在AD中如何恢復主域控制器(使用ntdsutil.exe工具執行奪取五種ＦＭＳＯ操作)

摘要

本文講述了在多域控制器環境下，主域控制器由於硬體故障突然損壞，而又事先又沒有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常執行，並在硬體修理好之後，如何使損壞的主域控制器恢復。

目錄

Active Directory操作主機角色概述

環境分析

從AD中清除主域控制器DC-01.test.com 物件

在額外域控制器上透過ntdsutil.exe工具執行奪取五種ＦＭＳＯ操作

設定額外域控制器為ＧＣ（全域性編錄）

重新安裝並恢復損壞主域控制器 附:用於檢測AD中五種操作主機角色的指令碼

一、Active Directory操作主機角色概述

Active Directory 定義了五種操作主機角色（又稱ＦＳＭＯ）：

架構主機 schema master、

域命名主機 domain naming master

相對標識號 (RID) 主機 RID master

主域控制器模擬器 (PDCE)

基礎結構主機 infrastructure master

而每種操作主機角色負擔不同的工作，具有不同的功能：

架構主機

具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機複製到目錄林中的所有其它域控制器中。 架構主機是基於目錄林的，整個目錄林中只有一個架構主機。

域命名主機

具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC：

向目錄林中新增新域。

從目錄林中刪除現有的域。

新增或刪除描述外部目錄的交叉引用物件。

相對標識號 (RID) 主機

此操作主機負責向其它 DC 分配 RID 池。只有一個伺服器執行此任務。在建立安全主體（例如使用者、

組或計算機）時，需要將 RID 與域範圍內的識別符號相結合，以建立唯一的安全識別符號 (SID)。 每一個

Windows 2000 DC 都會收到用於建立物件的 RID 池（預設為 512）。RID 主機透過分配不同的池來確保這

些 ID 在每一個 DC 上都是唯一的。透過 RID 主機，還可以在同一目錄林中的不同域之間移動所有物件。

域命名主機是基於目錄林的，整個目錄林中只有一個域命名主機。相對標識號（RID）主機是基於域的，目錄林中的每個域都有自己的相對標識號（RID）主機

PDCE

主域控制器模擬器提供以下主要功能：

向後相容低階客戶端和伺服器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境將密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗後，它會與 PDCE 取得聯絡，以檢視該密碼是否可以在那裡得到驗證，也許其原因在於密碼更改還沒有被複制到驗證 DC 中。

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。

PDCE是基於域的，目錄林中的每個域都有自己的PDCE。

基礎結構主機

基礎結構主機確保所有域間操作物件的一致性。當引用另一個域中的物件時，此引用包含該物件的

全域性唯一識別符號 (GUID)、安全識別符號 (SID) 和可分辨的名稱 (DN)。如果被引用的物件移動，則在域中擔

當結構主機角色的 DC 會負責更新該域中跨域物件引用中的 SID 和 DN。

基礎結構主機是基於域的，目錄林中的每個域都有自己的基礎結構主機

預設，這五種ＦＭＳＯ存在於目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在於子域中的第一臺DC。

二、環境分析

公司Test.com（虛擬）有一臺主域控制器DC-01.test.com，還有一臺額外域控制器DC-02.test.com。現主域控制器（DC-01.test.com）由於硬體故障突然損壞，事先又沒有DC-01.test.com的系統狀態備份，沒辦法透過備份修復主域控制器（DC-01.test.com），我們怎麼讓額外域控制器（DC-02.test.com）替代主域控制器，使Acitvie Directory繼續正常執行，並在損壞的主域控制器硬體修理好之後，如何使損壞的主域控制器恢復。

如果你的第一臺ＤＣ壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種ＦＭＳＯ，並需要把額外域控制器設定為GC。

三、從AD中清除主域控制器DC-01.test.com物件

3.1在額外域控制器(DC-02.test.com)上透過ntdsutil.exe工具把主域控制器(DC-01.test.com)從ＡＤ中刪除；

c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server ０
select operation target: quit
metadata cleanup:Remove selected server

出現對話方塊，按“確定“刪除DC-01主控伺服器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中DC-01伺服器物件，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安裝Windows 2000 support tool，安裝程式在windows 2000光碟中的supporttools目錄下。開啟ADSI EDIT工具，展開Domain NC[DC-02.test.com]，展開OU=Domain controllers，右擊CN=DC-01，然後選擇Delete，把DC-01伺服器物件刪除，如圖1：

3.3 在Active Directory Sites and Service中刪除DC-01伺服器物件

開啟Administrative tools中的Active Directory Sites and Service，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，如圖2：

z
四、在額外域控制器上透過ntdsutil.exe工具執行奪取五種ＦＭＳＯ操作

c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server ０

select operation target: quit
fsmo maintenance:Seize domain naming master
出現對話方塊，按“確定“
fsmo maintenance:Seize infrastructure master
出現對話方塊，按“確定“
fsmo maintenance:Seize PDC
出現對話方塊，按“確定“
fsmo maintenance:Seize RID master
出現對話方塊，按“確定“
fsmo maintenance:Seize schema master
出現對話方塊，按“確定“
fsmo maintenance:quit
ntdsutil: quit
（注：Seize是在原FSMO不線上時進行操作，如果原FSMO線上，需要使用Transfer操作）

五、設定額外控制(DC-02.test.com)為ＧＣ（全域性編錄）

開啟Administrative Tools中的Active Directory Sites and Services，展開Sites，展開Default-First-Site-Name，展開Servers，展開DC-02.test.com(額外控制器)，右擊NTDS Settings選擇Properties，然後在"Global Catalog"前面打勾，單擊"確定"按鈕，然後重新啟動伺服器。

六、重新安裝並恢復損壞主域控制器

修理好DC-01.test.com損壞的硬體之後，在DC-01.test.com伺服器重新安裝Windows 2000 Server，安裝好Windows 2000 Server之後，再執行Dcpromo升成額外的域控制器；如果你需要使DC-01.test.com擔任五種FMSO角色，透過ntdsutil工具進行角色轉換，進行Transfer操作就行了（注意：不能用Seize）。並透過Active Directory Sites and Services設定DC-01.test.com為GC，取消DC-02.test.com的GC功能。

建議domain naming master不要和RID master在一臺DC上，而domain naming master同時必須為GC。