主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.. ..关于AD灾难恢复,最终测试..
关于AD灾难恢复有很多非常好技术文章可以参考,在狗狗搜索NNN编,但为何还是要写这篇呢,‘听不如看,看不如做,做不如写’嘿嘿,反正写写没多难,最紧要入脑袋!!
其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~ 本贴说明:
....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!! AD、DC说明: .域名:abc.com ..主域:DC-ISA-NLB-1 ..副域:DC-ISA-NLB-2 .系统:2003企业版
故障情况:(真实环境跑完全过程..) ..主域崩溃,副域无法正常工作,如:
....无法浏览abc.com 中 Active Directory用户和计算机,提示无法连接错误; ....AD管理项目均报错,组策略.....等; ....域用户无法登录;
解决方法:(以上是在副域上操作)
..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录; ..使用命令:ntdsutil.....AD工具 ..过程:(大概6-8分钟)
C:\\Documents and Settings\\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections
server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ...
用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles
fsmo maintenance:Seize domain naming master ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’ fsmo maintenance:Seize PDC ‘点OK’ fsmo maintenance:Seize RID master ‘点OK’ fsmo maintenance:Seize schema master ‘点OK’ ‘关闭CMD窗口’...~~
以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧: ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’; .....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’; ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA-NLB-1’; ...........a.选中分支‘NTDS Settings’; ...........b.点击‘删除’,对话框‘选择第三项’;
.....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’; .....3.点击‘DC-ISA-NLB-2’ ...........a.选中分支‘NTDS Settings’
...........b.点击右键选择‘属性’,全局编录前打上勾; 完工....以上搞点后,余下就可以慢慢修复你的主域了。
1
注释:关于利用强占(Seize)方式解决问题有什么后遗症,我就没去深入研究了(现在专研ISA中),有兴趣了解朋友可以去微软查查资料... 题外话:
在企业中,出现以上状况对管理员是非常头痛事情,要在最段时间解决,必须依赖你的前瞻性,如: ...1.尽可能避免在域DC部署第三方服务器软件;...否则折磨死你了.. ...2.良好备份AD数据习惯;...在解决问题时可以节省很多时间..
......如:域DC出现故障,不让你降级,也不让新DC加入...但新DC又必须加入..够郁闷事情. ..........没时间限制,大家都可以慢慢研究,但实际情况呢.--今天刚好碰上,这文章也是解决完后所写... ...3.非要部署服务器软件到DC上,必须先在模拟机上跑一段时间;...减少突发问题.. ----------------------------------------------------------
‘模拟测试一完成,但有疑问看本帖最后部分’..(感谢版主置顶)
以下是在Wmware 5.0环境下测试,但只限于DC1、DC2在线情况下,主域控制器损坏后进行修复. 请留意最后信息内容,那位有经验得,麻烦补补,省走些歪路~~谢谢! 模拟系统:2003企业版 模拟机器:2台 模拟域名:abc.com
模拟主域控制器计算机名:DC2 模拟额外域控制器计算机名:DC1 模拟DNS服务器:DC2
模拟故障情况:(测试一 前期部分)
1.DC2、DC1同时在线,DC2因特殊情况启动,但启动后故障无法登录系统,蓝屏严重崩溃. 测试解决方法:
1.DC1使用强占FSMO方式,夺取五个权限 a.架构主机 Schema master b.域命名主机 Domain naming master c.相对标识号(RID)主机 RID master d.主域控制器模拟器 PDCE
e.基础结构主机 Infrastructure master 2.将DC1设置为GC(全局编录) 3.在DC1安装DNS服务器
4.使用微软FSMO脚本验证,以确定FSMO是否正确 步骤:
1.命令行:ntdsutil
..........ntdsutil: metadata cleanup
..........metadata cleanup: select operation target ..........select operation target: connections
..........server connections: connect to domain abc.com ..........(此处有连接域名后会有凭证信息) ..........server connections:quit ..........select operation target: list sites ..........Found 1 site(s)
..........0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........select operation target: select site 0
