建议如果有另一台域控制器,可以参考后面的 *** 作,将主控角色传递出来。如果只有一台,那么先找一台运行SERVER的成员服务器将它升级成域控制器,然后传递角色,重做IBM服务器,最后将角色传回IBM服务器。
由于资料是灾难恢复,所以你可以将下面的命令中Seize(夺取)换成Transfer命令,只有在无法传递角色时才可以使用Seize命令。
附录。
域控制器环境下Active Directory灾难恢复
________________________________________
摘要
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使
Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
________________________________________
目录
Active Directory *** 作主机角色概述
环境分析
从AD中清除主域控制器DC-01testcom 对象
在额外域控制器上通过ntdsutilexe工具执行夺取五种FMSO *** 作
设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器
附:用于检测AD中五种 *** 作主机角色的脚本
参考信息
作者介绍
________________________________________
一、Active Directory *** 作主机角色概述
Active Directory 定义了五种 *** 作主机角色(又称FSMO):
架构主机 schema master、
域命名主机 domain naming master
相对标识号 (RID) 主机 RID master
主域控制器模拟器 (PDCE)
基础结构主机 infrastructure master
而每种 *** 作主机角色负担不同的工作,具有不同的功能:
架构主机
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基
于目录林的,整个目录林中只有一个架构主机。
域命名主机
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机
此 *** 作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、
组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个
Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这
些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识
号(RID)主机
PDCE
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT40 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码
更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没
有被复制到验证 DC 中。
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机
基础结构主机确保所有域间 *** 作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的
全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担
当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子
域中的第一台DC。
二、环境分析
公司Testcom(虚拟)有一台主域控制器DC-01testcom,还有一台额外域控制器DC-02testcom。现主域控制器(DC-01testcom)由于硬
件故障突然损坏,事先又没有DC-01testcom的系统状态备份,没办法通过备份修复主域控制器(DC-01testcom),我们怎么让额外域控制
器(DC-02testcom)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制
器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
________________________________________
三、从AD中清除主域控制器DC-01testcom对象
31在额外域控制器(DC-02testcom)上通过ntdsutilexe工具把主域控制器(DC-01testcom)从AD中删除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain testcom
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quit
ntdsutil: quit
32使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT是Windows 2000 support tools中的工具,你需要安装Windows 2000 support tool,安装程序在windows 2000光盘中的
support\tools目录下。打开ADSI EDIT工具,展开Domain NC[DC-02testcom],展开OU=Domain controllers,右击CN=DC-01,然后选择
Delete,把DC-01服务器对象删除,如图1:
33 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites,展开Default-First-Site-Name,展开Servers,右击DC-
01,选择Delete,单击Yes按钮,如图2:
________________________________________
四、在额外域控制器上通过ntdsutilexe工具执行夺取五种FMSO *** 作
c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain testcom
(在实际工作当中会连接本机域控制器,这时候QUIT就可以退到SELECT OPERATION TARGET下了)
select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
出现对话框,按“确定“
fsmo maintenance:Seize infrastructure master
出现对话框,按“确定“
fsmo maintenance:Seize PDC
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
