在AD中如何恢復主域控制器(使用ntdsutil.exe工具執行奪取五種FMSO操作)

tonykorn97發表於2006-10-14

摘要

本文講述了在多域控制器環境下,主域控制器由於硬體故障突然損壞,而又事先又沒有做好備份,如何使額外域控制器接替它的工作,使Active Directory正常執行,並在硬體修理好之後,如何使損壞的主域控制器恢復。


目錄

Active Directory操作主機角色概述

環境分析

從AD中清除主域控制器DC-01.test.com 物件

在額外域控制器上透過ntdsutil.exe工具執行奪取五種FMSO操作

設定額外域控制器為GC(全域性編錄)

重新安裝並恢復損壞主域控制器 附:用於檢測AD中五種操作主機角色的指令碼


一、Active Directory操作主機角色概述

Active Directory 定義了五種操作主機角色(又稱FSMO):

架構主機 schema master、

域命名主機 domain naming master

相對標識號 (RID) 主機 RID master

主域控制器模擬器 (PDCE)

基礎結構主機 infrastructure master

而每種操作主機角色負擔不同的工作,具有不同的功能:

架構主機

具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複製到目錄林中的所有其它域控制器中。 架構主機是基於目錄林的,整個目錄林中只有一個架構主機。

域命名主機

具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC:

向目錄林中新增新域。

從目錄林中刪除現有的域。

新增或刪除描述外部目錄的交叉引用物件。

相對標識號 (RID) 主機

此操作主機負責向其它 DC 分配 RID 池。只有一個伺服器執行此任務。在建立安全主體(例如使用者、

組或計算機)時,需要將 RID 與域範圍內的識別符號相結合,以建立唯一的安全識別符號 (SID)。 每一個

Windows 2000 DC 都會收到用於建立物件的 RID 池(預設為 512)。RID 主機透過分配不同的池來確保這

些 ID 在每一個 DC 上都是唯一的。透過 RID 主機,還可以在同一目錄林中的不同域之間移動所有物件。

域命名主機是基於目錄林的,整個目錄林中只有一個域命名主機。相對標識號(RID)主機是基於域的,目錄林中的每個域都有自己的相對標識號(RID)主機

PDCE

主域控制器模擬器提供以下主要功能:

向後相容低階客戶端和伺服器,允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境將密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗後,它會與 PDCE 取得聯絡,以檢視該密碼是否可以在那裡得到驗證,也許其原因在於密碼更改還沒有被複制到驗證 DC 中。

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。

PDCE是基於域的,目錄林中的每個域都有自己的PDCE。

基礎結構主機

基礎結構主機確保所有域間操作物件的一致性。當引用另一個域中的物件時,此引用包含該物件的

全域性唯一識別符號 (GUID)、安全識別符號 (SID) 和可分辨的名稱 (DN)。如果被引用的物件移動,則在域中擔

當結構主機角色的 DC 會負責更新該域中跨域物件引用中的 SID 和 DN。

基礎結構主機是基於域的,目錄林中的每個域都有自己的基礎結構主機

預設,這五種FMSO存在於目錄林根域的第一臺DC(主域控制器)上,而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在於子域中的第一臺DC。


二、環境分析

公司Test.com(虛擬)有一臺主域控制器DC-01.test.com,還有一臺額外域控制器DC-02.test.com。現主域控制器(DC-01.test.com)由於硬體故障突然損壞,事先又沒有DC-01.test.com的系統狀態備份,沒辦法透過備份修復主域控制器(DC-01.test.com),我們怎麼讓額外域控制器(DC-02.test.com)替代主域控制器,使Acitvie Directory繼續正常執行,並在損壞的主域控制器硬體修理好之後,如何使損壞的主域控制器恢復。

如果你的第一臺DC壞了,還有額外域控制器正常,需要在一臺額外域控制器上奪取這五種FMSO,並需要把額外域控制器設定為GC。

三、從AD中清除主域控制器DC-01.test.com物件

3.1在額外域控制器(DC-02.test.com)上透過ntdsutil.exe工具把主域控制器(DC-01.test.com)從AD中刪除;

c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server

出現對話方塊,按“確定“刪除DC-01主控伺服器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中DC-01伺服器物件,

ADSI EDIT是Windows 2000 support tools中的工具,你需要安裝Windows 2000 support tool,安裝程式在windows 2000光碟中的supporttools目錄下。開啟ADSI EDIT工具,展開Domain NC[DC-02.test.com],展開OU=Domain controllers,右擊CN=DC-01,然後選擇Delete,把DC-01伺服器物件刪除,如圖1:

3.3 在Active Directory Sites and Service中刪除DC-01伺服器物件

開啟Administrative tools中的Active Directory Sites and Service,展開Sites,展開Default-First-Site-Name,展開Servers,右擊DC-01,選擇Delete,單擊Yes按鈕,如圖2:


z
四、在額外域控制器上透過ntdsutil.exe工具執行奪取五種FMSO操作

c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0

select operation target: quit
fsmo maintenance:Seize domain naming master
出現對話方塊,按“確定“
fsmo maintenance:Seize infrastructure master
出現對話方塊,按“確定“
fsmo maintenance:Seize PDC
出現對話方塊,按“確定“
fsmo maintenance:Seize RID master
出現對話方塊,按“確定“
fsmo maintenance:Seize schema master
出現對話方塊,按“確定“
fsmo maintenance:quit
ntdsutil: quit
(注:Seize是在原FSMO不線上時進行操作,如果原FSMO線上,需要使用Transfer操作)

五、設定額外控制(DC-02.test.com)為GC(全域性編錄)

開啟Administrative Tools中的Active Directory Sites and Services,展開Sites,展開Default-First-Site-Name,展開Servers,展開DC-02.test.com(額外控制器),右擊NTDS Settings選擇Properties,然後在"Global Catalog"前面打勾,單擊"確定"按鈕,然後重新啟動伺服器。


六、重新安裝並恢復損壞主域控制器

修理好DC-01.test.com損壞的硬體之後,在DC-01.test.com伺服器重新安裝Windows 2000 Server,安裝好Windows 2000 Server之後,再執行Dcpromo升成額外的域控制器;如果你需要使DC-01.test.com擔任五種FMSO角色,透過ntdsutil工具進行角色轉換,進行Transfer操作就行了(注意:不能用Seize)。並透過Active Directory Sites and Services設定DC-01.test.com為GC,取消DC-02.test.com的GC功能。

建議domain naming master不要和RID master在一臺DC上,而domain naming master同時必須為GC。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/312079/viewspace-245492/,如需轉載,請註明出處,否則將追究法律責任。

相關文章