(一)域宕機(更替硬件)的恢復:
1.手動重新配置網絡設置,主機名隨機,如果需要新的DC和原來的DC一樣的名字,必須先使用NTDSUTIL清除源對象後才能建立建立的DC名。在刪除源DC之前,應該確認源DC上不包含5大角色任1(netdom query fsmo),如果有的話需要奪取。
2.建立DNS,添加主機記錄,手工修復SRV記錄,新建同源DNS名稱的主要區域,新建本機A記錄。
3.在源機器上覆制netlogon.dns到新建的netlogon.dns文件中,
4.停止DNS服務並重啓。(在已輔DNS上可以省略以上操作)
5.在輔DC上用NTDSUTIL命令強行佔用Florence的操作主機角色。(注意:AD的備份不能還原60天前的數據,當要執行卷恢復時,如果條件允許儘可能使硬件配置及磁盤容量與源機器一致)。
6.在AD站點和服務工具中,設置DC類型爲全局編錄服務器。
7.在AD用戶和計算機中Domain Controllers刪除源DC對象,在AD站點和服務工具中刪除Servers源DC的鏈接。
8.在AD站點和服務工具檢查複製拓撲。
(二)AD/DNS/DHCP的遷移
場景需求:有一臺DC是dc01,承載着DC,DNS,DHCP,因服務器硬件比較老,打算更換一臺配置比較好的服務器,所以需要把dc08上3項服務遷移到其他服務器上DC02。
遷移順序:
1, 活動目錄—>2, DNS服務—>3, DHCP服務
遷移順序說明:
1.活動目錄作爲基礎架構,我們必須保證在遷移其他服務之前,活動目錄服務是正常的,不然會對其他的服務造成致命的影響.
2.DNS服務和活動目錄緊密結合,所以要和活動目錄一起進行遷移
遷移步驟:
1)提升DC02爲輔助DC(同時安裝DNS),修改雙方的備用DNS信息爲對方ip;
2)在dc02上執行五大角色轉移,並檢查組策略,用戶賬號等信息的同步問題,注意站點屬性勾選爲GC。
3)一般情況下,爲了保證dc02的運行正常,我們需要dc02和dc01同時在線一段時間。
3.在DHCP服務中配置服務器選項,爲客戶端獲取IP增加備用DNS
4.備份DHCP,然後恢復到新服務器上,並撤銷原服務器的dhcp授權(確認無誤後,刪除dc01上的dhcp服務)。
5.客戶端進行測試觀察dhcp和域環境是否正常。
6.新服務運行正常情況下,對dc01進行降級。不要勾選”刪除該域“,卸載服務重啓後退出域環境。
注意事項:
1, 遷移AD的時候一定要注意新舊服務器要同時共存運行一段時間,避免
一些意外的情況發生。
2, 一定要首先保證AD遷移沒有問題在遷移其他服務
3, 做任何操作之前首先要進行備份,防止意外風險。
4, 記錄每一步操作並整理成標準文檔。
(三)使用DNS,請遵循最佳慣例:
1.在不同的網絡上運行分離的域名服務器來取得冗餘性。
2.在網絡外圍和DNS服務器上使用防火牆服務。將訪問限制在那些DNS功能需要的端口/服務上。
1.可能時,限制動態DNS更新。
2.將區域傳送僅限制在授權的設備上。
3.利用事務簽名對區域傳送和區域更新進行數字簽名。
4.隱藏運行在服務器上的BIND版本。
5.刪除運行在DNS服務器上的不必要服務,如FTP、telnet和HTTP。
6.將外部和內部域名服務器分開(物理上分開或運行BINDViews)並使用轉發器(forwarders)。外部域名服務器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置爲只接受來自內部地址的查詢。關閉外部域名服務器上的遞歸功能(從根服務器開始向下定位DNS記錄的過程)。這可以限制哪些DNS服務器與Internet聯繫。