(注:Seize是在原FSMO不在线时进行 *** 作,如果原FSMO在线,需要使用Transfer *** 作)
五、设置额外控制(DC-02testcom)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开DC
-02testcom(额外控制器),右击NTDS Settings选择Properties,然后在"Global Catalog"前面打勾,单击"确定"按钮,然后重新启动服务器
。
________________________________________
六、重新安装并恢复损坏主域控制器
修理好DC-01testcom损坏的硬件之后,在DC-01testcom服务器重新安装Windows 2000 Server,安装好Windows 2000 Server之后,再运行
Dcpromo升成额外的域控制器;如果你需要使DC-01testcom担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer *** 作就行了(
注意:不能用Seize)。并通过Active Directory Sites and Services设置DC-01testcom为GC,取消DC-02testcom的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。
________________________________________
附:用于检测AD中五种 *** 作主机角色的脚本
给大家一个脚本,用于检测AD中五种FSMO角色,把下面的代码,保存为FSMOVBS,然后执行它
Set objRootDSE = GetObject("LDAP://rootDSE")
Dim text
' Schema Master
Set objSchema = GetObject("LDAP://" & objRootDSEGet("schemaNamingContext"))
strSchemaMaster = objSchemaGet("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strSchemaMaster)
Set objComputer = GetObject(objNtdsParent)
text="Forest-wide Schema Master FSMO: " & objComputerName & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Domain Naming Master
Set objPartitions = GetObject("LDAP://CN=Partitions," & _
objRootDSEGet("configurationNamingContext"))
strDomainNamingMaster = objPartitionsGet("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)
Set objComputer = GetObject(objNtdsParent)
text=text&"Forest-wide Domain Naming Master FSMO: " & objComputerName & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' PDC Emulator
Set objDomain = GetObject("LDAP://" & objRootDSEGet("defaultNamingContext"))
strPdcEmulator = objDomainGet("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strPdcEmulator)
Set objComputer = GetObject(objNtdsParent)
text=text&"Domain's PDC Emulator FSMO: " & objComputerName & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' RID Master
Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _
objRootDSEGet("defaultNamingContext"))
strRidMaster = objRidManagerGet("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strRidMaster)
Set objComputer = GetObject(objNtdsParent)
text=text&"Domain's RID Master FSMO: " & objComputerName & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Infrastructure Master
Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _
objRootDSEGet("defaultNamingContext"))
strInfrastructureMaster = objInfrastructureGet("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)
Set objComputer = GetObject(objNtdsParent)
text=text&"Domain's Infrastructure Master FSMO: " & objComputerName & vbCrLf
text=text & vbCrLf &" Design by coolnetboy(coolnetboy@hotmailcom)"
