Active Directory災難恢復之
網絡拓撲重建
2008年5月12日 中午14:28分,中國四川省汶川縣發生了比1976年7月28日 當時河北省唐山市地震還要強烈的里氏8.0級地震!隨後的幾分鐘,中國境內北京、甘肅、青海、寧夏、山西、陝西、河南、湖北、上海、廣州、重慶、雲南、山東、湖南、等超過20個省市以及中國比鄰的越南等鄰國均發生里氏4級以上餘震,局部地區震級處5級以上,由於地震影響,通信一度中斷,中央地震局在測知震情後,迅速通報中央,國家主席胡錦濤、國務院總理溫家寶等領導人得知災情後,立即成立5.12震災應急指揮部,溫家寶總理親自擔任總指揮,中共中央副主席習近平、中央國務院副總理回良玉擔任副指揮,並在第一時間做出重要批示!“不惜一切代價,要在第一時間內搶救災民,早到一分鐘,就多救出一條人命!”隨即各省市自治區、直轄市立即開展震災搶險工作,各企事業單位、中國紅十字基金會、演藝界等立即號召捐款救災,在災情發生一週內,負責收納震災捐款的各級銀行及紅十字基金會收到了僅中國境內的慈善捐款達160多億元人民幣,其中不乏個別人士的慷慨捐贈,被譽爲慈善之父的國際巨星成龍大哥,更是以個人名義捐贈了1000萬元人民幣!中國移動、聯通、小靈通隨即開通了手機捐贈平臺,全國人民拿起手機就能進行慈善救助,據抗震救災指揮部統計,各項捐款大多均已到位,這將對抗災救險提供有力保證!
截止2008年5月22 日19點 ,也就是震情發生後的第10天,疑難者已達51151人,四川地區餘震仍舊不斷,救災人員冒着生命危險毅然奔赴與抗震救災一線!至此,我們向我們的一線救災英雄,致以最崇高的敬意!你們是祖國人民的驕傲!
爲儘快展開災後重建工作,各部門加大了力度,鄰近四川的各省市救災與災後重建同時展開,各企事業單位也隨即進入災後重建的隊列中,然而,各企業及部門在重建通訊網路的過程中,問題也隨即而來。
案例一:
某公司基本網絡拓撲如下,內網有三臺域控制器,一臺爲主域控制器,其餘兩臺爲子域控制器,由於公司規模較小,DNS服務器與主域控制器安裝在同一臺PC上,受震災影響,擔任主域控制器的PC被完全物理損毀,內網負責管理的服務器就剩兩臺子域控制器,現在公司要求最快速度還原出網絡拓撲,從而進一步重建其它服務,接到求助後,第一時間規劃出還原方案。
根據之前受傷的該公司管理員描述後,我們用Microsoft ISA2004實驗室的Microsoft Virtual PC 2007虛擬機,以及其中的3套Virtual PC:Florence、Firenze和Berlin來模擬出此次災難恢復的實驗環境,Florence擔任物理損毀的主域控制器,它的角色曾是操作主機、DNS服務器以及全局編錄服務器,其次用Firenze和Berlin來承擔域中兩臺倖免於難的子域控制器。
首先架構公司震前的網絡環境,新建itet.com域,域中部署主域控制器Florence和兩臺子域控制器Firenze和Berlin,(具體部署辦法這裏不在陳述,我的博客中有博文介紹,歡迎閱讀),環境構建好後,我們關閉Florence,並讓其不在出場,下面開始我們AD災難恢復之旅。
開始實驗前我們先勾畫出實驗完成後所要求的目的
1 重建好DNS服務器
2 轉移操作主機角色
3 重建全局編錄服務器
4 AD中清除報廢的主域控制器對象
5 最後,重建的主域控制器於子域控制器間擁有正確的複製拓撲而且能正常複製鏈接
·實施計劃:
(一)角色規劃
.由於公司以給出明確要求:“恢復好的網絡拓撲將直接並永久用於公司內網”。所以我們必須要將主域控制器角色以及操作主機角色、全局編錄服務器角色交予子域控制器中的其中一臺來承擔,它將替代Florence的所有角色,之前小張描述過,Firenze的硬件性能略好於Berlin,並且我們用於替代Florence角色的PCServer將永久擔當這一角色,所以我們決定用Firenze這臺子域控制器來替代Florence,另外由於PC資源緊張並且公司規模較小,負載較輕,DNS服務器就將架設於Firenze中,Firenze最終將擔任Florence的所有角色。
(二)環境模擬
我們在VPC中搭建好原來的網絡架構
1.DNS服務器Florence中建立好名爲ITET.com的域
2.IP及DNS地址配置
Florence爲192.168.11.101;
Firenze爲192.168.11.102;
Berlin爲192.168.11.108;
DNS:均指向DNS服務器Florence: 192.168.11.101.