..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........No current domain ..........No current server
..........No current Naming Context
..........select operation target: List domains in site ..........Found 1 domain(s)
2
..........0 - DC=abc,DC=com ..........Found 1 domain(s) ..........0 - DC=abc,DC=com
..........select operation target: select domain 0
..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........Domain - DC=abc,DC=com ..........No current server
..........No current Naming Context
..........select operation target: List servers for domain in site ..........Found 2 server(s)
..........0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........select operation target: select server 0 ..........select operation target: quit
..........metadata cleanup:Remove selected server
..........注意:2003到此会提示(是否强占信息,全部安确定,但会提示错误,不用理会) 2.打开 AD站点和服务 手动删除 DC2残留信息,并在DC1全局编录属性上打勾 3.安装DNS 4.测试DNS
5.重启后,在DC1上运行微软 FSMO 脚本验证一下,如提示五个权限已经为DC1代表已经成功 注明:
1.第三步信息因为是网上找得(模拟机太慢没截图),虽然经过验证并修改,但还是有些不同,信息只提供参考... 2.以上情况为DC1、DC2在线情况下,DC2(主域控制器)崩溃修复方案. 往下会测试:
1.DC2重装后添加为额外域控制器,然后再提升为主域控制器.
2.DC1、DC2 启动过程,DC2崩溃特殊情况下修复测试.(已小测一下,有区别..在于connect to domain abc.com时候提示错误..)...原因估计是额外域控制器启动后,但因为主域控制器崩溃无法登录,有某些信息没传递到额外域控制器,导致连接失败.. ----------------------------------------------------------------------------------------------------------------------- 模拟故障情况:(测试一 后续部分)
2.在解决模拟故障(测算一 前期部分)因DC2主域控制器损坏,DC1强占FSMO测试,DC2重装系统后恢复为主域控制器; 测试解决方法:(视实际需要,如后备服务器性能及稳定性不及原服务器,建议恢复) 1.DC2重装系统
2.以额外域控制器身份加入原域
3.通过在DC2使用ntdsutil命令将FSMO转移到DC2 4.在DC2安装DNS服务器 步骤:
1.命令行:ntdsutil
..........ntdsutil: metadata cleanup
..........metadata cleanup: select operation target ..........select operation target: connections
..........server connections: connect to domain abc.com ..........(此处有连接域名后会有凭证信息) ..........server connections:quit ..........metadata cleanup: quit ..........ntdsutil:roles
..........fsmo maintenace:transfer domain naming master ..........提示转移角色按确定
..........fsmo maintenace:transfer infrastructure master
3
..........提示转移角色按确定 ..........fsmo maintenace:transfer PDC ..........提示转移角色按确定
..........fsmo maintenace:transfer RID master ..........提示转移角色按确定
..........fsmo maintenace:seize schema master ..........提示强占角色按确定 ..........ntdsutil:quit
..........执行FSMO.vbs脚本检测,提示五个权限已经为DC2代表已经成功 2.在DC2上安装DNS服务器
3.可以使用Windows2003额外工具检测域数据库及DNS是否正确 ???????????????????????????? ...转移...fsmo maintenace:transfer schema master..失败 ...强占...fsmo maintenace:seize schema master.....成功 -------------------------------------------------------
是否操作有误还是必须使用强占命令...那位知道补补...谢谢 ????????????????????????????
本文于2005-08-11 13:56:14.113被 9754201386 修改过。这是本帖的第6次修改。 本文于2005-10-25 22:51:52.091被 9754201386 修改过。这是本帖的第7次修改。 TO:9754201386 ,辛苦啦!
1.DC2、DC1同时在线,DC2因特殊情况启动,但启动后故障无法登录系统,蓝屏严重崩溃. 崩溃了也没进系统。楼主这样也是在线么?
