|
其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~
本贴说明:
....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!!
AD、DC说明:
.域名:abc.com
..主域:DC-ISA-NLB-1
..副域:DC-ISA-NLB-2
.系统:2003企业版
故障情况:(真实环境跑完全过程..)
..主域崩溃,副域无法正常工作,如:
....无法浏览abc.com 中 Active Directory用户和计算机,提示无法连接错误;
....AD管理项目均报错,组策略.....等;
....域用户无法登录;
解决方法:(以上是在副域上操作)
..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录;
..使用命令:ntdsutil.....AD工具
..过程:(大概6-8分钟)
C:\Documents and Settings\Administrator.LH>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server dc-isa-nlb-2
绑定到 dc-isa-nlb-2 ...
用本登录的用户的凭证连接 dc-isa-nlb-2。
server connections: q
metadata cleanup: q
ntdsutil: roles
fsmo maintenance:Seize domain naming master ‘点OK’
fsmo maintenance:Seize infrastructure master ‘点OK’
fsmo maintenance:Seize PDC ‘点OK’
fsmo maintenance:Seize RID master ‘点OK’
fsmo maintenance:Seize schema master ‘点OK’
‘关闭CMD窗口’...~~
以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧:
..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’;
.....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’;
..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’
.....1.点击‘DC-ISA-NLB-1’;
...........a.选中分支‘NTDS Settings’;
...........b.点击‘删除’,对话框‘选择第三项’;
.....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’;
.....3.点击‘DC-ISA-NLB-2’
...........a.选中分支‘NTDS Settings’
...........b.点击右键选择‘属性’,全局编录前打上勾;
完工....以上搞点后,余下就可以慢慢修复你的主域了。
注释:关于利用强占(Seize)方式解决问题有什么后遗症,我就没去深入研究了(现在专研ISA中),有兴趣了解朋友可以去微软查查资料...
题外话:
在企业中,出现以上状况对管理员是非常头痛事情,要在最段时间解决,必须依赖你的前瞻性,如:
...1.尽可能避免在域DC部署第三方服务器软件;...否则折磨死你了..
...2.良好备份AD数据习惯;...在解决问题时可以节省很多时间..
......如:域DC出现故障,不让你降级,也不让新DC加入...但新DC又必须加入..够郁闷事情.
..........没时间限制,大家都可以慢慢研究,但实际情况呢.--今天刚好碰上,这文章也是解决完后所写...
...3.非要部署服务器软件到DC上,必须先在模拟机上跑一段时间;...减少突发问题..
----------------------------------------------------------
----------------------------------------------------------
‘模拟测试一完成,但有疑问看本帖最后部分’..(感谢版主置顶)
以下是在Wmware 5.0环境下测试,但只限于DC1、DC2在线情况下,主域控制器损坏后进行修复.
请留意最后信息内容,那位有经验得,麻烦补补,省走些歪路~~谢谢!
模拟系统:2003企业版
模拟机器:2台
模拟域名:abc.com
模拟主域控制器计算机名:DC2
模拟额外域控制器计算机名:DC1
模拟DNS服务器:DC2
模拟故障情况:(测试一 前期部分)
1.DC2、DC1同时在线,DC2因特殊情况启动,但启动后故障无法登录系统,蓝屏严重崩溃.
测试解决方法:
1.DC1使用强占FSMO方式,夺取五个权限
a.架构主机 Schema master
b.域命名主机 Domain naming master
c.相对标识号(RID)主机 RID master
d.主域控制器模拟器 PDCE
e.基础结构主机 Infrastructure master
2.将DC1设置为GC(全局编录)
3.在DC1安装DNS服务器
4.使用微软FSMO脚本验证,以确定FSMO是否正确
步骤:
1.命令行:ntdsutil
..........ntdsutil: metadata cleanup
..........metadata cleanup: select operation target
..........select operation target: connections
..........server connections: connect to domain abc.com
..........(此处有连接域名后会有凭证信息)
..........server connections:quit
..........select operation target: list sites
..........Found 1 site(s)
..........0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com
..........select operation target: select site 0
..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com
..........No current domain
..........No current server
..........No current Naming Context
..........select operation target: List domains in site
..........Found 1 domain(s)
..........0 - DC=abc,DC=com
..........Found 1 domain(s)
..........0 - DC=abc,DC=com
..........select operation target: select domain 0
..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com
..........Domain - DC=abc,DC=com
..........No current server
..........No current Naming Context
..........select operation target: List servers for domain in site
..........Found 2 server(s)
..........0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com
..........1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com
..........select operation target: select server 0
..........select operation target: quit
..........metadata cleanup:Remove selected server
..........注意:2003到此会提示(是否强占信息,全部安确定,但会提示错误,不用理会)
2.打开 AD站点和服务 手动删除 DC2残留信息,并在DC1全局编录属性上打勾
3.安装DNS
4.测试DNS
5.重启后,在DC1上运行微软 FSMO 脚本验证一下,如提示五个权限已经为DC1代表已经成功
注明:
1.第三步信息因为是网上找得(模拟机太慢没截图),虽然经过验证并修改,但还是有些不同,信息只提供参考...
2.以上情况为DC1、DC2在线情况下,DC2(主域控制器)崩溃修复方案.
往下会测试:
1.DC2重装后添加为额外域控制器,然后再提升为主域控制器.
2.DC1、DC2 启动过程,DC2崩溃特殊情况下修复测试.(已小测一下,有区别..在于connect to domain abc.com时候提示错误..)
...原因估计是额外域控制器启动后,但因为主域控制器崩溃无法登录,有某些信息没传递到额外域控制器,导致连接失败..
------------------------------------------------------------------------------------------------------------------------
模拟故障情况:(测试一 后续部分)
2.在解决模拟故障(测算一 前期部分)因DC2主域控制器损坏,DC1强占FSMO测试,DC2重装系统后恢复为主域控制器;
测试解决方法:(视实际需要,如后备服务器性能及稳定性不及原服务器,建议恢复)
1.DC2重装系统
2.以额外域控制器身份加入原域
3.通过在DC2使用ntdsutil命令将FSMO转移到DC2
4.在DC2安装DNS服务器
步骤:
1.命令行:ntdsutil
..........ntdsutil: metadata cleanup
..........metadata cleanup: select operation target
..........select operation target: connections
..........server connections: connect to domain abc.com
..........(此处有连接域名后会有凭证信息)
..........server connections:quit
..........metadata cleanup: quit
..........ntdsutil:roles
..........fsmo maintenace:transfer domain naming master
..........提示转移角色按确定
..........fsmo maintenace:transfer infrastructure master
..........提示转移角色按确定
..........fsmo maintenace:transfer PDC
..........提示转移角色按确定
..........fsmo maintenace:transfer RID master
..........提示转移角色按确定
..........fsmo maintenace:seize schema master
..........提示强占角色按确定
..........ntdsutil:quit
..........执行FSMO.vbs脚本检测,提示五个权限已经为DC2代表已经成功
2.在DC2上安装DNS服务器
3.可以使用Windows2003额外工具检测域数据库及DNS是否正确
????????????????????????????
...转移...fsmo maintenace:transfer schema master..失败
...强占...fsmo maintenace:seize schema master.....成功
-------------------------------------------------------
是否操作有误还是必须使用强占命令...那位知道补补...谢谢 |
