AD重建

网络拓扑：

 

内网有 3 台域控制器，分别为一台为主域控制器，其余二台是额外域控制器 ,DNS 服务器是在主域控制器上，现在主域控制器与其他二台额外域控制器连接不上。如图

试验 1 ： DNS 重建

 

思路：由于 DNS 上存有域控制器的主机名称， IP 地址及所扮演的角色等数据，所以在转移操作主机前，要重建 DNS ，添加主机记录，把剩余两台域控制器的 NETLOGON.DNS 文件内的 DNS 备份复制到新建的 DNS 文件中（要先停止 DNS ，在保存修改的内容）。

 

过程：因原 DNS 服务器已丢失，所以可以在 FLORENCE 和 PERTH 中任选一台 DC 作为 DNS 服务器，这里我选用 florence 作为 DNS 服务器。（在这里注意把设置 ip 里的 DNS 指向 florence 的 IP ）
1. 安装 DNS ，在开始 -- 设置 -- 控制面板里打开添加或删除程序 -- 添加 windows 组件 -- 在 windows 组件向导中选择网络服务，在网络服务中选择域名系统 DNS ，

点确定 ---- 下一步即安装。（在安装过程中会提示需要系统盘上的文件，所以提前准备哦）

2. 恢复 DNS ，点击开始 --- 程序 --- 管理工具 ---DNS ，打开 DNS 服务器，然后新建区域

在这注意在最末行我们看见了一项默认打钩的 “ 在 AD 中存储区域 ” 的选项，我们需要去掉这个钩后在点击下一步，因为待会儿重建 DNS 需要区域文件，我们去掉这个钩，区域文件将存贮在本地计算机，方便随后的重建操作。如图

我们去掉这个钩，然后继续下一步进行配置，出现定义区域名称向导界面，我们输入实验域名 sttest.com 然后点击下一步，出现下图提示

问打算将 sttest.com 的区域文件怎样命名并存贮与哪里，（如果之前 DNS 服务器完好，我们可以选择使用此现存文件，然后挂入之前的区域文件即可），这里由于 DNS 和 AD 安装在一台 PC 上，而这台 PC 以连接不上，故选择新建区域文件，同时为方便记忆，我们选择默认的区域文件名称，确认无误后点击下一步。

这时，向导出现了提示是否允许动态更新的界面，这是关键的一步，我们要想让 AD 复制拓扑正常，一定要选用允许动态更新，因为只有允许了动态更新， AD 之间数据的变化才能及时传递给对方，所以我们在此项一定要选用：允许安全和非安全动态更新，然后我们点击下一步，确认无误后，完成安装。在向 DNS 区域文件中导入各域控制器的 Netlogon.dns 记录

由于之前 DNS  文件的丢失，要重建 DNS 服务器，必须要向 DNS 区域文件中导入各域控制器中 Netlogon.dns 中的 SRV 记录、 Cname 记录、 A 记录和 NS 记录，进行导入。

步骤：

首先在 DNS 服务器 Florence 中添加一条 Perth 的 A 记录，并指明 Perth 的 IP 地址： 192.168.11.6 ， 输入确认无误后点击添加主机。如图

二 . 添加个域 NETLOGON 中的各项记录

在 Florence 上开始运行（也可以 win+R ） cmd 进入命令提示符

然后输入 cd %windir%\system32\config 进入系统配置目录

然后输入： notepad netlogon.dns 打开 netlogon 文件

这时我们看到了这其中记载的各 SRV 记录、 Cname 记录、 A 记录和 NS 记录，如下图

三 . 然后全选这里的记录然后 Ctrl+C 复制，然后关闭这个文件，切换到命令提示符下，输入： net stop dns 先停止 DNS 服务，来方便我们更改 DNS 区域文件，接着输入： cd %windir%\system32\dns 进入 DNS 目录，然后我们输入： notepad sttest.com.dns 来打开 sttest.com 域的区域文件，这时我们看到了 sttest.com 区域文件中的内容，这时我们在最后一行 Ctrl+V 粘贴我们刚才复制自己的 netlogon.dns 文件中的所有记录，如图

现在去 Perth 用刚才的方法，命令提示符下输入： cd %windir%\system32\config 然后输入： notepad netlogon.dns 打开 netlogon 文件同样复制其中的所有内容，然后回到 Florence 的 sttest.com.dns 文件中，在最后一行粘贴进去我们刚才复制 Perth 中 netlogon.dns 文件中的记录，然后 Ctrl+S 保存并 Alt+F4 关闭。如下图

注意现在不要保存文件，先要停止 DNS 服务。打开 “ 开始 ”―“ 运行 ”―“services.msc” ，回车打开服务管理器。找到 “DNS Server” 服务，点击 “ 停止 ” ，停止 DNS 服务如图