3.Florence作爲主域控制器、DNS服務器、全局編錄服務器、操作主機。
4.Firenze和Berlin作爲該域的兩臺子域控制器。
5.搭建好災前的網絡環境後,我們將Florence關機,並讓其不在出場。
6.這時我們在重新啓動Firence和Berlin,重啓進入系統後展開各自AD中的站點和服務項,嘗試能否複製拓撲,如圖,出現如下提示
如上圖:域控制器間互相複製拓撲時,出現RPC服務器不可用的錯誤,至此,災難狀態模擬成功!接下來我們開始實施重建。
(三)災難重建
(1). DNS服務器重建
1.把Firenze和Berlin的DNS服務器地址指向將要擔任DNS服務器的Firenze:192.168.11.102如圖:
將Firenze: DNS服務器地址指向自己:192.168.11.102
將Berlin: DNS服務器地址指向Firenze:192.168.11.102,下圖
2. Firenze上開始安裝DNS服務,下圖
掛入適合當前操作系統的OS鏡像,Firenze爲原版2003,因此掛入原版2003的Iso,然後Win+R運行sysocmgr /i:sysoc.inf打開Windows組建安裝嚮導,安裝DNS服務。
點擊確定開始安裝
提示安裝完成,點擊完成退出
DNS安裝完畢,接下來我們新建一個正向主要查找區域ITET.com
3.新建正向主要查找區域
我們Win+R運行dnsmgmt.msc打開DNS管理界面,在正向查找區域上點擊右鍵,然後選擇新建區域,進入新建區域嚮導
選擇新建主要區域,在這裏我們要注意下,如上圖,在最末行我們看見了一項默認打鉤的“在AD中存儲區域”的選項,我們需要去掉這個鉤後在點擊下一步,因爲待會兒重建DNS需要區域文件,我們去掉這個鉤,區域文件將存貯在本地計算機,方便隨後的重建操作。
我們去掉這個鉤,然後繼續下一步進行配置,上圖
出現定義區域名稱嚮導界面,我們輸入模擬原公司域名的實驗域名ITET.com,然後點擊下一步,出現下圖提示
問打算將itet.com的區域文件怎樣命名並存貯與哪裏,(如果之前DNS服務器完好,我們可以選擇使用此現存文件,然後掛入之前的區域文件即可),這裏由於DNS和AD安裝在一臺PC上,而這臺PC以被完全物理損毀,故選擇新建區域文件,同時爲方便記憶,我們選擇默認的區域文件名稱,確認無誤後點擊下一步
這時,嚮導出現了提示是否允許動態更新的界面,這是關鍵的一步,我們要想讓AD複製拓撲正常,一定要選用允許動態更新,因爲只有允許了動態更新,AD之間數據的變化才能及時傳遞給對方,所以我們在此項一定要選用:允許安全和非安全動態更新,然後我們點擊下一步,確認無誤後,完成安裝。
4.向DNS區域文件中導入各域控制器的Netlogon.dns記錄
由於之前DNS 文件的丟失,要重建DNS服務器,必須要向DNS區域文件中導入各域控制器中Netlogon.dns中的SRV記錄、Cname記錄、A記錄和NS記錄,下面看怎樣進行導入。
一. 首先在DNS服務器Firenze中添加一條Berlin的A記錄,並指明Berlin的IP地址:192.168.11.108.如圖
Berlin中重啓Netlogon服務。
接下來我們複製拓撲來進行測試DNS重建是否成功。如圖:
展開子域控制器Firenze的站點與服務,展開Services項,選擇Berlin與Firenze的複製鏈接,右擊選擇立即複製副本,如上圖提示,AD以複製了鏈接,在來選擇Firenze與Berlin的複製鏈接,右擊選擇立即複製副本,下圖
提示AD已複製了連接。
綜上,檢測均成功,DNS重建工作到此完成。下面開始第二項,操作主機角色轉移
二.操作主機角色轉移
切換到Firenze中,打開命令提示符
要轉移操作主機角色,需要用到Ntdsutil命令,我們在Firenze的命令提示符中鍵入ntdsutil,下圖
在ntdsutil下鍵入roles
在roles下鍵入conn(//connections鏈接到一個特定DC)
在connections下鍵入connect to server Firenze.itet.com(//用本登錄的用戶的憑證連接到Firenze.itet.com),下圖
