案例：Active Directory 灾难恢复和DNS重建-阿里云开发者社区

案例：Active Directory 灾难恢复和DNS重建

2017-11-14 1435

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

拓扑如下，由于某种原因，Florence离线，其服务必须迅速由其他DC取代，继续给用户使用。

实验使用 Microsoft ISA2004 实验室的 Microsoft Virtual PC 2007 虚拟机，其中的 3 套 Virtual PC ： Florence 、 Firenze 和 Berlin 来模拟出此次灾难恢复的实验环境。

思路：

1. 由于 DNS 上存有域控制器的主机名称， IP 地址及所扮演的角色等数据，所以在转移操作主机前，要重建 DNS ，添加主机记录，把剩余两台域控制器的 NETLOGON.DNS 文件内的 DNS 备份复制到新建的 DNS 文件中（要先停止 DNS ，在保存修改的内容）。

1. 强行占用 Florence 的操作主机角色，使用 NTDSUTIL 命令。

2. 在 AD 站点和服务工具中，设置全局编录服务器。

3. 在 AD 用户和计算机中删除 Florence 对象，在 AD 站点和服务工具中清除 FLORENCE 的链接

4. 在 AD 站点和服务工具检查复制拓扑，确保 firenze 和 berlin 可以正常的相互复制

实施过程：

1. 重建 DNS

因原 DNS 服务器已丢失，所以可以在 FIRENZE 和 BERLIN 中任选一台 DC 作为 DNS 服务器，这里我选用 FIRENZE 作为 DNS 服务器。

⑴ 在 FIRENZE 中放入与其系统版本相同的系统光盘，这里我的 FIRENZE 操作系统版本号为没有打过 SERVER PARK 的 Windows Server 2003 Enterprise Edition

⑵ 在“控制面板”中选择“添加删除程序” —“添加Windows组件”

在弹出的 WINDOWS 组件向导中选择“网络服务”，在“网络服务”中选择“域名系统 DNS ”，点确定。

之后点击“下一步”即可安装。

如中途弹出需要文件的对话框，可把路径指向光驱所在盘符的 I386 文件夹即可正常复制文件了，这里我的光驱为 D:

，所以我指向“ D:\i386 ”文件夹。点击确定后继续。

当弹出完成“ Windows 组建向导”对话框时，即完成了 DNS 的安装

⑶ 点击“开始” —“程序”—“管理工具”—“DNS”，打开DNS服务管理器。

把丢失的 itet.com 域重新添加到新建的 DNS 中，右击“正向查找区域”—“新建区域”

弹出 DNS 新建区域向导，点击“下一步”出现区域类型选择，这里我们选“主要区域”，并把“在 Active Directory 中存储区域”的单选勾去掉，点击下一步。

区域名称输入“ itet.com ”，点击下一步

区域文件默认即可，点击下一步。

在动态更新选项中，需要选择“允许非安全和安全的动态更新”选项，点击下一步，点击完成就成功建立了 ITET.COM 域

⑷ 在 itet.com 中添加 berlin 主机 IP 。右击“ itet.com ”—“新建主机”

添加 berlin 的主机 IP 及主机名 , 即可把 berlin 的主机记录添加到 DNS 中。

⑸ 复制 firenze 和 berlin 的 netlogon.dns 到新建的 DNS 文件中，手工修复 SRV 记录。

在 firenze 主机中的“我的电脑”地址栏输入“ C:\WINDOWS\system32\config ”，回车即可进入 DNS 备份目录

找到 netlogon.dns 文件，使用记事本打开文件

全选文件内的记录，右击复制

继续在“我的电脑”地址栏内输入：“ C:\WINDOWS\system32\dns ”，回车进入目录

在目录内找到 DNS 记录文件：“ itet.com.dns ”，使用记事本打开，在记录最下面粘贴 netlogon.dns 内的记录

在 berlin 主机里找到 netlogon.dns 文件，复制内容到“ itet.com.dns ”中，不要保存文件，要先停止 DNS 服务。

打开“开始” —“运行”—“services.msc”，回车打开服务管理器。

找到“DNS Server”服务，点击“停止”，停止DNS服务

然后在保存刚修改过的“itet.com.dns”文件，回到服务管理器，重新启动DNS服务。

此时，刷新DNS服务管理会自动刷新出刚添加的SRV记录

到此，firenze和berlin除GC记录的外的所有记录均已恢复。

2. 占用操作主机角色

因为具有操作主机角色的域控制器已经失效，所以其他域控制器不能执行传送操作主机角色的操作，故只能使用占用操作主机角色的方法，将操作主机的角色强迫传送到另外一台域控制器。同时需要具有执行占用操作的相关权限的组或用户，表 1-1 。

