AD域管理系列（5）-- 灾难恢复

AD域管理系列（5）-- 灾难恢复

环境

主域控制器

Computer Name：test-dca

IP：192.168.100.1

DNS：192.168.100.1

Domain Name：test.com

辅域控制器

Computer Name：test-dcb

IP： address :192.168.100.2

DNS：192.168.100.1

Domain Name：test.com

辅域控制器提升为主域控制器

步骤一：转移FSMO角色

步骤二：删除不作用主机

场景一（主域控制器能够正常通讯，如何将辅域控制器提升为主域控制器）

通过 运行regsvr32.exe schmmgmt.dll

然后通过运行mmc打开控制台来添加Active directory 架构窗口

![](https://s1.51cto.com/images/blog/201902/21/b952853dc702de99d8aa621fcfd960ff.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

 右击Active Directory---操作主机---单机更改---确定，以下是我已经更改完成  

 ![](https://s1.51cto.com/images/blog/201902/21/9f6ad412e66ba0716ca1d3071d1ed851.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

  RID主机角色的传递：运行dsa.msc打开窗口，右击Active Dirctory选择操作主机，选择RID标签单机更改然后确定；以下是我已经更改后的结果 

    ![](https://s1.51cto.com/images/blog/201902/21/1a881a46650cb5f3575902b26930f16a.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

     PDC主机角色的传递：运行dsa.msc打开窗口，右击Active Dirctory选择操作主机，选择PDC标签单机更改然后确定；以下是我已经更改后的结果 

     ![](https://s1.51cto.com/images/blog/201902/21/a0ca26daa72df5acde06ca4834fe766f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

      基础结构主机角色的传递：运行dsa.msc打开窗口，右击Active Dirctory选择操作主机，选择基础结构标签单机更改然后确定；以下是我已经更改后的结果 
        ![](https://s1.51cto.com/images/blog/201902/21/703c30f0915fe47bee8a8392a219705b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

         域命名主机的传递：运行domain.msc打开窗口，右击Active Dirctory选择操作主机，选择更改然后确定；以下是我已经更改后的结果 

当然以上操作也可以通过命令行工具：ntdsutil工具来完成，详细信息见以下：

因为我的虚拟机在windows2008环境下运行，所以该系统自带有ntdsutil工具的

首先在computer name:test-dcb打开命令提示符，输入ntdsutil;及ntdsutil ?查看相关的命令；因为我们要更改角色的所有者，所以运行roles命令

运行roles命令及查看相关操作；通过查看，我们可以通过使用Transfer命令做相关的5个角色的传递

场景一（主域控制器无法正常通讯，如何将辅域控制器提升为主域控制器）

在DCB（额外域控制器）打开命令提示符，运行ntdsutil

我们先在DCB上面看看目前的FSMO的角色属于哪个DC的

通过在DCB上面运行netdom query fsmo，通过查看fsmo的角色还是属于test-dca

通过运行命令：ntdsutil tools强制将fsmo角色传递到DCB（额外域控制器）上

首先在DCB上打开命令提示符，键入ntdsutils ?命令查看相应的操作

我们看到关于ntdsutil的很多命令，那我们用哪个呢，首先就是管理NTDS橘色所有者的令牌，

因为我们要将DCA上得角色传递到DCB上面，所以通过运行roles命令进行相关的操作

我们通过？查看到很多得先关命令，我们这会明白，首先要通过connetions命令连接到

我的DCB server上，然后再通过命令强制将角色传递到该服务器

然后我们再通过敲打connect to server test-dcb连接到DCB(额外域控制器上面做操作)

然后我们通过?来查看相关的操作命令，我们看到了很多，之前我们用了Transger进行fsmo的角色传递

我们下面Seize命令来执行fsmo的角色传递，使用seize工具进行角色传递前提是两个域控制器之间完全没有通信。

我们通过敲打Seize infrastructres master进行

看到以下的图示信息，说明我们已经成功将该角色传递到DCB上面了

我们通过敲打Seize naming master进行

我们通过敲打Seize pdc进行

我们通过敲打Seize rid master进行

![](https://s1.51cto.com/images/blog/201902/21/89cfb8d69695f366cb476de059da6854.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

 我们通过敲打Seize schame master进行 

 ![](https://s1.51cto.com/images/blog/201902/21/9c0b010cabe53f8ed86433ea88bdc4c9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

  我们到目前为止已将fsmo角色全部传递到DCB上了，通过以下图示确定 

    ![](https://s1.51cto.com/images/blog/201902/21/70026ed36bd433576b8f649c87e25d0d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

     删除不作用的域控制器 

     ![](https://s1.51cto.com/images/blog/201902/21/a4bafbb19be0b74ac784e556c504c222.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
      删除不作用的DNS控制器 

        ![](https://s1.51cto.com/images/blog/201902/21/44c8e18daa6ac9481819c6629ad31794.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)