2.打开 AD站点和服务 手动删除 DC2残留信息,并在DC1全局编录属性上打勾
因为我没AD,所以想问一下,手动删除的DC2残留信息都是些什么东西? 在你第一个测试完成后是不是意味着DC1成为了主域控制器? 同时DC1里面的东西都跟DC2当机后的信息一致?
3,ntdsutil到底是用来检测还是用来转移FSMO?文中好像两个功能都说了,不过我理解是后者,对么? 另FSMO.vbs是怎么使用的?CMD下运行吗?
4,完成了上面的两个测试是不是意味着把崩溃的DC2恢复为原前的主域控制器? 本文于2005-08-12 08:40:45.804被 紫玄冰 修改过。这是本帖的第1次修改。 回复:
1.DC2、DC1同时在线:
.......定义为:DC2、Dc1 已经正常登录系统,DC2启动后故障,但DC1还在线情况; 2.打开 AD站点和服务 手动删除 DC2残留信息:
.......此步是在DC1上操作,删除DC2残留信息(信息内容跟AD有关,麻烦搜寻AD相关内容查看); .......域服务器间AD数据有自动复制功能,信息会按默认时间自动同步; .......测试一前期部分,ABC.COM只有DC1一台服务器,并且是主域控制器;
.......测试一前期部分,DC2已经不存在了,DC1上信息为DC2当机前是否已经同步数据为准; 3.ntdsutil
.......建议上微软查看,有详细说明
.......功能强大,可查看、删除、转移、强占... .......FSMO.VBS可以命令行运行或直接双击运行
4,完成了上面的两个测试是不是意味着把崩溃的DC2恢复为原前的主域控制器? .......正确,恢复后DC2为主域控制器、DC1为额外控制器 测试二 已完成
模拟故障情况:修复已崩溃主域控制器,并使之返回域并充当主域控制及使用崩溃前主域控制器备份 ..............数据强制覆盖其它DC上; AD恢复模式:授权恢复、非授权恢复
4
AD恢复模式区别:
......1.授权恢复:当其他的域控制器包含了无效的复制和数据时,可以采用授权恢复方式,这种情况 ..................下,你可以手工指定你要恢复整个数据库或某个分支,并指定本地的恢复操作是权 ..................威的。所谓的权威,就是当发生目录复制时,以本地数据为准。授权恢复要修改AD ..................的升级序号,这样它的序号就高于其他的DC了,从而使本地的恢复数据能复制给其 ..................他的DC;
......2.非授权恢复:大多数的恢复操作都是非授权的。当你发现一台DC的数据有问题,而确信其他的 ....................DC数据是正常的,就可以使用非授权恢复。恢复完成后,DC会重新比较升级序号 ....................并参与正常的复制。也就是说,通过非授权恢复的数据可能在复制中被改写; AD使用恢复模式注意(必须符合以下三点): ...1. 服务器名应和备份时一样 ;
...2. 系统文件夹所在驱动器应与备份时相同 ; ...3. 目录保存路径应和备份时相同; 模拟技术要求:使用AD授权恢复; 模拟系统:2003企业版 模拟机器:2台 模拟域名:abc.com
模拟主域控制器计算机名:DC1 模拟额外域控制器计算机名:DC2 模拟DNS服务器:DC1、DC2 方案验证次序:
...1.用‘测试一’方案修复故障主域控制器并恢复为域中主域控制器(过程跳过); ...2.主域控制器在目录恢复模式下使用授权恢复崩溃前主域控制器备份数据; ...3.验证崩溃前主域控制器备份数据是否已经强制覆盖到其它DC上; 步骤:
...1.DC1启动后按F8,并选择目录还原模式,确认登录; ...2.Ntbackup执行备份的还原操作;
...3.在完成非授权模式还原后提示需要重启动,选择№,否则需重新执行第一步操作; ...4.命令行:ntdsutil
………………authoritative restore ………………restore database ………………yes ………………quit
...5.待确认多域中其它DC数据已经同步后再重启主域控制器;
5
相关推荐:
loading