Active Directory灾难恢复手册
文档适用范围:
办公网Active Directory
业务网SNA/HIS服务器所依赖的Active Directory
适用操作系统:
Windows Server 2003
Windows 2000 Server
本文档讨论:
如何避免Active Directory故障
如何对Active Directory进行备份
错误修改/删除Active Directory数据的应对措施
一台或全部域控制器崩溃的应对措施
本文档未涉及:
Active Directory故障诊断和排除
1 避免Active Directory故障
遵照下列原则,以避免Active Directory出现故障:
硬件
(1) 不随意关闭域控制器,确保任何时刻域内至少有2台域控制器运行;
(2) 操作系统和NTDS数据库文件所在硬盘配置使用硬件容错(RAID1/RAID5等);
(3) 定期检查服务器电源、硬盘状态,及时更换故障硬件。
网络
(4) 分公司办公网域控制器需要确保同根域控制器网络畅通,所需通信端口开放;
(5) 确保客户机和域控制器之间网络畅通,所需通信端口开放;
(6) 不要在域控制器上安装或启用防火墙、TCP/IP过滤器、IPSec策略等;
(7) 调整网络配置前首先确认是否会对域控制器造成影响。
备份
(8) 所有域控制器至少每周备份系统状态一次,建议使用计划任务做到每天备份,备份数据要尽量存放在生成备份的服务器之外;
(9) 进行批量删除用户和OU等影响较大的操作前,首先进行备份;
日常管理
(10)对域控制器进行的配置变更操作要进行记录;
(11)及时升级防病毒程序,安装安全补丁;
(12)定期检查所有域控制器的日志,对错误和警告信息进行诊断和排除;
(13)对用户报告的和Active Directory相关的异常信息及时跟进,定位问题原因。
2 备份Active Directory数据库
2.1 手动备份Active Directory数据库
通过备份工具对“系统状态”进行备份(包含Active Directory数据库、注册表、系统文件等),以建立可供灾难恢复使用的数据副本。
每次对AD进行大的修改前后要及时备份,应对所有的域控制器分别进行备份,备份数据要尽量存放在生成备份的服务器之外。
手动备份Active Directory数据库的操作如下:
(1) 以
域管理员或备份操作员帐户登录到域控制器;
(2) 从“开始”,“运行”启动“Ntbackup.exe”;
(3) 如果以“向导模式”启动,切换到“高级模式”;
(4) 在“备份”标签下,备份“系统状态”到适当的位置;
(5) 点击“开始备份”;
(6) 在备份完成后点击“报告”确认备份正确完成,然后关闭“备份工具。
2.2 建立定时备份的计划任务
建议使用附件脚本SysBackup.vbs在所有域控制器上建立定时任务, 以自动备份系统状态,该脚本同时能够设定备份文件保存的时间,以节省磁盘空间。
该脚本见博客另一文章: http://wuxiaohui.blog.51cto.com/697989/424587
使用该脚本建立定时备份任务的操作方法:
(1) 以域管理员帐户登录到域控制器;
(2) 拷贝SysBackup.vbs到某个目录下(如D:\SysBackup),并根据需要修改以下参数:
strFolder = "D:\SysBackup\"
'备份文件保存的位置
strFileName = Date() &".BAK"
'备份文件名格式(备份日期
.BAK)
intKeepDays = 14
'备份文件保存的时间(14天)
|
(3) 从“控制面板”-“计划任务”启动“添加任务计划”向导;
(4) 在“运行的应用程序”页面点击“浏览”,在“文件名”中输入“%systemroot%\system32\wscript.exe”,然后点击“打开”;
(5) 输入任务名称,如“定时备份系统状态”,根据需要配置运行时间,如“每天”;
(6) 将起始时间设置为服务器空闲的时间,如1:00 AM;
(7) 在用户名和密码中输入服务器Administrators组或者Backup Operators组用户的账户和密码,完成新建任务向导;
(8) 从“控制面板”-“计划任务”中右击以上建立的任务,选择“属性”;
在“任务”页面中,修改“运行”为(假设脚本位于D:\SysBakcup目录):
%systemroot%\system32\wscript.exe "D:\SysBackup\SysBackup.vbs"
