主域控制器損壞后，額外域控制器強占 FSMO 測試過程和結(jié)果.... 關(guān)于AD 災(zāi)難恢復(fù)，最終測試..關(guān)于AD 災(zāi)難恢復(fù)有很多非常好技術(shù)文章可以參考，在狗狗搜索NNN 編，但為何還是要寫這篇呢，‘聽不

主域控制器損壞后，額外域控制器強占 FSMO 測試過程和結(jié)果..

.. 關(guān)于AD 災(zāi)難恢復(fù)，最終測試..

關(guān)于AD 災(zāi)難恢復(fù)有很多非常好技術(shù)文章可以參考，在狗狗搜索NNN 編，但為何還是要寫這篇呢，‘聽不如看，看不如做，做不如寫’嘿嘿，反正寫寫沒多難，最緊要入腦袋！！

其實關(guān)于AD 災(zāi)難恢復(fù)，對于（多元化發(fā)展）技術(shù)員來說，太深入了解沒啥用處，最主要明白解決問題要用到那些知識就OK 了～～ 本貼說明：

.... 針對主域損壞，必須以最快速度解決；其它內(nèi)容不是本帖考慮重點，如：Exchange 、ISA 、已經(jīng)部署于主域上服務(wù)器軟件... 等??！ AD 、DC 說明：

. 域名：abc.com

.. 主域：DC-ISA-NLB-1

.. 副域：DC-ISA-NLB-2

. 系統(tǒng)：2003企業(yè)版

故障情況：（真實環(huán)境跑完全過程.. ）

.. 主域崩潰，副域無法正常工作，如：

.... 無法瀏覽abc.com 中 Active Directory用戶和計算機，提示無法連接錯誤；

....AD 管理項目均報錯，組策略..... 等；

.... 域用戶無法登錄；

解決方法：（以上是在副域上操作）

.. 任務(wù)要求：最快速度解決故障，令副域正常工作，使域用戶可以登錄；

.. 使用命令：ntdsutil.....AD 工具

.. 過程：（大概6-8分鐘）

C:Documents and Settings?ministrator.LH>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server dc-isa-nlb-2

綁定到 dc-isa-nlb-2 ...

用本登錄的用戶的憑證連接 dc-isa-nlb-2。

server connections: q

metadata cleanup: q

ntdsutil: roles

fsmo maintenance:Seize domain naming master ‘點OK’

fsmo maintenance:Seize infrastructure master ‘點OK’

fsmo maintenance:Seize PDC ‘點OK’

fsmo maintenance:Seize RID master ‘點O K’

fsmo maintenance:Seize schema master ‘點OK’

‘關(guān)閉CMD 窗口’...～～

以上操作，快得話（三分鐘）就完成了，然后回到系統(tǒng)內(nèi)，你會發(fā)現(xiàn)能打開AD 相關(guān)內(nèi)容了，那就進(jìn)行余下結(jié)尾操作吧：

..1. 打開‘Active Directory用戶和計算機’-‘Domain Controllers’；

..... 選中‘DC-ISA －NLB-1’然后按刪除，對話框‘選擇第三項’；

..2. 打開‘管理站點和服務(wù)’-‘Site’-‘Default-First-Site-Name’-‘Servers’

.....1. 點擊‘DC-ISA －NLB-1’；

...........a. 選中分支‘NTDS Settings’；

...........b. 點擊‘刪除’，對話框‘選擇第三項’；

.....2. 點擊‘DC-ISA －NLB-1’然后按刪除，對話框選擇‘第三項’；

.....3. 點擊‘DC-ISA －NLB-2’

...........a. 選中分支‘NTDS Settings’

...........b. 點擊右鍵選擇‘屬性’，全局編錄前打上勾；

完工.... 以上搞點后，余下就可以慢慢修復(fù)你的主域了。

1

注釋：關(guān)于利用強占（Seize ）方式解決問題有什么后遺癥，我就沒去深入研究了（現(xiàn)在專研ISA 中），有興趣了解朋友可以去微軟查查資料... 題外話：

在企業(yè)中，出現(xiàn)以上狀況對管理員是非常頭痛事情，要在最段時間解決，必須依賴你的前瞻性，如：

...1. 盡可能避免在域DC 部署第三方服務(wù)器軟件；... 否則折磨死你了..

