AD恢複主域控制器
本文講述了在多域控制器環境下,主域控制器由于硬體故障突然損壞,而又事先又沒有做好備份,如何使額外域控制器接替它的工作,使Active Directory正常運作,并在硬體修理好之後,如何使損壞的主域控制器恢複。
----------------------------------------------------------------------
目錄
Active Directory操作主機角色概述
環境分析
從AD中清除主域控制器DC-01.test.com 對象
在額外域控制器上通過ntdsutil.exe工具執行奪取五種FMSO操作
設定額外域控制器為GC(全局編錄)
重新安裝并恢複損壞主域控制器 附:用于檢測AD中五種操作主機角色的腳本
一、Active Directory操作主機角色概述
Active Directory 定義了五種操作主機角色(又稱FSMO):
架構主機 schema master、
域命名主機 domain naming master
相對辨別号 (RID) 主機 RID master
主域控制器模拟器 (PDCE)
基礎結構主機 infrastructure master
而每種操作主機角色負擔不同的工作,具有不同的功能:
架構主機
具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複制到目錄林中的所有其它域控制器中。 架構主機是基于目錄林的,整個目錄林中隻有一個架構主機。
域命名主機
具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC: 向目錄林中添加新域。 從目錄林中删除現有的域。
添加或删除描述外部目錄的交叉引用對象。
相對辨別号 (RID)
主機此操作主機負責向其它 DC 配置設定 RID 池。隻有一個伺服器執行此任務。在建立安全主體(例如使用者、組或計算機)時,需要将 RID 與域範圍内的辨別符相結合,以建立唯一的安全辨別符 (SID)。 每一個 Windows 2000 DC 都會收到用于建立對象的 RID 池(預設為 512)。RID 主機通過配置設定不同的池來確定這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機,還可以在同一目錄林中的不同域之間移動所有對象。
域命名主機是基于目錄林的,整個目錄林中隻有一個域命名主機。相對辨別号(RID)主機是基于域的,目錄林中的每個域都有自己的相對辨別号(RID)主機
PDCE
主域控制器模拟器提供以下主要功能:
向後相容低級用戶端和伺服器,允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境将密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗後,它會與 PDCE 取得聯系,以檢視該密碼是否可以在那裡得到驗證,也許其原因在于密碼更改還沒有被複制到驗證 DC 中。
時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。
PDCE是基于域的,目錄林中的每個域都有自己的PDCE。
基礎結構主機
基礎結構主機確定所有域間操作對象的一緻性。當引用另一個域中的對象時,此引用包含該對象的
全局唯一辨別符 (GUID)、安全辨別符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動,則在域中擔
當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。
基礎結構主機是基于域的,目錄林中的每個域都有自己的基礎結構主機
預設,這五種FMSO存在于目錄林根域的第一台DC(主域控制器)上,而子域中的相對辨別号 (RID) 主機、PDCE 、基礎結構主機存在于子域中的第一台DC。
--------------------------------------------------------------------------------
二、環境分析
公司Test.com(虛拟)有一台主域控制器DC-01.test.com,還有一台額外域控制器DC-02.test.com。現主域控制器(DC-01.test.com)由于硬體故障突然損壞,事先又沒有DC-01.test.com的系統狀态備份,沒辦法通過備份修複主域控制器(DC-01.test.com),我們怎麼讓額外域控制器(DC-02.test.com)替代主域控制器,使Acitvie Directory繼續正常運作,并在損壞的主域控制器硬體修理好之後,如何使損壞的主域控制器恢複。
如果你的第一台DC壞了,還有額外域控制器正常,需要在一台額外域控制器上奪取這五種FMSO,并需要把額外域控制器設定為GC。
三、從AD中清除主域控制器DC-01.test.com對象
3.1在額外域控制器(DC-02.test.com)上通過ntdsutil.exe工具把主域控制器(DC-01.test.com)從AD中删除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain test.com
server connections:quit
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Domain - DC=test,DC=com
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出現對話框,按“确定“删除DC-01主要伺服器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01伺服器對象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安裝Windows 2000 support tool,安裝程式在windows 2000CD光牒中的support\tools目錄下。先把adsi edit.msc 和adsiedit.dll拷到system32下﹐再運行regsvr32 adsiedit.dll﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打開ADSI EDIT工具,展開Domain NC[DC-02.test.com],展開OU=Domain controllers,右擊CN=DC-01,然後選擇Delete,把DC-01伺服器對象删除,如圖1:
3.3 在Active Directory Sites and Service中删除DC-01伺服器對象
打開Administrative tools中的Active Directory Sites and Service,展開Sites,展開Default-First-Site-Name,展開Servers,右擊DC-01,選擇Delete,單擊Yes按鈕,如圖2:
四、在額外域控制器上通過ntdsutil.exe工具執行奪取五種FMSO操作