(9) 可能需要再次输入第7步的用户名和密码,然后保存退出任务属性。
建议对所有域控制器均设置此备份任务。备份成功与否,可以从应用程序事件日志查看。可以将“备份文件保存位置”设置为共享文件夹,或者在备份完成后手动拷贝到其他服务器,以避免备份产生服务器磁盘故障导致备份不可用。
3 恢复Active Directory对象
3.1 恢复误删除的加入域的计算机帐户
如果由于误操作,从“Active Directory用户和计算机”管理工具中,错误删除了某台域控制器的计算机帐户,需要彻底清除该域控制器在Active Directory中的残留信息,并重新安装请参考“域控制器灾难恢复”部分
如果误删除了少量成员服务器或者客户端计算机,立即在被删除账户的计算机的“控制面板”-“系统”-“计算机名”页面下,从域中修改到工作组中(组名任意),重新启动计算机后再次在“计算机名”页面中修改到域中(不要做任何网络设置变更,不要再次运行加入域的脚本)。用户配置文件等不会受到任何影响。
如果误删除的是大量计算机账户,需要从备份中恢复,请参考后续章节。
3.2 恢复误删除的用户、组和OU
如果误删除的是少量对象,可以采取重新建立的方法,但需注意新建的用户、组账户的SID与原有的不同,所有授予原有账户的权限需要重新进行授权。如果无法确定原有的授权,或者工作量很大,需要从备份中恢复,请参考后续章节。
当误删除了大量Active Directory对象时,需要及时从备份中恢复,请参考后续章节。
3.3 恢复备份中所有的Active Directory对象
如果备份中包含了所有希望保留的对象,可以恢复整个Active Directory数据库。
从备份恢复所有Active Directory对象的操作如下:
(1) 确定可用的DC系统状态备份,遵循以下原则:
a) 使用包含所需对象的最近备份
b) 尽量从第一台域控制器进行恢复
c) 对于计算机账户,超过15天的备份不可使用
d) 对于任何备份,超过60天的不可使用
(2) 在恢复前备份所有DC的系统状态,以免恢复失败;
(3) 建议从PDC Emulator所在域控制进行恢复操作(通常是第一台DC),将恢复操作需要使用的备份文件拷贝到该服务器本地磁盘;
(4) 重新启动该服务器,启动时按F8键,选择“目录服务还原模式”,使用安装Active Directory前的默认Administrator账户和安装过程中设置的“还原模式”密码登录;
(5) 使用NTBackup.exe工具和第3步准备好的备份文件,恢复系统状态;
(6) 在命令提示符下启动NTDSUTIL.EXE;
(7) 输入 authoritative restore,然后回车;
(8) 输入 restore database,回车;
(9) 出现确认对话框时,点击“确定”,然后点击“是”;
(10)输入 quit 并回车,直到退出 NTDSUTIL.EXE;
(11)重新启动域控制器,检查恢复是否成功。
3.4 恢复备份中的部分Active Directory对象
很多情况下只需恢复备份中包含的部分Active Directory对象(如删除了100个对象,仅希望恢复其中的5个),需要进行以下操作:
(1) 仅在同一域内至少两台域控制器可用的情况下才能进行后续操作;
(2) 确定包含需恢复对象的备份,遵守3.3小节第1条的原则
(3) 确定需要恢复的对象的DN,如
cn=User01,ou=test,dc=yunwei,dc=cc,dc=cmb
或者
ou=test,dc=yunwei,dc=cc,dc=cmb
(4) 建议从PDC Emulator所在域控制进行恢复操作(通常是第一台DC),将恢复操作需要使用的备份文件拷贝到该服务器本地磁盘;
(5) 重新启动该服务器,启动时按F8键,选择“目录服务还原模式”,使用安装Active Directory前的默认Administrator账户和安装过程中设置的“还原模式”密码登录;
(6) 使用NTBackup.exe工具和第4步准备好的的备份文件,恢复系统状态;
(7) 在命令行提示符下启动NTDSUTIL.EXE;
(8) 输入 authoritative restore,然后回车;
(9) 如果需要恢复单个对象,输入以下内容并回车(根据需要替换DN,注意引号):
restore object “cn=User01,ou=test,dc=yunwei,dc=cc,dc=cmb”
(10)如果需要恢复OU,输入以下内容并回车(根据需要替换DN,注意引号):
