随后的重建操作。如图
DNS重建+Active Directory灾难恢复_第6张图片
我们去掉这个钩,然后继续下一步进行配置,出现定义区域名称向导界面,我们输入实验域名sttest.com然后点击下一步,出现下图提示
DNS重建+Active Directory灾难恢复_第7张图片
问打算将 sttest.com 的区域文件怎样命名并存贮与哪里,(如果之前 DNS 服务器完好,我们可以选择使用此现存文件,然后挂入之前的区域文件即可),这里由于 DNS AD 安装在一台 PC 上,而这台 PC 以连接不上,故选择新建区域文件,同时为方便记忆,我们选择默认的区域文件名称,确认无误后点击下一步。
DNS重建+Active Directory灾难恢复_第8张图片
这时,向导出现了提示是否允许动态更新的界面,这是关键的一步,我们要想让 AD 复制拓扑正常,一定要选用允许动态更新,因为只有允许了动态更新, AD 之间数据的变化才能及时传递给对方,所以我们在此项一定要选用:允许安全和非安全动态更新,然后我们点击下一步,确认无误后,完成安装。在向 DNS 区域文件中导入各域控制器的 Netlogon.dns 记录
由于之前 DNS  文件的丢失,要重建 DNS 服务器,必须要向 DNS 区域文件中导入各域控制器中 Netlogon.dns 中的 SRV 记录、 Cname 记录、 A 记录和 NS 记录,进行导入。
步骤:
首先在 DNS 服务器 Florence 中添加一条 Perth A 记录,并指明 Perth IP 地址: 192.168.11.6 输入确认无误后点击添加主机。如图
DNS重建+Active Directory灾难恢复_第9张图片
二.添加个域NETLOGON中的各项记录
Florence上开始运行(也可以win+R)cmd进入命令提示符
然后输入cd %windir%\system32\config 进入系统配置目录
然后输入: notepad netlogon.dns 打开 netlogon 文件
这时我们看到了这其中记载的各SRV记录、Cname记录、A记录和NS记录,如下图
DNS重建+Active Directory灾难恢复_第10张图片
. 然后全选这里的记录然后Ctrl+C复制,然后关闭这个文件,切换到命令提示符下,输入:net stop dns 先停止DNS服务,来方便我们更改DNS区域文件,接着输入:cd %windir%\system32\dns 进入DNS目录,然后我们输入:notepad sttest.com.dns 来打开sttest.com域的区域文件,这时我们看到了sttest.com区域文件中的内容,这时我们在最后一行Ctrl+V粘贴我们刚才复制自己的netlogon.dns文件中的所有记录,如图
DNS重建+Active Directory灾难恢复_第11张图片
现在去Perth用刚才的方法,命令提示符下输入:cd %windir%\system32\config 然后输入:notepad netlogon.dns打开netlogon文件同样复制其中的所有内容,然后回到Florencesttest.com.dns文件中,在最后一行粘贴进去我们刚才复制Perthnetlogon.dns文件中的记录,然后Ctrl+S保存并Alt+F4关闭。如下图
DNS重建+Active Directory灾难恢复_第12张图片
注意现在不要保存文件,先要停止DNS服务。打开“开始”—“运行”—“services.msc”,回车打开服务管理器。找到“DNS Server”服务,点击“停止”,停止DNS服务如图
DNS重建+Active Directory灾难恢复_第13张图片
然后在保存刚修改过的“sttest.com.dns”文件,回到服务管理器,重新启动DNS服务。然后分别在FlorencePerth机器里重启Netlogon服务如图命令输入:net stop netlogon ,服务停止后在输入:net start netlogon开启netlogon服务如图
DNS重建+Active Directory灾难恢复_第14张图片
接下来我们复制拓扑来进行测试DNS重建是否成功。域控制器Florence的站点与服务,展开Sites项,选择PerthFlorence的复制链接,右击选择立即复制副本,如下图提示,AD以复制了链接,在来选择FlorencePerth的复制链接,右击选择立即复制副本提示AD已复制了连接。检测成功,DNS重建工作到此完成如图
DNS重建+Active Directory灾难恢复_第15张图片
DNS重建+Active Directory灾难恢复_第16张图片
试验 2 Active Directory 灾难恢复
 
思路:先转移操作主机角色到新的主域控制器,然后重建全局编录服务器并在 AD 中清除报废的主域控制器对象,最后也是检查恢复情况的操作,检查重建的主域控制器于子域控制器间是否拥有正确的复制拓扑并且能正常复制链接。
 
