徹底清除備份域伺服器資料元的方法

 徹底清除備份域伺服器資料元的方法

2009-03-17 10:57 516人閱讀 評論(0) 收藏 舉報

  如果備份域伺服器損壞了，不能恢複正常，而且不能使用dcpromo删除，這時主域伺服器支撐着整個域基本上能正常工作，但是不能添加備份域伺服器了。要添加備份域伺服器，必須把域中的“備份域伺服器的中繼資料”删除掉才能繼續。徹底清除備份域資料元的方法：

1. 在主域控制器上運作ntdsutil

C:/>ntdsutil（該工具在2003系統盤中Support/Tools/SupTools.msizhong，假設拷貝到C槽的根目錄中，紅色字為輸入的指令）

ntdsutil: metadata cleanup

metadata cleanup: contections

server connections: connect to domain 域名

server connections: quit

metadata cleanup: select operation target

select operation target: list domains（列出您所有的域）

select operation target: select domain 0 （選擇您需要删除域控制器所在的domain）

select operation target: list sites（列出您需要域中所在的site）

select operation target: select site 0（選擇您需要删除域控制器所在的site）

select operation target: list servers in site（列出該site中所存在的伺服器）

select operation target: select server 2（選擇您需要删除域控制器）

select operation target: quit

metadata cleanup: remove selected server

metadata cleanup: quit

2、打開主域伺服器的DNS，删除備份域伺服器的所有資訊

3、打開主域伺服器的“AD目錄與計算機”删除備份域伺服器的所有資訊

      /Domain Controllers

      /System MicrosoftDNS/szwj(域名)/

      ......

      等等目錄下的備份域伺服器的所有資訊

4、打開主域伺服器的“AD站點與服務”删除無用的伺服器

一、Active Directory操作主機角色概述

Active Directory 定義了五種操作主機角色（又稱ＦＳＭＯ）： 

架構主機 schema master、

域命名主機 domain naming master

相對辨別号 (RID) 主機 RID master

主域控制器模拟器 (PDCE) 

基礎結構主機 infrastructure master

而每種操作主機角色負擔不同的工作，具有不同的功能：

架構主機

具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複制到目錄林中的所有其它域控制器中。 架構主機是基于目錄林的，整個目錄林中隻有一個架構主機。

域命名主機 

具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC： 

向目錄林中添加新域。 

從目錄林中删除現有的域。 

添加或删除描述外部目錄的交叉引用對象。 

相對辨別号 (RID) 主機

此操作主機負責向其它 DC 配置設定 RID 池。隻有一個伺服器執行此任務。在建立安全主體（例如使用者、

組或計算機）時，需要将 RID 與域範圍内的辨別符相結合，以建立唯一的安全辨別符 (SID)。 每一個 

Windows 2000 DC 都會收到用于建立對象的 RID 池（預設為 512）。RID 主機通過配置設定不同的池來確定這

些 ID 在每一個 DC 上都是唯一的。通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。

域命名主機是基于目錄林的，整個目錄林中隻有一個域命名主機。相對辨別号（RID）主機是基于域的，目錄林中的每個域都有自己的相對辨別号（RID）主機

PDCE 

主域控制器模拟器提供以下主要功能： 

向後相容低級用戶端和伺服器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境将密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗後，它會與 PDCE 取得聯系，以檢視該密碼是否可以在那裡得到驗證，也許其原因在于密碼更改還沒有被複制到驗證 DC 中。 

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。

PDCE是基于域的，目錄林中的每個域都有自己的PDCE。 

基礎結構主機

基礎結構主機確定所有域間操作對象的一緻性。當引用另一個域中的對象時，此引用包含該對象的

全局唯一辨別符 (GUID)、安全辨別符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動，則在域中擔

當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。

基礎結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機

預設，這五種ＦＭＳＯ存在于目錄林根域的第一台DC（主域控制器）上，而子域中的相對辨別号 (RID) 主機、PDCE 、基礎結構主機存在于子域中的第一台DC。

--------------------------------------------------------------------------------

二、環境分析

公司Test.com（虛拟）有一台主域控制器DC-01.test.com，還有一台額外域控制器DC-02.test.com。現主域控制器（DC-01.test.com）由于硬體故障突然損壞，事先又沒有DC-01.test.com的系統狀态備份，沒辦法通過備份修複主域控制器（DC-01.test.com），我們怎麼讓額外域控制器（DC-02.test.com）替代主域控制器，使Acitvie Directory繼續正常運作，并在損壞的主域控制器硬體修理好之後，如何使損壞的主域控制器恢複。