如圖,提示綁定到Firenze.itet.com
鍵入quit,返回上級菜單
在接下來的目錄中我們輸入命令來傳送5個操作主機的角色,
5個命令爲:
Seize domain naminf master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
可以輸入問號,查看5條命令
輸入Seize domain naminf master,轉移域角色
這時當我們點擊確認是後,後出現一個錯誤報告,如下圖
如圖,提示說域角色傳送錯誤,用索取繼續,我們不必多慮,這屬於恢復操作的正常現象。解決辦法
在次輸入Seize domain naminf master進行域角色轉移,(命令提示符中敲上箭頭即可出現之前的輸入記錄,選擇要操作的命令,按回車即可)
問你確實想佔用域角色嗎?點擊是,提示如下圖
如上圖,提示域角色轉移成功,繼續進行角色轉移
輸入:
![]()
![]()
![]()
Seize infrastructure master進行結構角色轉移,下圖
點擊是確認操作
同樣,也出現了傳送失敗的提示,不必多慮,在輸入一次,下圖
點擊是,確認操作
提示傳送成功,繼續進行其他角色轉移
輸入:Seize PDC進行PDC角色轉移,下圖
點擊是,確認操作
同樣,在輸入一次,下圖
提示傳送成功,繼續其他角色轉移
輸入:Seize RID master進行RID角色轉移,下圖
成功,下面進行最後一個角色轉移,架構角色轉移
輸入:
Seize schema master進行架構角色轉移,下圖
提示傳送成功。
至此,操作主機各角色轉移完成,輸入quit退出ntdsutil操作
接着去Firenze中查看操作主機是否如我們所願,成爲了Firenze。
沒問題,Firenze成爲了操作主機,至此操作主機角色轉移工作至此完成,接下來進行全局編錄服務器重建。
(3).重建全局編錄服務器
這步就很簡單了,我們在兩臺域控制器中任意一臺都可完成,打開兩臺域控制器中任意一臺中的站點和服務.
在Berlin中操作,下圖
如上圖:在Berlin中的Firenze中右鍵選擇屬性,勾選全局編錄選項,點擊應用即可完成對想象爲全局編錄服務器的Firenze完成全局編錄服務器任命。
勾選全局編錄選項,點擊確定
然後去Firenze中查看Firenze是否成爲全局編錄服務器
如下圖,選擇Firenze的屬性
如上圖所示,Firenze成爲了全局編錄服務器
至此,全局編錄服務器的重建任務完成!接下來進行Florence對象的清除。
(4).AD中清除報廢的主域控制器對象
這步也很簡單,我們只要在Firenze和Berlin的AD中找到有關Florence的記錄,逐一手工刪除即可。
如圖,Firenze中進行清除操作
這時,問你要選擇怎樣的刪除操作,我們選擇最後一項,將Florence降級並永久脫離使用,確認後點擊刪除。下圖
逐一刪除
如上圖,Firenze中的Florence對象清除完畢,接來下去Berlin進行清除操作。
同樣的也出現了問你要怎樣刪除Florence對象的嚮導,選擇第三項,降級並永久脫離。確認後點擊刪除。
逐一刪除
至此,Florence對象清除工作完成,最後,也是檢查恢復情況的操作,檢查重建的主域控制器於子域控制器間是否擁有正確的複製拓撲並且能正常複製鏈接
(5).檢查複製拓撲
如上圖,提示覆製成功。
如上圖,提示覆製成功。
然後去Berlin中檢查
如上圖,提示覆製成功。
提示覆製成功。
至此,Active Directory災難恢復的網絡拓撲重建到此重建完成!
其他服務器的災難恢復將陸續上傳,敬請期待!
寫在最後:
轉眼已是地震發生後的第40天了,截止2008年6月21日14點,在這次史無前例的大地震中,疑難人數已升至69180人!
此時此刻我相信得知這一最新傷亡數字的中華兒女和海內外同胞們的心情和我一樣都是無比的沉重!沒有太多的語言要表達什麼,因爲心早已麻木,只想對着世界大聲吶喊!四川要在雄起!汶川你要挺住!
