在实际企业运用中,windows域可以很方便的帮助管理员维护公司上网网络环境,但同时AD的维护同样重要,如ad数据库的碎片压缩,已达到节省磁盘空间的只能,ad的备份,差异备份,增量备份,计划备份等。在企业中一般我推荐使用pdc和bdc的操作架构,同时在两台机子上同时安装dns,将dns指向自己,***将pdc和bdc都设成gc,这样方便客户登陆。其中关于备份恢复及碎片压缩的使用,我推荐大家上岳雷老师的博客上看看,下面我主要介绍下在没有备份的情况下,多域控制器环境下Active Directory灾难恢复。废话不多说,下面开讲;
目的:多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行
前提;大家要了解操作主机的几种角色及用途,详情参见我的博文
为什么结构主机和全局编录服务器不能放在同一个域控制器上
步骤详解:1.Active Directory操作主机角色概述
2.环境分析
3.从AD中清除主域控制器DC-01.xuexi.com 对象
4.在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作
5.设置额外域控制器为GC(全局编录)
6.重新安公司xuexi.com(虚拟)有一台主域控制器DC-01.xuexi.com,还有一台二.额外域控制器DC-02.xuexi.com。现主域控制器(DC-01.xuexi.com)突然down掉(太不给我面子了),事先又没有DC-01.xuexi.com的系统状态备份,没办法通过备份修复主域控制器(DC-01.xuexi.com),我们怎么让额外域控制器(DC-02.xuexi.com)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。装并恢复损坏主域控制器
从AD中清除主域控制器DC-01.xuexi.com对象
三.1在额外域控制器(DC-02.xuexi.com)上通过ntdsutil.exe工具把主域控制器(DC-01.xuexi.com)从AD中删除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain xuexi.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=xuexi,DC=com
Found 1 domain(s)
0 - DC=xuexi,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
Domain - DC=xuexi,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xuexi,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具,展开Domain NC[DC-02.test.com],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-01,选择Delete,单击Yes按钮
四,夺取操作主机角色
用ntdsutil。exe
ntdsutil ?
roles/
connections?
connect to server xuexi.com
Seize domain naming master 指定域命名主机
Seize infrastructure master 指定结构主机
Seize PDC 指定PDC主机
Seize RID master 指定RID主机
Seize schema master 指定架构主机
quit
quit
关掉cmd
最后一步;
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开DC-02.xuexi.com(额外控制器),右击NTDS Settings选择属性,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器。
接着格式化dc1。重新安装操作系统,dcpromo,做额外域控制器,设dns,设GC
至于转不转移主机角色,这点你看着办,呵呵
如果dc2在线的话转移用transfer,别错了,步骤都是一样的,
补充下:用transfer是连接到要转移的机器上,还有五条命令是强行把连接到的域控制器指定为操作主机角色用size,因为用size是经常是另一台dc已经down掉的情况下我们才做的。
ok 结束
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/366962,如需转载请自行联系原作者