...2. 良好備份AD 數(shù)據(jù)習(xí)慣；... 在解決問題時可以節(jié)省很多時間..

...... 如：域DC 出現(xiàn)故障，不讓你降級，也不讓新DC 加入... 但新DC 又必須加入.. 夠郁悶事情.

.......... 沒時間限制，大家都可以慢慢研究，但實際情況呢.--今天剛好碰上，這文章也是解決完后所寫...

...3. 非要部署服務(wù)器軟件到DC 上，必須先在模擬機上跑一段時間；... 減少突發(fā)問題..

----------------------------------------------------------

‘模擬測試一完成，但有疑問看本帖最后部分’..（感謝版主置頂）

以下是在Wmware 5.0環(huán)境下測試，但只限于DC1、DC2在線情況下，主域控制器損壞后進(jìn)行修復(fù).

請留意最后信息內(nèi)容，那位有經(jīng)驗得，麻煩補補，省走些歪路～～謝謝！

模擬系統(tǒng)：2003企業(yè)版

模擬機器：2臺

模擬域名：abc.com

模擬主域控制器計算機名：DC2

模擬額外域控制器計算機名：DC1

模擬DNS 服務(wù)器：DC2

模擬故障情況：（測試一 前期部分）

1.DC2、DC1同時在線，DC2因特殊情況啟動，但啟動后故障無法登錄系統(tǒng)，藍(lán)屏嚴(yán)重崩潰.

測試解決方法：

1.DC1使用強占FSMO 方式，奪取五個權(quán)限

a.架構(gòu)主機 Schema master

b.域命名主機 Domain naming master

c.相對標(biāo)識號（RID ）主機 RID master

d.主域控制器模擬器 PDCE

e.基礎(chǔ)結(jié)構(gòu)主機 Infrastructure master

2. 將DC1設(shè)置為GC （全局編錄）

3. 在DC1安裝DNS 服務(wù)器

4. 使用微軟FSMO 腳本驗證，以確定FSMO 是否正確

步驟：

1. 命令行：ntdsutil

..........ntdsutil: metadata cleanup

..........metadata cleanup: select operation target

..........select operation target: connections

..........server connections: connect to domain abc.com

.......... （此處有連接域名后會有憑證信息）

..........server connections:quit

..........select operation target: list sites

..........Found 1 site(s)

..........0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........select operation target: select site 0

..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........No current domain

..........No current server

..........No current Naming Context

..........select operation target: List domains in site

..........Found 1 domain(s)

2

..........0 - DC=abc,DC=com

..........Found 1 domain(s)

..........0 - DC=abc,DC=com

..........select operation target: select domain 0

..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........Domain - DC=abc,DC=com

..........No current server

..........No current Naming Context

..........select operation target: List servers for domain in site

..........Found 2 server(s)

..........0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........select operation target: select server ０

..........select operation target: quit

..........metadata cleanup:Remove selected server

.......... 注意：2003到此會提示（是否強占信息，全部安確定，但會提示錯誤，不用理會）

2. 打開 AD站點和服務(wù) 手動刪除 DC2殘留信息，并在DC1全局編錄屬性上打勾

3. 安裝DNS

4. 測試DNS

5. 重啟后，在DC1上運行微軟 FSMO 腳本驗證一下，如提示五個權(quán)限已經(jīng)為DC1代表已經(jīng)成功

注明：

1. 第三步信息因為是網(wǎng)上找得（模擬機太慢沒截圖），雖然經(jīng)過驗證并修改，但還是有些不同，信息只提供參考...

2. 以上情況為DC1、DC2在線情況下，DC2（主域控制器）崩潰修復(fù)方案.

往下會測試：

1.DC2重裝后添加為額外域控制器，然后再提升為主域控制器.