restore subtree “ou=test,dc=yunwei,dc=cc,dc=cmb”
(11)输入 quit 并回车,直到退出 NTDSUTIL.EXE;
(12)重新启动域控制器,检查恢复是否成功。
4 域控制灾难恢复
4.1 所有域控制崩溃
当所有域控制器崩溃,但有备份可用时,按照以下步骤操作:(
增加RID Master部分,需测试
http://support.microsoft.com/?kbid=839879)
(1) 立即通知相关部门和用户,并针对可能出现的影响采取应对措施:
i. 对于办公网,用户可以继续使用缓存验证信息登录,但部分计算机可能提示“无法登录到域”,用户无法修改口令,基于域用户或者组授权的网络资源可能无法访问;
ii. 对于业务网SNA/HIS所在的域,由于所有的SNA/HIS服务器都是域控制器,最主要的影响是SNA通信中断。
(2) 确定包含需恢复对象的备份,遵守3.3小节第1条的原则,但超过15天和60天的备份需要注意:
i. 如果备份超过15天,需要将本域内启动时提示“无法登录域”的计算机按照3.1小节第二部分重新加入域;
ii. 如果办公网备份超过60天,需要与根域管理员联系,业务网SNA/HIS所在域由于是独立森林的顶级域,无此问题。
(3) 修复硬件故障,或使用相同硬件服务器;
(4) 重新安装与原来相同的操作系统,文件系统、安装驱动器、 Windows 安装文件夹名称、网络配置等必须与备份生成服务器相同,并安装DNS服务;
(5) 按照3.3小节从备份中恢复Active Directory数据库;
(6) 重新启动服务器,确认Active Directory是否启动;
(7) 在恢复一台域控制器的基础上,按照4.2小节恢复其他域控制器。
当所有域控制器崩溃,同时没有可用备份时,无法恢复。
4.2 某台域控制器崩溃
Active Directory采用“多主复制”的结构,不再有主/备域控制器的区分,任何一台DC都可以接受更新,提供验证,从而提高了灾难抵抗能力。
但不同的域控制器仍然承担不同的功能,当某台DC崩溃(指除非重装不能修复故障)时,必须遵循一定的步骤,才能确保AD继续正常工作。以下讨论当某台DC完全崩溃时的应对措施。
4.2.1 准备工作
如果崩溃的是分公司办公网第一台DC,请及时通知总部根域管理员,以变更复制连接。业务网SNA/HIS所在域由于是独立森林的顶级域,无此要求。
确认崩溃的DC是否还有可能修复,短时间的故障不会造成重大影响,只有确认该DC不可能恢复时才进行后续操作。在48小时以内,只要至少有1台DC正常工作,用户不会受到太大影响,但可能出现登录速度变慢、无法修改口令、事件日志中出现“找不到域控制器”的信息等。
一旦决定采用后续方法进行恢复,原有服务器必须立即断开网络连接,修复硬件故障,并重新安装操作系统后才能再次提升为域控制器。
修改其它域控制器的DNS服务器地址,不再将崩溃DC作为首选DNS服务器。不必修改客户端的DNS服务器地址,但应该知道可能会出现用户计算机启动速度变慢的问题。
4.2.2 转移操作主机角色
办公网:如果崩溃的是第一台DC,需要强制转移其承担的操作主机角色(包括PDC和RID)到第二台DC。如果崩溃的是第二台DC,需要将其承担的“结构”操作主机角色转移到第一台DC。除此之外DC崩溃不需要转移操作主机角色。
业务网:如果崩溃的是第一台DC,需要强制转移其承担的操作主机角色(包括Schema、“域命名”、PDC和RID)到第二台DC。如果崩溃的是第二台DC,需要将其承担的“结构”操作主机角色转移到第一台DC。除此之外DC崩溃不需要转移操作主机角色。
由于原来承担操作主机角色的DC已经崩溃,所以只能通过强制转移,即“夺取”的方法转移操作主机角色
强制转移操作主机角色的方法
(1) 登录到要继任操作主机角色的域控制器,办公网需要域管理员权限,业务网SNA/HIS所在的Active Directory需要企业管理员权限;
(2) 在命令提示符下启动NTDSUTIL.EXE;
(3) 输入 roles,然后回车;
(4) 输入 connections,然后回车;
(5) 输入 connect to server
ServerName,然后回车,其中 ServerName是继任操作主机角色的的域控制器的名称;
(6) 在“server connections”提示符处,输入 q,然后回车;
(7) 输入 seize
Role,其中 Role是要强制转移的角色名称,如 seize PDC。要查看可占用角色的列表,输入 ? 然后回车;
