拓扑如下,由于某种原因,Florence离线,其服务必须迅速由其他DC取代,继续给用户使用。
实验使用
Microsoft ISA2004
实验室的
Microsoft Virtual PC 2007
虚拟机,其中的
3
套
Virtual PC
:
Florence
、
Firenze
和
Berlin
来模拟出此次灾难恢复的实验环境。
思路:
1.
由于
DNS
上存有域控制器的主机名称,
IP
地址及所扮演的角色等数据,所以在转移操作主机前,要重建
DNS
,添加主机记录,把剩余两台域控制器的
NETLOGON.DNS
文件内的
DNS
备份复制到新建的
DNS
文件中(要先停止
DNS
,在保存修改的内容)。
1.
强行占用
Florence
的操作主机角色,使用
NTDSUTIL
命令。
2.
在
AD
站点和服务工具中,设置全局编录服务器。
3.
在
AD
用户和计算机中删除
Florence
对象,在
AD
站点和服务工具中清除
FLORENCE
的链接
4.
在
AD
站点和服务工具检查复制拓扑,确保
firenze
和
berlin
可以正常的相互复制
实施过程:
1.
重建
DNS
因原
DNS
服务器已丢失,所以可以在
FIRENZE
和
BERLIN
中任选一台
DC
作为
DNS
服务器,这里我选用
FIRENZE
作为
DNS
服务器。
⑴
在
FIRENZE
中放入与其系统版本相同的系统光盘,这里我的
FIRENZE
操作系统版本号为没有打过
SERVER PARK
的
Windows Server 2003 Enterprise Edition
⑵
在“控制面板”中选择“添加删除程序”
—“添加Windows组件”
在弹出的
WINDOWS
组件向导中选择“网络服务”,在“网络服务”中选择“域名系统
DNS
”,点确定。
之后点击“下一步”即可安装。
如中途弹出需要文件的对话框,可把路径指向光驱所在盘符的
I386
文件夹即可正常复制文件了,这里我的光驱为
D:
,所以我指向“
D:\i386
”文件夹。点击确定后继续。
当弹出完成“
Windows
组建向导”对话框时,即完成了
DNS
的安装
⑶
点击“开始”
—“程序”—“管理工具”—“DNS”,打开DNS服务管理器。
把丢失的
itet.com
域重新添加到新建的
DNS
中,右击“正向查找区域”—“新建区域”
弹出
DNS
新建区域向导,点击“下一步”出现区域类型选择,这里我们选“主要区域”,并把“在
Active Directory
中存储区域”的单选勾去掉,点击下一步。
区域名称输入“
itet.com
”,点击下一步
区域文件默认即可,点击下一步。
在动态更新选项中,需要选择“允许非安全和安全的动态更新”选项,点击下一步,点击完成就成功建立了
ITET.COM
域
⑷
在
itet.com
中添加
berlin
主机
IP
。右击“
itet.com
”—“新建主机”
添加
berlin
的主机
IP
及主机名
,
即可把
berlin
的主机记录添加到
DNS
中。
⑸
复制
firenze
和
berlin
的
netlogon.dns
到新建的
DNS
文件中,手工修复
SRV
记录。
在
firenze
主机中的“我的电脑”地址栏输入“
C:\WINDOWS\system32\config
”,回车即可进入
DNS
备份目录
找到
netlogon.dns
文件,使用记事本打开文件
全选文件内的记录,右击复制
继续在“我的电脑”地址栏内输入:“
C:\WINDOWS\system32\dns
”,回车进入目录
在目录内找到
DNS
记录文件:“
itet.com.dns
”,使用记事本打开,在记录最下面粘贴
netlogon.dns
内的记录
在
berlin
主机里找到
netlogon.dns
文件,复制内容到“
itet.com.dns
”中,不要保存文件,要先停止
DNS
服务。
打开“开始”
—“运行”—“services.msc”,回车打开服务管理器。
找到“DNS Server”服务,点击“停止”,停止DNS服务
然后在保存刚修改过的“itet.com.dns”文件,回到服务管理器,重新启动DNS服务。
此时,刷新DNS服务管理会自动刷新出刚添加的SRV记录
到此,firenze和berlin除GC记录的外的所有记录均已恢复。
2.
