可能看到這個標題有人就會問,怎麼一上來就講恢復啊?不用備份嗎?是的,如果僅僅是活動目錄信息的確是不用備份的。爲什麼?大家還記得我在前面的文章中提到過,從Windows 2000域開始,採用的是多宿主複製的機構,也就是所有的活動目錄修改都會被複制到所有的域控制器上,所以是不需要備份的。只要看一下怎麼恢復就可以了。
先來說明一下實驗環境:
域名:demo.com
第一臺域控制器:
計算機名:server.demo.com
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1
並且FSMO五種角色及GC全部在第一臺域控上。
第二臺域控制器:
計算機名:test20031.demo.com
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.2
災難情況:第一臺域控制器由於硬件原因,導致無法啓動。
這時我們會發現下面的客戶端雖然還可以利用本地緩存進行登陸,但已經無法再利用域資源了,我們的目的就是要讓第二臺額外域控制器來接替第一臺的工作,也就是說把FSMO和GC全部轉移到額外域控制器上來。這裏要分成兩步:
一、首先,要把第一臺域控制器的所有信息從活動目錄裏面刪除:
(1)、點擊“開始-運行”,輸入:“cmd”並回車,在命令提示符下輸入:“ntdsutil”,然後回車,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然後回車的方法來調用使用說明:
在這裏我們要選擇“Metadata cleanup ----清理不使用的服務器的對象”然後依次輸入下面的命令:
然後我們要顯示一下Site中的域:
結果找到兩個,其中“1”是我建的子域,所以這裏要先擇“0”:
通過上面的信息,我們可以看到兩個服務器,其中SERVER是我們要刪除的,因爲它已經DOWN機了。所以這裏要選擇“0”:
選中後,按“q”退出到上一層菜單:
在上圖中點擊“是”:
然後再按2個“q”退出。
(2)、使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中欲刪除服務器對象,
ADSI EDIT在SUPPORT TOOLS工具包裏,打開後,找到如下位置:
擊右鍵,然後選“刪除”就可以了。
(3)、在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
把複製連接也刪除了:
以上有幾個刪除幾個。
二、把FSMO角色強行奪取過來。這裏又要用到“Ntdsutil”了:
我們先要連接到目標服務器上:
連接成功後,按“q”退出到上層菜單,並且看一下幫助信息:
請注意:這裏有兩種方法分別是Seize和Transfer,如果原來的FSMO角色的擁有者處於離線狀態,那麼就要用Seize,如果處於聯機狀態,那麼就要用Transfer。在這裏由於SERVER已經離線了,所以要用“Seize”:
這裏是奪取PDC角色的圖示,點“是”,其它角色的也是一樣的操作,最後退出。
大家了爲安全起見,可以運行一下我上次給轉給大家的腳本:
由上圖可見,所有的FSMO已經轉移到TEST20031服務器上了。最後就是把GC轉移過來:
在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
在“屬性”上單擊:
在“全局編錄”前打外勾,然後確定退出就可以了。
最後到客戶端去修改一下DNS服務器的位置,就可以發現客戶端又可以正常登陸了。而且所有的域資源又可以正常使用。最後請大家注意以下幾點:
1、 在單域控環境中,請儘量的多備份,以保證備份有效性,最好幾種備份類型結合使用。
2、 在多域控環境中,如果用Seize,那麼那臺壞掉的服務器在重裝系統以前請不要回到網絡中來,哪怕是已經修好了,也一定要重新安裝操作系統,爲什麼?因爲FSMO角色具有唯一性,如果此時回到網絡中,那就會出現FSMO角色重複的現象。
3、 在多域控環境中,那臺壞域控修復後,重裝系統,請儘量不要再使用原來的計算機名,以防止產生一些莫名其妙的問題,就讓那臺服務器在網絡裏永遠消失吧!