现在我们的环境有两台域控制器,当我们主域控因为某种原因(硬件故障、机房进水、软件故障等)造成宕机时,我们的额外域控应该如何进行工作呢?
在我们的活动目录之七中,已经详细介绍了fsmo角色,下面让我们进行一下主域控宕机,额外域控应该如何工作的讲解:(此例中以windows server 2003举例)
一:实验场景
使用设备说明:
1
:使用三台VMware
虚拟机,AD
域名:wjlove.com
2
:AD
主控制器主机名:e-copa.wjlove.com IP
:192.168.2.1/24 DNS
:127.0.0.1
3
:AD
额外域控制器:k1k.wjlove.com IP
:192.168.2.2/24 DNS
:192.168.2.1
AD
主控制器新建用户
user1
和
uesr2
,则
AD
备域则学习到域的变化
二:实验
1
:
AD
主域控制器当机,如何使用备份域控制器恢复域
?
1)
首先,要把第一台域控制器的所有信息从活动目录里面删除
此处也可以用ADSI
工具,删除计算机
- 打开Win2003 AD 备域控制器—“Active Directory”—“wjlove.com”—“Domain Controllers”,删除计算机E-COPA
- 打开Win2003 AD 备域控制器—“Active Directory站点和服务”—“Sites”— “Default-First-Site-Name” —“Servers” ,删除计算机E-COPA(必须先删除NTDS Settings)
在删除NTDS Settings,会出现如下图,选择如图所示:
2)
把FSMO
角色转换过来。使用“Ntdsutil”
转换FSMO
角色
·
我们先要连接到目标服务器上:
- 把FSMO 5个主机角色从E-copa.wjlove.com转换到k1k..wjlove.com,
请注意
:
这里有两种方法分别是
Seize
和
Transfer
,如果原来的
FSMO
角色的拥有者处于离线状态,那么就要用
Seize
,如果处于联机状态,那么就要用
Transfer
。在这里由于主域
E-copa
已经离线了,所以要用
“Seize”:
依次运行:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
运行完后,输入quit
退出
- 转换全局编录为k1k.wjlove.com,如图所示
查看额外BDC
上,角色是否被抢占过来,通过netdom query fsmo
由此可以看出,角色成功抢占
3)
将额外域控DNS
服务器辅助区域,提升为主要区域,并清除DNS
中过时的主DC
信息:
此时经过角色抢占,清除主DC
信息,DNS
区域提升,删除DNS
中无效的主DC
信息,已经将额外BDC
成功运行;
七:额外
BDC
已经正常工作了,此时我们的主
DC
下线之后,经过抢修,发现是主板损坏了,更换主板后已经恢复正常了,此时应该如何将原来的主
dc
加入现有域中呢?
经过查阅资料,按照下面方法比较好,也就是将修好的原主
DC
从新安装
win 2008 r2
,从新加入域,做辅助域控,如果需要还原成主域控,将角色传送会修好的
DC
即可,当我们抢夺角色后,客户端有时候计算机有时候需要重新加入域
修理好主DC.test.com损坏的硬件之后,在DC-01.test.com服务器重新安装Windows 2008 R2 Server,安装好Windows 2008 R2 Server之后,再运行Dcpromo升成额外的域控制器;如果你需要使DC-01.test.com担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer操作就行了(注意:不能用Seize)。并通过Active Directory Sites and Services设置DC-01.test.com为GC,取消DC-02.test.com的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。