(8) 确认强制转移成功,输入 quit 并回车,直到退出
NTDSUTIL.EXE。
4.2.3 转移全局编录服务器
办公网:如果崩溃的是办公网第一台DC,需要取消崩溃DC的“全局编录”选项,并将第二台DC开启“全局编录”选项。
业务网:业务网SNA/HIS所在域由于所有DC均为全局编录服务器,所以只需取消崩溃DC的“全局编录”选项即可。
转移全局编录服务器的方法
(1) 使用域管理员帐户登录正常的DC;
(2) 打开“Active Directory站点和服务”工具,展开相应的站点,办公网是分行名称,业务网是“默认首站名”或者“Default-First-Site-Name”;
(3) 在相应的DC的“NTDS Settings”属性中,清除崩溃DC的“全局编录”选项,选中继任DC“全局编录”选项;
(4) 在所有仍然正常的DC的“NTDS Settings”下的复制连接上,右击并选择“立即复制”;
(5) 关闭“Active Directory站点和服务”工具。
4.2.4 从
Active Directory中清除崩溃DC的信息
接下来需要从Active Directory据库中清除崩溃DC的信息,操作方法:
(1) 使用域管理员帐户登录正常的DC;
(2) 在命令提示符下启动NTDSUTIL.EXE(以下双引号中的命令输入后需要回车);
(3) 顺序输入“Metadata cleanup” —“Connections”—“Connect to Server
ServerName”,ServerName是正常DC的名称;
(4) 使用“Quit”退回到“Metadata cleanup”上下文;
(5) 顺序输入“Select operation target”—“List Sites”—“Select Site
X”,X是崩溃DC所在站点的数字编号;
(6) 顺序输入“List domains in site”—“Select domain
Y”,Y是崩溃DC所在域的数字编号;
(7) 顺序输入“List Servers in Site”—“Select Server
Z”,Z是崩溃DC的数字编号;
(8) 使用“Quit”退回到“Metadata cleanup”上下文;
(9) 运行“Remove selected server”,在出现确认对话框时点击“是”,并认删除操作成功;
(10)输入“Quit”直到退出NTDSUTIL.EXE。
此外,检查以下位置是存在崩溃DC的残留记录,如果存在则将其删除:
(1) “Active Directory用户和计算机”中,“Domain Controllers”OU下的计算机帐户;
(2) “Active Directory用户和计算机”中,从“查看”菜单选中“高级功能”,“System”容器下“File Replication Service”-“Domain System Volume (SYSVOL share)”中的计算机对象;
(3) DNS中的正向和反向记录。
至此灾难恢复完成,接下来需要尽快修复崩溃DC的硬件故障,或者使用新的硬件,重新安装操作系统,加入域并提升为DC(使用原有的计算机名网络配置,按照域控制器安装说明安装成为DC),以继续提供容错能力。
2 备份Active Directory数据库
2.1 手动备份Active Directory数据库
通过备份工具对“系统状态”进行备份(包含Active Directory数据库、注册表、系统文件等),以建立可供灾难恢复使用的数据副本。
每次对AD进行大的修改前后要及时备份,应对所有的域控制器分别进行备份,备份数据要尽量存放在生成备份的服务器之外。
手动备份Active Directory数据库的操作如下:
(1) 以
域管理员或备份操作员帐户登录到域控制器;
(2) 从“开始”,“运行”启动“Ntbackup.exe”;
(3) 如果以“向导模式”启动,切换到“高级模式”;
(4) 在“备份”标签下,备份“系统状态”到适当的位置;
(5) 点击“开始备份”;
(6) 在备份完成后点击“报告”确认备份正确完成,然后关闭“备份工具。
2.2 建立定时备份的计划任务
建议使用附件脚本SysBackup.vbs在所有域控制器上建立定时任务, 以自动备份系统状态,该脚本同时能够设定备份文件保存的时间,以节省磁盘空间。
使用该脚本建立定时备份任务的操作方法:
(1) 以域管理员帐户登录到域控制器;
(2) 拷贝SysBackup.vbs到某个目录下(如D:\SysBackup),并根据需要修改以下参数:
