多域控制器环境下Active Directory灾难恢复

简介:
在实际企业运用中,windows域可以很方便的帮助管理员维护公司上网网络环境,但同时AD的维护同样重要,如ad数据库的碎片压缩,已达到节省磁盘空间的只能,ad的备份,差异备份,增量备份,计划备份等。在企业中一般我推荐使用pdc和bdc的操作架构,同时在两台机子上同时安装dns,将dns指向自己,最好将pdc和bdc都设成gc,这样方便客户登陆。其中关于备份恢复及碎片压缩的使用,我推荐大家上岳雷老师的博客上看看,下面我主要介绍下在没有备份的情况下,多域控制器环境下Active Directory灾难恢复。废话不多说,下面开讲;
目的: 多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行
前提;大家要了解操作主机的几种角色及用途,详情参见我的博文

为什么结构主机和全局编录服务器不能放在同一个域控制器上

步骤详解:1.Active Directory操作主机角色概述
2.环境分析
3.从AD中清除主域控制器DC-01.xuexi.com 对象
4.在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
5.设置额外域控制器为GC(全局编录)
6.重新安
公司xuexi.com(虚拟)有一台主域控制器DC-01.xuexi.com,还有一台二.额外域控制器DC-02.xuexi.com。现主域控制器(DC-01.xuexi.com)突然down掉(太不给我面子了),事先又没有DC-01.xuexi.com的系统状态备份,没办法通过备份修复主域控制器(DC-01.xuexi.com),我们怎么让额外域控制器(DC-02.xuexi.com)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。装并恢复损坏主域控制器

从AD中清除主域控制器DC-01.xuexi.com对象
三.1在额外域控制器(DC-02.xuexi.com)上通过ntdsutil.exe工具把主域控制器(DC-01.xuexi.com)从AD中删除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain xuexi.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=xuexi,DC=com
Found 1 domain(s)
0 - DC=xuexi,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
Domain - DC=xuexi,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server

出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具,展开Domain NC[DC-02.test.com],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮
四,夺取操作主机角色
用ntdsutil。exe
ntdsutil ?
roles/
connections?
connect to server xuexi.com
Seize domain naming master    指定域命名主机
Seize infrastructure master     指定结构主机
Seize PDC                   指定 PDC 主机
Seize RID master             指定 RID 主机
Seize schema master          指定架构主机
quit
quit
关掉cmd
最后一步;
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开DC-02.xuexi.com(额外控制器),右击NTDS Settings选择属性,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
接着格式化dc1。重新安装操作系统,dcpromo,做额外域控制器,设dns,设GC
至于转不转移主机角色,这点你看着办,呵呵
如果dc2在线的话转移用transfer,别错了,步骤都是一样的,
补充下:用transfer是连接到要转移的机器上, 还有五条命令是强行把连接到的域控制器指定为操作主机角色用size,因为用size是经常是另一台dc已经down掉的情况下我们才做的。
ok 结束

本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/366962,如需转载请自行联系原作者
相关文章
|
2月前
|
存储 监控 安全
保护Active Directory:备份和恢复的重要性及实施指南
ManageEngine的ADSelfServicePlus现在支持离线多因素身份验证,确保即使在无网络连接时也能保护企业数据。这增强了远程工作的安全性,符合国防、医疗和金融等行业的合规要求。