ntdsutil: roles
fsmo maintenance: Select operation target
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
fsmo maintenance:Seize domain naming master
出現對話框,按“确定“
fsmo maintenance:Seize infrastructure master
fsmo maintenance:Seize PDC
fsmo maintenance:Seize RID master
fsmo maintenance:Seize schema master
fsmo maintenance:quit
(注:Seize是在原FSMO不線上時進行操作,如果原FSMO線上,需要使用Transfer操作)
---------------------------------------------------------------------
五、設定額外控制(DC-02.test.com)為GC(全局編錄)
打開Administrative Tools中的Active Directory Sites and Services,展開Sites,展開Default-First-Site-Name,展開Servers,展開DC-02.test.com(額外控制器),右擊NTDS Settings選擇Properties,然後在"Global Catalog"前面打勾,單擊"确定"按鈕,然後重新啟動伺服器。
六、重新安裝并恢複損壞主域控制器
修理好DC-01.test.com損壞的硬體之後,在DC-01.test.com伺服器重新安裝Windows 2000 Server,安裝好Windows 2000 Server之後,再運作Dcpromo升成額外的域控制器;如果你需要使DC-01.test.com擔任五種FMSO角色,通過ntdsutil工具進行角色轉換,進行Transfer操作就行了(注意:不能用Seize)。并通過Active Directory Sites and Services設定DC-01.test.com為GC,取消DC-02.test.com的GC功能。
建議domain naming master不要和RID master在一台DC上,而domain naming master同時必須為GC。
主域 Windows 2000 SP4 (2000年的時候安裝的,硬體有故障,經常當機)
額外域 Windows 2003 (內建Exchange2003)
方案:建立一個額外域, 替換主域
操作步驟:
1. 安裝 Windows 2000 SP4
2. DCPROMO 更新為額外域
3.通過Ntdsutil将角色轉移
C:\>ntdsutil
fsmo maintenance: connection
server connections: connect to server backupad(後面寫你的備用伺服器的域名)
綁定到 backupad ...
用本登入的使用者的憑證連接配接 backupad。
server connections: quit
fsmo maintenance: transfer schema master 轉移架構主機角色
fsmo maintenance: transfer domain naming master 轉移域命名主機角色
fsmo maintenance: transfer RID master 轉移 RID 主機角色
fsmo maintenance: transfer PDC 轉移 PDC 模拟器角色
fsmo maintenance: transfer infrastructure master 轉移結構主機角色
4.再設定為 全局編錄
管理工具 - Active Directory 站點和服務 - backupad - NTDS Settings屬性, 全局編錄的"勾"選中即可
5.重建DNS,且與主域同步,再正向搜尋區域中的 根(.)将名稱伺服器改為"backupad"即可.
‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------
這裡的環境如下:
一台舊的WIN2K SERVER域為msft.com,PDC FSMO GC
新的伺服器也是WIN2K系統
目的:将舊的伺服器的AD資料庫遷移到新的伺服器上,頂替舊伺服器工作!
首先安裝完成新的伺服器的作業系統後,配置TCP/IP和舊伺服器在一個網段,然後設定首要的DNS為舊伺服器[DC]的DNSIP,然後确定退出,然後選擇開始---->運作--->dcpromo開始提升為輔助域控制器,選擇加入現有的域,輸入DC的域名,然後會提示你權限,你用administrator使用者,然後下一步,等待漫長的時間過去後,完成了,開始重新啟動!等啟動起來後進入指令行輸入
ntdsutil
roles
connections
connect to server 後面寫你的舊伺服器的域名
然後提示連接配接成功!輸入
quit
這下退到了roles的指令行下面,打?看看那些指令依次将
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
轉移到你的新伺服器上!
格式如下:Transfer domain naming master 回車
會提示問你是否轉移
關于FSMO的相信資訊如下:
架構主機 (Schema master) - 目錄林範圍的角色,每目錄林一個。 定義了對象和屬性
域命名主機 (Domain naming master) - 目錄林範圍的角色,每個目錄林一個。
決定了目錄林的域添加和删除,必須和GC在一台伺服器,因為他不能查詢GC
RID 主機 (RID master) - 特定于域的角色,每個域一個。 每一個域都有一個唯一的RID池,RID池将配置設定給域一個RID塊,當域建立安全主體的時候又将這個塊配置設定給使用者
PDC - PDC 仿真器是特定于域的,每個域一個。 定義了與NT4.0的PDC,而且負責時間的同步,還有使用者身份的改變和密碼的更改
結構主機 (Infrastructure master) - 特定于域的角色,每個域一個。 他包含了域中的對象的索引資訊,他最好不要和GC放在一台伺服器上,因為基礎結構主機和GC在一台伺服器上,基礎結構将沒有任何效果
然後設定為GC
單擊開始,指向程式,指向管理工具,然後單擊 Active Directory 站點和服務。
輕按兩下左窗格中的站點,然後浏覽到适當的站點,或者,在沒有其他站點可用時單擊預設的第一個站點的名稱。
打開伺服器檔案夾,然後單擊該域控制器。
在域控制器的檔案夾中,輕按兩下 NTDS 設定。
在操作菜單上,單擊屬性。
在“正常”頁籤上,找到全局編錄複選框以檢視其是否選中.
這樣就完全設定完成,然後将舊的伺服器的AD解除安裝掉舊OK了!
![8個道理,讓你的程式人生受益終生[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)