strFolder = "D:\SysBackup\"
'备份文件保存的位置
strFileName = Date() &".BAK"
'备份文件名格式(备份日期
.BAK)
intKeepDays = 14
'备份文件保存的时间(14天)
|
(3) 从“控制面板”-“计划任务”启动“添加任务计划”向导;
(4) 在“运行的应用程序”页面点击“浏览”,在“文件名”中输入“%systemroot%\system32\wscript.exe”,然后点击“打开”;
(5) 输入任务名称,如“定时备份系统状态”,根据需要配置运行时间,如“每天”;
(6) 将起始时间设置为服务器空闲的时间,如1:00 AM;
(7) 在用户名和密码中输入服务器Administrators组或者Backup Operators组用户的账户和密码,完成新建任务向导;
(8) 从“控制面板”-“计划任务”中右击以上建立的任务,选择“属性”;
在“任务”页面中,修改“运行”为(假设脚本位于D:\SysBakcup目录):
%systemroot%\system32\wscript.exe "D:\SysBackup\SysBackup.vbs"
(9) 可能需要再次输入第7步的用户名和密码,然后保存退出任务属性。
建议对所有域控制器均设置此备份任务。备份成功与否,可以从应用程序事件日志查看。可以将“备份文件保存位置”设置为共享文件夹,或者在备份完成后手动拷贝到其他服务器,以避免备份产生服务器磁盘故障导致备份不可用。
3 恢复Active Directory对象
3.1 恢复误删除的加入域的计算机帐户
如果由于误操作,从“Active Directory用户和计算机”管理工具中,错误删除了某台域控制器的计算机帐户,需要彻底清除该域控制器在Active Directory中的残留信息,并重新安装请参考“域控制器灾难恢复”部分
如果误删除了少量成员服务器或者客户端计算机,立即在被删除账户的计算机的“控制面板”-“系统”-“计算机名”页面下,从域中修改到工作组中(组名任意),重新启动计算机后再次在“计算机名”页面中修改到域中(不要做任何网络设置变更,不要再次运行加入域的脚本)。用户配置文件等不会受到任何影响。
如果误删除的是大量计算机账户,需要从备份中恢复,请参考后续章节。
3.2 恢复误删除的用户、组和OU
如果误删除的是少量对象,可以采取重新建立的方法,但需注意新建的用户、组账户的SID与原有的不同,所有授予原有账户的权限需要重新进行授权。如果无法确定原有的授权,或者工作量很大,需要从备份中恢复,请参考后续章节。
当误删除了大量Active Directory对象时,需要及时从备份中恢复,请参考后续章节。
3.3 恢复备份中所有的Active Directory对象
如果备份中包含了所有希望保留的对象,可以恢复整个Active Directory数据库。
从备份恢复所有Active Directory对象的操作如下:
(1) 确定可用的DC系统状态备份,遵循以下原则:
a) 使用包含所需对象的最近备份
b) 尽量从第一台域控制器进行恢复
c) 对于计算机账户,超过15天的备份不可使用
d) 对于任何备份,超过60天的不可使用
(2) 在恢复前备份所有DC的系统状态,以免恢复失败;
(3) 建议从PDC Emulator所在域控制进行恢复操作(通常是第一台DC),将恢复操作需要使用的备份文件拷贝到该服务器本地磁盘;
(4) 重新启动该服务器,启动时按F8键,选择“目录服务还原模式”,使用安装Active Directory前的默认Administrator账户和安装过程中设置的“还原模式”密码登录;
(5) 使用NTBackup.exe工具和第3步准备好的备份文件,恢复系统状态;
(6) 在命令提示符下启动NTDSUTIL.EXE;
(7) 输入 authoritative restore,然后回车;
(8) 输入 restore database,回车;
(9) 出现确认对话框时,点击“确定”,然后点击“是”;
(10)输入 quit 并回车,直到退出 NTDSUTIL.EXE;
(11)重新启动域控制器,检查恢复是否成功。
3.4 恢复备份中的部分Active Directory对象
很多情况下只需恢复备份中包含的部分Active Directory对象(如删除了100个对象,仅希望恢复其中的5个),需要进行以下操作:
(1) 仅在同一域内至少两台域控制器可用的情况下才能进行后续操作;
