主域故障无法启动,额外域提升Active Directory灾难恢复
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行.
目录
Active Directory操作主机角色概述
环境分析
从AD中清除主域控制器https://www.doczj.com/doc/5518648745.html, 对象
在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
设置额外域控制器为GC(全局编录)
一、环境分析
公司https://www.doczj.com/doc/5518648745.html,(虚拟)有一台主域控制器https://www.doczj.com/doc/5518648745.html,,还有一台额外域控制器
https://www.doczj.com/doc/5518648745.html,。现主域控制器(https://www.doczj.com/doc/5518648745.html,)由于硬件故障突然损坏,事先又没有
https://www.doczj.com/doc/5518648745.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.doczj.com/doc/5518648745.html,),我们怎么让额外域控制器(https://www.doczj.com/doc/5518648745.html,)替代主域控制器,使Acitvie Directory继续正常运行.
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC
2007-11-26 08:51
2007-11-26 08:51
操作步骤:
1. 从AD中清除主域控制器https://www.doczj.com/doc/5518648745.html,对象
在额外域控制器(https://www.doczj.com/doc/5518648745.html,)上通过ntdsutil.exe工具把主域控制器(https://www.doczj.com/doc/5518648745.html,)从AD中删除;
出现对话框以及FSMO角色转换,点确定
2007-11-26 08:52
0005_cmd.JPG(55.19 KB) 2007-11-26 08:52
0008_cmd.JPG(29.22 KB) 2007-11-26 08:53
0009_cmd.JPG(29.65 KB) 2007-11-26 08:53
2. 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中T1服务器对象,ADSI EDIT是Windows 2003 support tools中的工具,你需要安装Windows 2003 support tool,安装程序在windows 2003光盘中的support\tools 目录下。打开ADSI EDIT工具,展开Domain NC[https://www.doczj.com/doc/5518648745.html,],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把T1服务器对象删除,如图:
3.3 在Active Directory Sites and Service中删除T1服务器对象,打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开
Default-First-Site-Name,展开Servers,右击T1,选择Delete,单击Yes按钮,如图:附件 - 如何获取无忧币 - 下载扣无忧币规则
Adsi_Edit.JPG(38.24 KB)
2007-11-26 08:54
AD_01.JPG(32.24 KB)
2007-11-26 08:54
3. 设置额外控制(https://www.doczj.com/doc/5518648745.html,)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开https://www.doczj.com/doc/5518648745.html,(额外控制器),右击NTDS Settings选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
2007-11-26 08:55
后续部分换成功转换之后抓图,有不好的地方,请大家指教2007-11-26 08:56
0013_Pc.JPG(68.82 KB) 2007-11-26 08:56
记得一定要先安装光盘中TOOLS里面的SUPTOOLS.MSI,在运行SUPPORT.CAB解压里面的Adsiedit.msc
否则会出现以下错误,提示MMC无法创建管理单元
2007-11-26 08:57
一个域中可以安装多个域控制器,即额外域控制器。即使在一个域控制器停止工作的情况下,也能保证 Active Directory 的有效性。主域控制器无法启动时,我们可以使用的方法是:
安装光碟:\SUPPORT\TOOLS\SUPTOOLS.MSI即包含了ntdsutil.exe
转移:transfer ,旧的DC如果还能正常工作或还能启动的情况下我们的操作可以用转移,转移可以在图形化和命令行下完成,转移后,旧的DC就可以重新安装操作系统了。
抓取:seize,抓取是指旧的DC已经不能正常工作,或已经不能启动,那么带给网络管理员的麻烦是,域中的某些计算机已经不能正常登陆到域中,此时需要使用强迫抓取,将五种操作主机都强制到可用的DC上
使用命令完成操作:
ntdsutil 进入ntds工具提示符
roles 调整操作主机角色
connections 进入连接模式
connect to server "DC名" 连接到可用DC上
quit 返回上层菜单
transfer pdc (或其他)进行转移或抓取
quit 退出
额外域控制器接替域控制器的步骤:
1 首先主域控制器坏了,额外域控制器是不会自动接替工作的,导致的后果就是域用户无法登陆(如果禁止缓存)。
2 要使额外域控制器接替工作,只能把额外域控制器升级为主域控,操作的办法是抢夺FSMO和全局编录角色。
3 抢夺角色需要安装ntdsutil.exe工具。简单描述如下:
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain https://www.doczj.com/doc/5518648745.html,(这里选额外域控制器)
连接成功后,按“q”退出到上层菜单
这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”。
fsmo maintenance:Seize domain naming master
出现对话框,按“确定“
fsmo maintenance:Seize infrastructure master
出现对话框,按“确定“
fsmo maintenance:Seize PDC
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
4 打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开PDC,右击NTDS Settings选择属性:在"全局编目"前面打勾,单击"确定"按钮,然后重新启动服务器。
额外域控制器如何接替域控制器是每个系统管理员应该掌握的技术,希望本文能够对读者有所帮助。