2.DC1、DC2 啟動過程，DC2崩潰特殊情況下修復(fù)測試. （已小測一下，有區(qū)別.. 在于connect to domain abc.com時候提示錯誤.. ）... 原因估計是額外域控制器啟動后，但因為主域控制器崩潰無法登錄，有某些信息沒傳遞到額外域控制器，導(dǎo)致連接失敗.. -----------------------------------------------------------------------------------------------------------------------

模擬故障情況：（測試一 后續(xù)部分）

2. 在解決模擬故障（測算一 前期部分）因DC2主域控制器損壞，DC1強占FSMO 測試，DC2重裝系統(tǒng)后恢復(fù)為主域控制器； 測試解決方法：（視實際需要，如后備服務(wù)器性能及穩(wěn)定性不及原服務(wù)器，建議恢復(fù)）

1.DC2重裝系統(tǒng)

2. 以額外域控制器身份加入原域

3. 通過在DC2使用ntdsutil 命令將FSMO 轉(zhuǎn)移到DC2

4. 在DC2安裝DNS 服務(wù)器

步驟：

1. 命令行：ntdsutil

..........ntdsutil: metadata cleanup

..........metadata cleanup: select operation target

..........select operation target: connections

..........server connections: connect to domain abc.com

.......... （此處有連接域名后會有憑證信息）

..........server connections:quit

..........metadata cleanup: quit

..........ntdsutil:roles

..........fsmo maintenace:transfer domain naming master

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer infrastructure master

3

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer PDC

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer RID master

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:seize schema master

.......... 提示強占角色按確定

..........ntdsutil:quit

.......... 執(zhí)行FSMO.vbs 腳本檢測，提示五個權(quán)限已經(jīng)為DC2代表已經(jīng)成功

2. 在DC2上安裝DNS 服務(wù)器

3. 可以使用Windows2003額外工具檢測域數(shù)據(jù)庫及DNS 是否正確

？？？？？？？？？？？？？？？？？？？？？？？？？？？？

... 轉(zhuǎn)移...fsmo maintenace:transfer schema master..失敗

... 強占...fsmo maintenace:seize schema master.....成功

-------------------------------------------------------

是否操作有誤還是必須使用強占命令... 那位知道補補... 謝謝

？？？？？？？？？？？？？？？？？？？？？？？？？？？？

本文于2005-08-11 13:56:14.113被 9754201386 修改過。這是本帖的第6次修改。

本文于2005-10-25 22:51:52.091被 9754201386 修改過。這是本帖的第7次修改。

TO ：9754201386 ，辛苦啦！

1.DC2、DC1同時在線，DC2因特殊情況啟動，但啟動后故障無法登錄系統(tǒng)，藍(lán)屏嚴(yán)重崩潰.

崩潰了也沒進(jìn)系統(tǒng)。樓主這樣也是在線么？

2. 打開 AD站點和服務(wù) 手動刪除 DC2殘留信息，并在DC1全局編錄屬性上打勾

因為我沒AD ，所以想問一下，手動刪除的DC2殘留信息都是些什么東西？ 在你第一個測試完成后是不是意味著DC1成為了主域控制器？ 同時DC1里面的東西都跟DC2當(dāng)機后的信息一致？

3，ntdsutil 到底是用來檢測還是用來轉(zhuǎn)移FSMO ？文中好像兩個功能都說了，不過我理解是后者，對么？ 另FSMO.vbs 是怎么使用的？CMD 下運行嗎？

4，完成了上面的兩個測試是不是意味著把崩潰的DC2恢復(fù)為原前的主域控制器？

本文于2005-08-12 08:40:45.804被 紫玄冰 修改過。這是本帖的第1次修改。

回復(fù)：

1.DC2、DC1同時在線：

....... 定義為：DC2、Dc1 已經(jīng)正常登錄系統(tǒng)，DC2啟動后故障，但DC1還在線情況；

2. 打開 AD站點和服務(wù) 手動刪除 DC2殘留信息：

....... 此步是在DC1上操作，刪除DC2殘留信息（信息內(nèi)容跟AD 有關(guān)，麻煩搜尋AD 相關(guān)內(nèi)容查看）；

....... 域服務(wù)器間AD 數(shù)據(jù)有自動復(fù)制功能，信息會按默認(rèn)時間自動同步；

....... 測試一前期部分，ABC.COM 只有DC1一臺服務(wù)器，并且是主域控制器；

....... 測試一前期部分，DC2已經(jīng)不存在了，DC1上信息為DC2當(dāng)機前是否已經(jīng)同步數(shù)據(jù)為準(zhǔn)；

3.ntdsutil

....... 建議上微軟查看，有詳細(xì)說明

....... 功能強大，可查看、刪除、轉(zhuǎn)移、強占...