(2) 确定包含需恢复对象的备份,遵守3.3小节第1条的原则
(3) 确定需要恢复的对象的DN,如
cn=User01,ou=test,dc=yunwei,dc=cc,dc=cmb
或者
ou=test,dc=yunwei,dc=cc,dc=cmb
(4) 建议从PDC Emulator所在域控制进行恢复操作(通常是第一台DC),将恢复操作需要使用的备份文件拷贝到该服务器本地磁盘;
(5) 重新启动该服务器,启动时按F8键,选择“目录服务还原模式”,使用安装Active Directory前的默认Administrator账户和安装过程中设置的“还原模式”密码登录;
(6) 使用NTBackup.exe工具和第4步准备好的的备份文件,恢复系统状态;
(7) 在命令行提示符下启动NTDSUTIL.EXE;
(8) 输入 authoritative restore,然后回车;
(9) 如果需要恢复单个对象,输入以下内容并回车(根据需要替换DN,注意引号):
restore object “cn=User01,ou=test,dc=yunwei,dc=cc,dc=cmb”
(10)如果需要恢复OU,输入以下内容并回车(根据需要替换DN,注意引号):
restore subtree “ou=test,dc=yunwei,dc=cc,dc=cmb”
(11)输入 quit 并回车,直到退出 NTDSUTIL.EXE;
(12)重新启动域控制器,检查恢复是否成功。
4 域控制灾难恢复
4.1 所有域控制崩溃
当所有域控制器崩溃,但有备份可用时,按照以下步骤操作:(
增加RID Master部分,需测试
http://support.microsoft.com/?kbid=839879)
(1) 立即通知相关部门和用户,并针对可能出现的影响采取应对措施:
i. 对于办公网,用户可以继续使用缓存验证信息登录,但部分计算机可能提示“无法登录到域”,用户无法修改口令,基于域用户或者组授权的网络资源可能无法访问;
ii. 对于业务网SNA/HIS所在的域,由于所有的SNA/HIS服务器都是域控制器,最主要的影响是SNA通信中断。
(2) 确定包含需恢复对象的备份,遵守3.3小节第1条的原则,但超过15天和60天的备份需要注意:
i. 如果备份超过15天,需要将本域内启动时提示“无法登录域”的计算机按照3.1小节第二部分重新加入域;
ii. 如果办公网备份超过60天,需要与根域管理员联系,业务网SNA/HIS所在域由于是独立森林的顶级域,无此问题。
(3) 修复硬件故障,或使用相同硬件服务器;
(4) 重新安装与原来相同的操作系统,文件系统、安装驱动器、 Windows 安装文件夹名称、网络配置等必须与备份生成服务器相同,并安装DNS服务;
(5) 按照3.3小节从备份中恢复Active Directory数据库;
(6) 重新启动服务器,确认Active Directory是否启动;
(7) 在恢复一台域控制器的基础上,按照4.2小节恢复其他域控制器。
当所有域控制器崩溃,同时没有可用备份时,无法恢复。
4.2 某台域控制器崩溃
Active Directory采用“多主复制”的结构,不再有主/备域控制器的区分,任何一台DC都可以接受更新,提供验证,从而提高了灾难抵抗能力。
但不同的域控制器仍然承担不同的功能,当某台DC崩溃(指除非重装不能修复故障)时,必须遵循一定的步骤,才能确保AD继续正常工作。以下讨论当某台DC完全崩溃时的应对措施。
4.2.1 准备工作
如果崩溃的是子公司办公网第一台DC,请及时通知总部根域管理员,以变更复制连接。业务网SNA/HIS所在域由于是独立森林的顶级域,无此要求。
确认崩溃的DC是否还有可能修复,短时间的故障不会造成重大影响,只有确认该DC不可能恢复时才进行后续操作。在48小时以内,只要至少有1台DC正常工作,用户不会受到太大影响,但可能出现登录速度变慢、无法修改口令、事件日志中出现“找不到域控制器”的信息等。
一旦决定采用后续方法进行恢复,原有服务器必须立即断开网络连接,修复硬件故障,并重新安装操作系统后才能再次提升为域控制器。
修改其它域控制器的DNS服务器地址,不再将崩溃DC作为首选DNS服务器。不必修改客户端的DNS服务器地址,但应该知道可能会出现用户计算机启动速度变慢的问题。
4.2.2 转移操作主机角色
办公网:如果崩溃的是第一台DC,需要强制转移其承担的操作主机角色(包括PDC和RID)到第二台DC。如果崩溃的是第二台DC,需要将其承担的“结构”操作主机角色转移到第一台DC。除此之外DC崩溃不需要转移操作主机角色。
