主域控制器突然暴毙之灾难恢复
主域控制器突然暴毙之灾难恢复
本实验讲述的是在多域控制器的环境下,主域控制器由于硬件故障突然损坏,而事先又没有做好主域控制器的备份,如何使额外域控制器接替它的工作,从而使
Active Directory
正常运行,等待硬件修理好之后,在恢复主域控制器的职能。
在实验之前
,
我先来介绍
FSMO
角色
,
也就是
AD
定义的五种操作角色
架构主机
schema master
域命名主机
domain naming master
相对标识号主机
RID master
主域控制器模拟器(
PDCE
)
基础结构主机
infrastructure master
而每种角色负担不同的工作,具有不同的功能:
架构主机:
更新目录架构,架构主机是基于目录林的,整个目录林中只有一个架构主机
域命名主机:
向目录林中添加新域,从目录林中删除现有的域
,
是基于目录林的,整个林中只有一个域命名主机
相对标识号主机:
负责向其他
DC
分配
RID
池,在创建用户、组和添加计算机时,将
RID
和域标识符结合来创建唯一的安全标识符
(SID)
,基于域的,目录林中的不同的域都有自己的相对标识号主机
PDCE:
向后兼容低级客户端和服务器,允许以前版本的域控制器加入到现有域环境中,负担密码的验证工作,时间的同步
―
确保目录林中的每个域的
PDCE
都与目录林中根域的
PDCE
进行同步,
PDCE
也是基于域的,每个域中都有自己的
PDCE
基础结构主机:
确保所有域间操作对象的一致性,当引用包含该对象的全局唯一标识符
(GUID)
、安全标识符
(SID)
和可分辨的名称
(DN).
如果被引用的对象移动,则在域中担当结构主机角色的
DC
会负责更新该域中跨域对象引用中的
SID
和
DN
。是基于域的,目录林中每个域都有自己的基础结构主机。
默认这五种
FSMO
存在于目录林中根域的第一台
DC
上,而子域中的相对表示号主机、
PDCE
、基础结构主机存在于子域中的第一台
DC
上。
接着上一篇域的搭建后,我们来进行主域控制器的灾难恢复
.
步骤三:
FSMO
角色的转移
步骤四:主域控制器职能的恢复
在
FSMO
角色的转移之前,先让主域控制器损坏,如下图:
一
从
AD
中清除主域控制器
Florence
对象
在
Berlin
上通过
ntdsutil.exe
工具把主域控制器
Florence
从
AD
中删除
命令为:
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain adtest.com
server connections:quit
select operation target: list sites
select operation target: select site 0
select operation target: List domains in site
select operation target: select domain 0
select operation target: List servers for domain in site
select operation target: select server
0
select operation target: quit
metadata cleanup:Remove selected server
remove selected server
按回车后,出现下面的对话框点击是即可
在
berlin
上打开
active directory sites and servers
中的
sites
下的
default-first-site-name-----servers
删除
florence
,如下图所示;
二
使用
ADSI EDIT
工具删除
active directory users and computers
中的
Domain controllers
中的
florence
服务器对象。
ADSI EDIT
在安装光盘的
SUPPRORT \TOOLS\SUPPRORT.CAB
中,如下图。
将
adsiedit.msc
和
adsiedit.dll
拷贝到
windows\system32
下,
在开始
----
运行中执行
regsvr32 adsiedit.ll
adsi edit
成功安装
在
mmc
控制台中添加
adsiedit
连接到域控制器
Berlin
上。如下图所示
将
florence
服务器对象删除
在出现的提示向导中点击“是”
点击“是”
Florence
对象删除
三
接下来就进行
FSMO
对象的转移
在
BERLIN
上使用
NTDSUTIL.EXE
工具进行
FMSO
角色的转移
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
server connections:quit
select operation target: list sites
select operation target: select site 0
select operation target: List domains in site
select operation target: select domain 0
select operation target: List servers for domain in site
select operation target: select server
0
select operation target: quit
fsmo maintenance:Seize domain naming master
在出现的对话框中点击“是”
fsmo maintenance:Seize infrastructure maste
在出现的对话框中点击“是”
fsmo maintenance:Seize PDC
在出现的对话框中点击“是”
fsmo maintenance:Seize RID maste
在出现的对话框中点击“是”
fsmo maintenance:Seize schema maste
在出现的对话框中点击“是”
fsmo maintenance:quit
ntdsutil: quit
ntdsutil: quit
特别注意
seize
只能在原
FMSO
不在线是进行操作,如果原
FMSO
在线时要用
transfer
操作。
在
Berlin
上的
Active Directory Sites and Services,
展开
sites-----default-first-site-name
中
servers
,展开
Berlin
,右击
NTDS setting
选择属性,将全局编录勾选,点击“确定”然后重新启动服务器即可
四
重新安装并恢复损坏的主域控制器
重新安装好主域控制器的基本条件后,在运行
dcpromo
提升为额外域控制器,如果还想让它担当主域控制器时,在通过
ntdsutil.exe
进行角色转换,只要进行
transfer
操作就行了。最后在
Active Directory Sites and Services
设置
Florence
为
GC
,取消
Berlin
的
GC
功能。建议
domain naming master
不要和
RID master
在一台
DC
上,而
domain naming master
同时必须为
GC
,命令为:
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
server connections:quit
select operation target: list sites
select operation target: select site 0
select operation target: List domains in site
select operation target: select domain 0
select operation target: List servers for domain in site
select operation target: select server
0
select operation target: quit
fsmo maintenance: transfer domain naming master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: transfer PDCr
fsmo maintenance: transfer schema master