如果你的第一台ＤＣ壞了，還有額外域控制器正常，需要在一台額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設定為GC。

三、從AD中清除主域控制器DC-01.test.com對象

3.1在額外域控制器(DC-02.test.com)上通過ntdsutil.exe工具把主域控制器(DC-01.test.com)從ＡＤ中删除；（棕色字型為輸入的指令）

c:>ntdsutil

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Domain - DC=test,DC=com

select operation target: List servers for domain in site

Found 2 server(s)

0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

select operation target: select server 0

metadata cleanup:Remove selected server

出現對話框，按“确定“删除DC-01主要伺服器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01伺服器對象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安裝Windows 2000 support tool，安裝程式在windows 2000CD光牒中的support/tools目錄下。打開ADSI EDIT工具，展開Domain NC[DC-02.test.com]，展開OU=Domain controllers，右擊CN=DC-01，然後選擇Delete，把DC-01伺服器對象删除，

3.3 在Active Directory Sites and Service中删除DC-01伺服器對象

打開Administrative tools中的Active Directory Sites and Service，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，

四、在額外域控制器上通過ntdsutil.exe工具執行奪取五種ＦＭＳＯ操作

ntdsutil: roles

fsmo maintenance: Select operation target

Found 1 server(s)

0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

fsmo maintenance:Seize domain naming master

出現對話框，按“确定“

fsmo maintenance:Seize infrastructure master

fsmo maintenance:Seize PDC

fsmo maintenance:Seize RID master

fsmo maintenance:Seize schema master

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不線上時進行操作，如果原FSMO線上，需要使用Transfer操作）

五、設定額外控制(DC-02.test.com)為ＧＣ（全局編錄）

打開Administrative Tools中的Active Directory Sites and Services，展開Sites，展開Default-First-Site-Name，展開Servers，展開DC-02.test.com(額外控制器)，右擊NTDS Settings選擇Properties，然後在"Global Catalog"前面打勾，單擊"确定"按鈕，然後重新啟動伺服器。

六、重新安裝并恢複損壞主域控制器

修理好DC-01.test.com損壞的硬體之後，在DC-01.test.com伺服器重新安裝Windows 2000 Server，安裝好Windows 2000 Server之後，再運作Dcpromo升成額外的域控制器；如果你需要使DC-01.test.com擔任五種FMSO角色，通過ntdsutil工具進行角色轉換，進行Transfer操作就行了（注意：不能用Seize）。并通過Active Directory Sites and Services設定DC-01.test.com為GC，取消DC-02.test.com的GC功能。

建議domain naming master不要和RID master在一台DC上，而domain naming master同時必須為GC。

附:用于檢測AD中五種操作主機角色的腳本

給大家一個腳本,用于檢測AD中五種FSMO角色,把下面的代碼,儲存為FSMO.VBS,然後執行它.

Set objRootDSE = GetObject("LDAP://rootDSE")

Dim text

'' Schema Master

Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))

strSchemaMaster = objSchema.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strSchemaMaster)

Set objComputer = GetObject(objNtds.Parent)

text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

'' Domain Naming Master

Set objPartitions = GetObject("LDAP://CN=Partitions," & _

objRootDSE.Get("configurationNamingContext"))

strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)

text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf

'' PDC Emulator

Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))

strPdcEmulator = objDomain.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strPdcEmulator)

text=text&"Domain''s PDC Emulator FSMO: " & objComputer.Name & vbCrLf

'' RID Master

Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _

objRootDSE.Get("defaultNamingContext"))

strRidMaster = objRidManager.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strRidMaster)

text=text&"Domain''s RID Master FSMO: " & objComputer.Name & vbCrLf

'' Infrastructure Master

Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _

strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)

text=text&"Domain''s Infrastructure Master FSMO: " & objComputer.Name & vbCrLf

text=text & vbCrLf &" Design by coolnetboy([email protected])"

WScript.Echo text