占用操作主机角色
因为具有操作主机角色的域控制器已经失效,所以其他域控制器不能执行传送操作主机角色的操作,故只能使用占用操作主机角色的方法,将操作主机的角色强迫传送到另外一台域控制器。同时需要具有执行占用操作的相关权限的组或用户,表
1-1
。
|
角色
|
有权限的组
|
|
架构主机
|
Schema Admins
|
|
域命名主机
|
Enterprise Admins
|
|
RID
主机
|
Domain Admins
|
|
PDC
模拟主机
|
Domain Admins
|
|
基础结构主机
|
Domain Admins
|
表
1-1
Administrator
就具有如上权限,所以以下实验都要用这个用户来操作。
FIRENZE
当前用户为
Administrator
,为域管理员
使用
NTDSUTIL
命令来占用操作主机,步骤如下:
⑴
点击“开始”
—“运行”—输入“CMD”
⑵
在提示符下,运行以下命令:
NTDSUTIL
,回车
说明:可输入“?”来查询命令的用法,例如下图。
⑶
在“
ntdsutil:
”提示符下,输入
Roles
,回车
⑷
在“
fsmo maintenance:
”提示符下,输入
connections
,回车
⑸
在“
server connections:
”提示符下,输入
connect to server Firenze.itet.com
,连接到欲扮演操作主机的域控制器
⑹
在“
server connections
:
”提示符下,输入:
quit
,返回上级
菜单
⑺
在“
fsmo maintenance:
”提示符下,输入:
seize schema master
,回车,出现如下对话框时单击“是”
⑻
从下图得知已经成功占用“架构主机”,由
firenze.itet.com
来扮演
⑼
继续执行
以下
4
个命令来占用其他
4
个操作主机角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每个命令执行完毕,都会出现确认对话框及已成功占有角色的提示,如下图:
至此,
5
个操作主机角色已经从
Florence
夺取过来,键入
quit
退出
NTDSUTIL。
3
建立全局编录服务器
依然在
firenze
这台域控制器上进行操作。
操作:“开始”
—“管理工具”—“Active Directory 站点和服务”,展开firenze—右击“NTDS Settings”—“属性”—勾选“全局编录”。
此时,只要重新启动firenze这台域控制器,DNS就会自动创建GC记录,这时DNS就有了完整的SRV记录。
4
在域内清除Florence对象
Florence
原来是域控制器,所以要在AD用户和计算机中删除域控制器组内的Florence。
操作:“开始”—“程序”—“管理工具”—“Active Directory工具和计算机”—打开“itet.com”目录—选中“Domain Controllers”—右击“Florence”点删除
在弹出的确认对话框中点击“确定”,会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,然后点击删除即可在AD用户和计算机去除Florence对象。
仅这样删除还是不能够完全删除Florence对象,还需在“Active Directory站点和服务”中删除连接。
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“Florence”—右击“NTDS settings”,选择删除
会弹出确认对话框,点“确定”,依然会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,点击删除,就可以删除已经建立好的与其他俩个域控制器间的连接。
这时,右击“servers”中的Florence,就可以彻底删除Florence对象了。
这时其他俩个域控制器内仍有与Florence的链接,只需等待KCC重新复制完拓扑,就可以看到正常的复制链路了。
或者直接在firenze的“NTDS settings”右击,选择“所有任务”—“检查复制拓扑”,然后再刷新站点,就可以看到正常的链接了。
正常的链接链路如下:
到此,
Florence
对象已经从两个域控制器上彻底清除。
5
检查复制拓扑,确保两站点可以正常复制
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“berlin”服务器—“NTDS settings”—右击链接,选择“立即复制副本”,当出现“Active Directory 已经复制了连接”对话框时,表明Berlin可以正常的从firenze复制。
在点击“
firenze
”的服务器的“
NTDS settings
”,右击连接,选择“立即复制副本”
如果出现
“Active Directory 已经复制了连接”,说明firenze可以正常的从berlin复制
进入
berlin
这台域控制器,依然进入
“Active Directory站点和服务”查看站点连接情况,刷新后,连接正常
由此确定两个域控制器可以正常复制。