角色	有权限的组
架构主机	Schema Admins
域命名主机	Enterprise Admins
RID 主机	Domain Admins
PDC 模拟主机	Domain Admins
基础结构主机	Domain Admins

表 1-1

Administrator 就具有如上权限，所以以下实验都要用这个用户来操作。

FIRENZE 当前用户为 Administrator ，为域管理员

使用 NTDSUTIL 命令来占用操作主机，步骤如下：

⑴ 点击“开始” —“运行”—输入“CMD”

⑵ 在提示符下，运行以下命令： NTDSUTIL ，回车

说明：可输入“？”来查询命令的用法，例如下图。

⑶ 在“ ntdsutil: ”提示符下，输入 Roles ，回车

⑷ 在“ fsmo maintenance: ”提示符下，输入 connections ，回车

⑸ 在“ server connections: ”提示符下，输入 connect to server Firenze.itet.com ，连接到欲扮演操作主机的域控制器

⑹ 在“ server connections ： ”提示符下，输入： quit ，返回上级

菜单

⑺ 在“ fsmo maintenance: ”提示符下，输入： seize schema master ，回车，出现如下对话框时单击“是”

⑻ 从下图得知已经成功占用“架构主机”，由 firenze.itet.com 来扮演

⑼ 继续执行以下 4 个命令来占用其他 4 个操作主机角色

Seize domain naming master

Seize PDC

Seize RID master

Seize infrastructure master

每个命令执行完毕，都会出现确认对话框及已成功占有角色的提示，如下图：

至此， 5 个操作主机角色已经从 Florence 夺取过来，键入 quit 退出 NTDSUTIL。

3 建立全局编录服务器

依然在 firenze 这台域控制器上进行操作。

操作：“开始” —“管理工具”—“Active Directory 站点和服务”，展开firenze—右击“NTDS Settings”—“属性”—勾选“全局编录”。

此时，只要重新启动firenze这台域控制器，DNS就会自动创建GC记录，这时DNS就有了完整的SRV记录。

4 在域内清除Florence对象

Florence 原来是域控制器，所以要在AD用户和计算机中删除域控制器组内的Florence。

操作：“开始”—“程序”—“管理工具”—“Active Directory工具和计算机”—打开“itet.com”目录—选中“Domain Controllers”—右击“Florence”点删除

在弹出的确认对话框中点击“确定”，会弹出一个删除域控制器原因描述的对话框，这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”，然后点击删除即可在AD用户和计算机去除Florence对象。

仅这样删除还是不能够完全删除Florence对象，还需在“Active Directory站点和服务”中删除连接。

操作：“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“Florence”—右击“NTDS settings”，选择删除

会弹出确认对话框，点“确定”，依然会弹出一个删除域控制器原因描述的对话框，这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”，点击删除，就可以删除已经建立好的与其他俩个域控制器间的连接。

这时，右击“servers”中的Florence，就可以彻底删除Florence对象了。

这时其他俩个域控制器内仍有与Florence的链接，只需等待KCC重新复制完拓扑，就可以看到正常的复制链路了。

或者直接在firenze的“NTDS settings”右击，选择“所有任务”—“检查复制拓扑”，然后再刷新站点，就可以看到正常的链接了。

正常的链接链路如下：

到此， Florence 对象已经从两个域控制器上彻底清除。

5 检查复制拓扑，确保两站点可以正常复制

操作：“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“berlin”服务器—“NTDS settings”—右击链接，选择“立即复制副本”，当出现“Active Directory 已经复制了连接”对话框时，表明Berlin可以正常的从firenze复制。