WScriptEcho text安装活动目录1打开Active Directoty 域服务安装向导运行dcpromo命令,打开“Active Directoty域服务安装向导”windows server 2008怎么安装域控制器活动目录2阅读 *** 作系统兼容性说明,单击“下一步”按钮windows server 2008怎么安装域控制器活动目录3在“选择某已部署配置”页面中,选择“在新林中新建域”windows server 2008怎么安装域控制器活动目录在“命名林根域”页面中输入目录林根域的域名。windows server 2008怎么安装域控制器活动目录在“设置林功能级别”页面中选择林功能级别。windows server 2008怎么安装域控制器活动目录在“设置域功能级别”页面中选择域功能级别windows server 2008怎么安装域控制器活动目录在“其他域控制器选项”页面中选择“DNS服务器”windows server 2008怎么安装域控制器活动目录在“数据库、日志文件和SYSVOL的位置”页面中,接受默认的设置,单击“下一步”按钮,windows server 2008怎么安装域控制器活动目录在“目录服务还原魔石的amdinistrator密码”页面中,输入一个强密码,单击“下一步”按钮windows server 2008怎么安装域控制器活动目录在“摘要”页面中,检查所有的选择,如果有某一项不正确,可以单击“上一步”返回,如果没有问题。单击“下一步”按钮windows server 2008怎么安装域控制器活动目录开始安装和配置活动目录服务windows server 2008怎么安装域控制器活动目录当安装完成后单击“完成”按钮,之后服务器会重启。windows server 2008怎么安装域控制器活动目录然后点击重启就可以了windows server 2008怎么安装域控制器活动目录单击“开始—运行”输入安装命令“dcpromo”,打开AD域服务安装向导;
阅读 *** 作兼容性说明,单击下一步按钮;
在“选择某一部署配置”页面中,选择“在新林中新建域”;
在“命名林根域”页面输入目录林根域的FQDN名,这里命名为yezicom;
在“选择林功能级别”页面中选择林功能级别;注,以下是各种级别的支持度。
在“其他域控制器选项”页面中选择“DNS服务器”;
设置数据库、日志文件和SYSVOL的存储位置;这里选择默认;
在“目录还原模式的Administrator密码“页中,输入密码;
在“摘要“页,检查所有的选择,单击下一步;
开始安装和配置活动目录服务;
安装完成后单击“完成”,如下图所示,服务器需要重启;
将计算机加入域
在加入域之前,首先要检查客户计算机的配置:
客户机与DC的网络是否联通
客户机是否正确设置了DNS地址
DNS服务器是否有正确的SRV记录
加域使用的账户应该是域账户
步骤:
以域管理员的身份登陆
右击“我的电脑”在计算机名选项下单击更改,输入要加入的域名称。配置 Windows 时间服务以使用内部硬件时钟警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装 *** 作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。
要将 PDC 主机配置为不使用外部时间源,请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟,请按照下列步骤 *** 作:
单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
在“编辑 DWORD 值”的“数值数据”框中键入 A,然后单击“确定”。
退出注册表编辑器。
在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter:
net stop w32time && net start w32time
配置 Windows 时间服务以使用外部时间源
要将内部时间服务器配置为与外部时间源同步,请按照下列步骤 *** 作:
将服务器类型更改为 NTP。为此,请按照下列步骤 *** 作:
单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
在右窗格中,右键单击“Type”,然后单击“修改”。
在“编辑值”的“数值数据”框中键入 NTP,然后单击“确定”。
将 AnnounceFlags 设置为 5。为此,请按照下列步骤 *** 作:
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
在“编辑 DWORD 值”的“数值数据”框中键入 5,然后单击“确定”。
启用 NTPServer。为此,请按照下列步骤 *** 作:在新目录林中安装第一个域控制器
注意:您必须在提升前或在提升过程中在某一位置安装一个 DNS 服务器。在将计算机提升为域控制器后,它在 DNS 中注册服务,这些服务使轻型目录访问协议 (LDAP) 查询能够针对此域控制器上的目录执行。
1 单击开始,单击运行,键入 dcpromo,然后单击确定。
2 这将启动“Active Directory 安装向导”。单击下一步。
3 Active Directory 安装向导会询问一系列问题,以确定此服务器将担任的角色。因为您要将此服务器安装为目录林中的第一个域控制器,请单击“新域的域控制器”。
4 单击下一步。
5 由于此域控制器还将充当新域目录树中的第一个域控制器,请单击“创建一个新的域目录树”。
6 单击下一步。
7 由于这将是新目录林中的第一个域控制器,所以它将是您的组织中的第一个域。单击“创建域目录树的新目录林”。
8 单击下一步。
9 在新域名屏幕上,以完全限定域名的形式键入新域的完整 DNS 名称(例如:Microsoftcom)。
10 在 NetBIOS 域名屏幕的 NetBIOS 名称框中,填入您的完全限定域名的第一部分(例如:MICROSOFT)。
11 数据库位置和日志位置框将填入默认位置 (Rootdrive\Winnt\Ntds)。为获得最佳性能和可恢复性,请将数据库和日志分别存储在不同的硬盘上。将日志位置值更改为另一硬盘。
12 单击下一步。
13 在共享的系统卷屏幕中,只要该卷使用 NTFS 文件系统,就可以接受 Rootdrive\Winnt\Sysvol 作为默认位置。这是 Sysvol 文件夹所要求的。
14 单击下一步。
15 如果没有可用的 DNS 服务器,则会出现“向导无法联系到处理名称 Domain Name 的 DNS 服务器以确定它是否支持动态更新。请确认 DNS 配置,或者在此计算机上安装并配置一个 DNS 服务器”这一消息。
16 单击确定。
17 在配置 DNS 屏幕上,单击“是,在这台计算机上安装和配置 DNS(推荐)”。
18 单击下一步。
19 在 Windows NT 40 RAS 服务器屏幕上,选择是否要允许远程访问服务 (RAS) 访问此服务器。单击下一步。
20 在目录服务还原模式管理密码屏幕上,指定在以“目录服务还原”模式启动计算机时使用的管理员密码。在需要恢复 Active Directory 数据库时使用“目录服务还原”模式。
注意:一定要记住此密码,否则在需要时您将无法还原 Active Directory。
21 在概要屏幕上确认选项,然后单击下一步。
22 通过查看屏幕上的消息验证已安装 Active Directory。安装 Active Directory 后,单击完成以关闭向导。
23 重新启动计算机。
&∷﹏ 封忆 2007-12-28 03:35 检举
您觉得这个答案好不好?
好(0)不好(0) 相关问题
�6�1 寻找一份win2000域控制器详细安装配置的资料
�6�1 如何设置域控制器?
�6�1 不联系域控制器··
�6�1 如何在域中实现个人配置漫游
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)