过程:要转移操作主机角色,需要用到 Ntdsutil 命令,我们在 Florence 的命令提示符中键入 ntdsutil, 如图
DNS重建+Active Directory灾难恢复_第17张图片
(如果忘了该输入什么,那只好有必杀技“?”了,o(_)o…哈哈)找到了输入Roles回车,然后如下图
DNS重建+Active Directory灾难恢复_第18张图片
然后输入Connections连接到一个特定域控制器如图
DNS重建+Active Directory灾难恢复_第19张图片
输入connect to server Florence.sttest.com如图,提示绑定到Florence.sttest.com了如图
DNS重建+Active Directory灾难恢复_第20张图片
然后输入quit,返回上级菜单如图
DNS重建+Active Directory灾难恢复_第21张图片
上图的拿红色标记的是强制转移操作主机(在与主域控制器连接不上的情况下用),拿×××标记的是平稳转移操作主机(如果能连接到域控制器的话就用这个)。现在是连接不上主域控制器只能用红色标记的命令了,先输入Seize domain naming master,转移域角色。如图
DNS重建+Active Directory灾难恢复_第22张图片
DNS重建+Active Directory灾难恢复_第23张图片
这时当我们点击确认是后,会出现一个错误报告,如下图
DNS重建+Active Directory灾难恢复_第24张图片
(这是正常的,微软设置虽然用的是强制转移主机但是还是先尝试安全传送操作主机,如果连接不上的话,才用强制转移。)
继续执行 以下 4 个命令来占用其他 4 个操作主机角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每个命令执行完毕,都会出现确认对话框及已成功占有角色的提示如图
26-34
提示传送成功。 至此,操作主机各角色转移完成,输入 quit 退出 ntdsutil 操作如图
DNS重建+Active Directory灾难恢复_第25张图片
DNS重建+Active Directory灾难恢复_第26张图片
DNS重建+Active Directory灾难恢复_第27张图片
DNS重建+Active Directory灾难恢复_第28张图片
DNS重建+Active Directory灾难恢复_第29张图片
DNS重建+Active Directory灾难恢复_第30张图片
DNS重建+Active Directory灾难恢复_第31张图片
DNS重建+Active Directory灾难恢复_第32张图片
DNS重建+Active Directory灾难恢复_第33张图片
提示传送成功。 至此,操作主机各角色转移完成,输入quit退出ntdsutil操作如图
DNS重建+Active Directory灾难恢复_第34张图片
接着去 Florence 中查看操作主机是否如我们所愿,成为了 Florence 请看下图
DNS重建+Active Directory灾难恢复_第35张图片
DNS重建+Active Directory灾难恢复_第36张图片
DNS重建+Active Directory灾难恢复_第37张图片
Firenze 成为了操作主机,至此操作主机角色转移工作至此完成,接下来进行全局编录服务器重建。 依然在 FLORENCE 这台域控制器上进行操作。开始 —管理工具—Active  Directory 站点和服务,展开Florence—右击NTDS Settings—属性—勾选全局编录。如图
DNS重建+Active Directory灾难恢复_第38张图片
DNS重建+Active Directory灾难恢复_第39张图片
此时,只要重新启动firenze这台域控制器,DNS就会自动创建GC记录,这时DNS就有了完整的SRV记录。
DNS重建+Active Directory灾难恢复_第40张图片
AD中清除报废的主域控制器对象,Firenze原来是主域控制器,所以要在AD用户和计算机中删除域控制器组内的Firenze,开始—程序—管理工具—Active Directory用户和计算机—打开sttest.com目录—选中DomainControllers —右击Firenze点删除
DNS重建+Active Directory灾难恢复_第41张图片
DNS重建+Active Directory灾难恢复_第42张图片
DNS重建+Active Directory灾难恢复_第43张图片
在弹出的确认对话框中点击“确定”,会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,然后点击删除即可在AD用户和计算机去除Florence对象。如图
DNS重建+Active Directory灾难恢复_第44张图片
DNS重建+Active Directory灾难恢复_第45张图片
点击是, 仅这样删除还是不能够完全删除Florence对象,还需在“Active Directory站点和服务”中删除连接。
开始—程序—管理工具— Active Directory 站点和服务—点开 sites 目录— Default first-site-name —点开 Servers Firenze —右击 NTDS settings ,选择删除如图
DNS重建+Active Directory灾难恢复_第46张图片
DNS重建+Active Directory灾难恢复_第47张图片
这时,问你要选择怎样的删除操作,我们选择最后一项,将 Florence 降级并永久脱离使用,确认后点击删除。下图
DNS重建+Active Directory灾难恢复_第48张图片
DNS重建+Active Directory灾难恢复_第49张图片
DNS重建+Active Directory灾难恢复_第50张图片
DNS重建+Active Directory灾难恢复_第51张图片
如上图, Florence 中的 Firenze 对象清除完毕。
 
检查复制拓扑,确保两站点可以正常复制, 开始 程序 管理工 具— Active Directory 站点和服务 点开 sites 目录 Default first-site-name 点开 Servers perth 服务器 NTDS settings 右击链接,选择立即复制副本,当出现 Active Directory 已经复制了连接对话框时,表明 Perth 可以正常的从复制。
DNS重建+Active Directory灾难恢复_第52张图片
DNS重建+Active Directory灾难恢复_第53张图片
DNS重建+Active Directory灾难恢复_第54张图片
 
DNS重建+Active Directory灾难恢复_第55张图片
 
至此, Active Directory 灾难恢复的网络拓扑重建到此重建完成!