业务网:如果崩溃的是第一台DC,需要强制转移其承担的操作主机角色(包括Schema、“域命名”、PDC和RID)到第二台DC。如果崩溃的是第二台DC,需要将其承担的“结构”操作主机角色转移到第一台DC。除此之外DC崩溃不需要转移操作主机角色。
由于原来承担操作主机角色的DC已经崩溃,所以只能通过强制转移,即“夺取”的方法转移操作主机角色
强制转移操作主机角色的方法
(1) 登录到要继任操作主机角色的域控制器,办公网需要域管理员权限,业务网SNA/HIS所在的Active Directory需要企业管理员权限;
(2) 在命令提示符下启动NTDSUTIL.EXE;
(3) 输入 roles,然后回车;
(4) 输入 connections,然后回车;
(5) 输入 connect to server
ServerName,然后回车,其中 ServerName是继任操作主机角色的的域控制器的名称;
(6) 在“server connections”提示符处,输入 q,然后回车;
(7) 输入 seize
Role,其中 Role是要强制转移的角色名称,如 seize PDC。要查看可占用角色的列表,输入 ? 然后回车;
(8) 确认强制转移成功,输入 quit 并回车,直到退出
NTDSUTIL.EXE。
4.2.3 转移全局编录服务器
办公网:如果崩溃的是办公网第一台DC,需要取消崩溃DC的“全局编录”选项,并将第二台DC开启“全局编录”选项。
业务网:业务网SNA/HIS所在域由于所有DC均为全局编录服务器,所以只需取消崩溃DC的“全局编录”选项即可。
转移全局编录服务器的方法
(1) 使用域管理员帐户登录正常的DC;
(2) 打开“Active Directory站点和服务”工具,展开相应的站点,办公网是分行名称,业务网是“默认首站名”或者“Default-First-Site-Name”;
(3) 在相应的DC的“NTDS Settings”属性中,清除崩溃DC的“全局编录”选项,选中继任DC“全局编录”选项;
(4) 在所有仍然正常的DC的“NTDS Settings”下的复制连接上,右击并选择“立即复制”;
(5) 关闭“Active Directory站点和服务”工具。
4.2.4 从
Active Directory中清除崩溃DC的信息
接下来需要从Active Directory据库中清除崩溃DC的信息,操作方法:
(1) 使用域管理员帐户登录正常的DC;
(2) 在命令提示符下启动NTDSUTIL.EXE(以下双引号中的命令输入后需要回车);
(3) 顺序输入“Metadata cleanup” —“Connections”—“Connect to Server
ServerName”,ServerName是正常DC的名称;
(4) 使用“Quit”退回到“Metadata cleanup”上下文;
(5) 顺序输入“Select operation target”—“List Sites”—“Select Site
X”,X是崩溃DC所在站点的数字编号;
(6) 顺序输入“List domains in site”—“Select domain
Y”,Y是崩溃DC所在域的数字编号;
(7) 顺序输入“List Servers in Site”—“Select Server
Z”,Z是崩溃DC的数字编号;
(8) 使用“Quit”退回到“Metadata cleanup”上下文;
(9) 运行“Remove selected server”,在出现确认对话框时点击“是”,并认删除操作成功;
(10)输入“Quit”直到退出NTDSUTIL.EXE。
此外,检查以下位置是存在崩溃DC的残留记录,如果存在则将其删除:
(1) “Active Directory用户和计算机”中,“Domain Controllers”OU下的计算机帐户;
(2) “Active Directory用户和计算机”中,从“查看”菜单选中“高级功能”,“System”容器下“File Replication Service”-“Domain System Volume (SYSVOL share)”中的计算机对象;
(3) DNS中的正向和反向记录。
至此灾难恢复完成,接下来需要尽快修复崩溃DC的硬件故障,或者使用新的硬件,重新安装操作系统,加入域并提升为DC(使用原有的计算机名网络配置,按照域控制器安装说明安装成为DC),以继续提供容错能力。