然后在保存刚修改过的 “sttest.com.dns” 文件，回到服务管理器，重新启动 DNS 服务。然后分别在 Florence 与 Perth 机器里重启 Netlogon 服务如图命令输入： net stop netlogon , 服务停止后在输入： net start netlogon 开启 netlogon 服务如图

接下来我们复制拓扑来进行测试 DNS 重建是否成功。域控制器 Florence 的站点与服务，展开 Sites 项，选择 Perth 与 Florence 的复制链接，右击选择立即复制副本，如下图提示， AD 以复制了链接，在来选择 Florence 与 Perth 的复制链接，右击选择立即复制副本提示 AD 已复制了连接。检测成功， DNS 重建工作到此完成如图

试验 2 ： Active Directory 灾难恢复

 

思路：先转移操作主机角色到新的主域控制器，然后重建全局编录服务器并在 AD 中清除报废的主域控制器对象，最后也是检查恢复情况的操作，检查重建的主域控制器于子域控制器间是否拥有正确的复制拓扑并且能正常复制链接。

 

过程：要转移操作主机角色，需要用到 Ntdsutil 命令，我们在 Florence 的命令提示符中键入 ntdsutil, 如图

（如果忘了该输入什么，那只好有必杀技 “ ？ ” 了， o(∩_∩)o… 哈哈）找到了输入 Roles 回车，然后如下图

然后输入 Connections 连接到一个特定域控制器如图

输入 connect to server Florence.sttest.com 如图，提示绑定到 Florence.sttest.com 了如图

然后输入 quit ，返回上级菜单如图

上图的拿红色标记的是强制转移操作主机（在与主域控制器连接不上的情况下用），拿黄色标记的是平稳转移操作主机（如果能连接到域控制器的话就用这个）。现在是连接不上主域控制器只能用红色标记的命令了，先输入 Seize domain naming master ，转移域角色。如图

这时当我们点击确认是后，会出现一个错误报告，如下图

（这是正常的，微软设置虽然用的是强制转移主机但是还是先尝试安全传送操作主机，如果连接不上的话，才用强制转移。）

继续执行 以下 4 个命令来占用其他 4 个操作主机角色

Seize domain naming master

Seize PDC

Seize RID master

Seize infrastructure master

每个命令执行完毕，都会出现确认对话框及已成功占有角色的提示如图

26-34 图

提示传送成功。 至此，操作主机各角色转移完成，输入 quit 退出 ntdsutil 操作如图

提示传送成功。 至此，操作主机各角色转移完成，输入 quit 退出 ntdsutil 操作如图

接着去 Florence 中查看操作主机是否如我们所愿，成为了 Florence 请看下图

 

Firenze 成为了操作主机，至此操作主机角色转移工作至此完成，接下来进行全局编录服务器重建。依然在 FLORENCE 这台域控制器上进行操作。开始 ― 管理工具 ―Active  Directory 站点和服务，展开 Florence― 右击 NTDS Settings― 属性 ― 勾选全局编录。如图

此时，只要重新启动 firenze 这台域控制器， DNS 就会自动创建 GC 记录，这时 DNS 就有了完整的 SRV 记录。

AD 中清除报废的主域控制器对象， Firenze 原来是主域控制器，所以要在 AD 用户和计算机中删除域控制器组内的 Firenze ，开始―程序―管理工具― Active Directory 用户和计算机―打开 sttest.com 目录―选中 DomainControllers ―右击 Firenze 点删除

在弹出的确认对话框中点击“确定”，会弹出一个删除域控制器原因描述的对话框，这里我们选择“这台域控制器永远为脱机并且不能在用 Active Directory 安装向导将其降域”，然后点击删除即可在 AD 用户和计算机去除 Florence 对象。如图

 

点击是，仅这样删除还是不能够完全删除 Florence 对象，还需在“ Active Directory 站点和服务”中删除连接。

开始―程序―管理工具― Active Directory 站点和服务―点开 sites 目录― Default �C first-site-name ―点开 Servers ― Firenze ―右击 NTDS settings ，选择删除如图

 

这时，问你要选择怎样的删除操作，我们选择最后一项，将 Florence 降级并永久脱离使用，确认后点击删除。下图

 

如上图， Florence 中的 Firenze 对象清除完毕。

 

检查复制拓扑，确保两站点可以正常复制，开始―程序―管理工具― Active Directory 站点和服务―点开 sites 目录― Default �C first-site-name ―点开 Servers ― perth 服务器― NTDS settings ―右击链接，选择立即复制副本，当出现 Active Directory 已经复制了连接对话框时，表明 Perth 可以正常的从复制。

 

 

至此， Active Directory 灾难恢复的网络拓扑重建到此重建完成！