.......FSMO.VBS 可以命令行運行或直接雙擊運行

4，完成了上面的兩個測試是不是意味著把崩潰的DC2恢復(fù)為原前的主域控制器？

....... 正確，恢復(fù)后DC2為主域控制器、DC1為額外控制器

測試二 已完成

模擬故障情況：修復(fù)已崩潰主域控制器，并使之返回域并充當(dāng)主域控制及使用崩潰前主域控制器備份

.............. 數(shù)據(jù)強制覆蓋其它DC 上；

AD 恢復(fù)模式：授權(quán)恢復(fù)、非授權(quán)恢復(fù)

4

AD 恢復(fù)模式區(qū)別：

......1. 授權(quán)恢復(fù)：當(dāng)其他的域控制器包含了無效的復(fù)制和數(shù)據(jù)時，可以采用授權(quán)恢復(fù)方式，這種情況 .................. 下，你可以手工指定你要恢復(fù)整個數(shù)據(jù)庫或某個分支，并指定本地的恢復(fù)操作是權(quán) .................. 威的。所謂的權(quán)威，就是當(dāng)發(fā)生目錄復(fù)制時，以本地數(shù)據(jù)為準(zhǔn)。授權(quán)恢復(fù)要修改AD .................. 的升級序號，這樣它的序號就高于其他的DC 了，從而使本地的恢復(fù)數(shù)據(jù)能復(fù)制給其 .................. 他的DC ；

......2. 非授權(quán)恢復(fù)：大多數(shù)的恢復(fù)操作都是非授權(quán)的。當(dāng)你發(fā)現(xiàn)一臺DC 的數(shù)據(jù)有問題，而確信其他的 ....................DC 數(shù)據(jù)是正常的，就可以使用非授權(quán)恢復(fù)。恢復(fù)完成后，DC 會重新比較升級序號 .................... 并參與正常的復(fù)制。也就是說，通過非授權(quán)恢復(fù)的數(shù)據(jù)可能在復(fù)制中被改寫；

AD 使用恢復(fù)模式注意（必須符合以下三點）：

...1. 服務(wù)器名應(yīng)和備份時一樣 ；

...2. 系統(tǒng)文件夾所在驅(qū)動器應(yīng)與備份時相同 ；

...3. 目錄保存路徑應(yīng)和備份時相同；

模擬技術(shù)要求：使用AD 授權(quán)恢復(fù)；

模擬系統(tǒng)：2003企業(yè)版

模擬機器：2臺

模擬域名：abc.com

模擬主域控制器計算機名：DC1

模擬額外域控制器計算機名：DC2

模擬DNS 服務(wù)器：DC1、DC2

方案驗證次序：

...1. 用‘測試一’方案修復(fù)故障主域控制器并恢復(fù)為域中主域控制器（過程跳過）；

...2. 主域控制器在目錄恢復(fù)模式下使用授權(quán)恢復(fù)崩潰前主域控制器備份數(shù)據(jù)；

...3. 驗證崩潰前主域控制器備份數(shù)據(jù)是否已經(jīng)強制覆蓋到其它DC 上；

步驟：

...1.DC1啟動后按F8，并選擇目錄還原模式，確認(rèn)登錄；

...2.Ntbackup 執(zhí)行備份的還原操作；

...3. 在完成非授權(quán)模式還原后提示需要重啟動，選擇№，否則需重新執(zhí)行第一步操作；

...4. 命令行:ntdsutil

………………authoritative restore

………………restore database

………………yes

………………quit

...5. 待確認(rèn)多域中其它DC 數(shù)據(jù)已經(jīng)同步后再重啟主域控制器；

5