主域控制器损坏后,额外域控制器强占FSMO 测试过程和结果..
其实关于AD灾难恢复,对于(多元化发展)技术员来说,太深入了解没啥用处,最主要明白解决问题要用到那些知识就OK了~~
本贴说明:
....针对主域损坏,必须以最快速度解决;其它内容不是本帖考虑重点,如:Exchange、ISA、已经部署于主域上服务器软件...等!!
AD、DC说明:
.域名:
..主域:DC-ISA-NLB-1
..副域:DC-ISA-NLB-2
.系统:2003企业版
故障情况:(真实环境跑完全过程..)
..主域崩溃,副域无法正常工作,如:
....无法浏览 中 Active Directory用户和计算机,提示无法连接错误;
....AD管理项目均报错,组策略.....等;
....域用户无法登录;
解决方法:(以上是在副域上操作)
..任务要求:最快速度解决故障,令副域正常工作,使域用户可以登录;
..使用命令:ntdsutil.....AD工具
..过程:(大概6-8分钟)
.
登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。
建議您登入要指派FSMO 角色的網域控制站。
登入的使用者必須是要傳輸架構主機,或網域命名主機角色的企業系統管理員群組成員;或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色,其所在網域的網域系統管理員群組之成員。
.
按一下[開始],按一下[執行],在[開啟]方塊中輸入ntdsutil,然後按一下[確定]。
.
輸入roles,再按下ENTER。
.
輸入connections,再按下ENTER。
.
輸入connect to server servername,然後按ENTER,其中servername是您要指派FSMO 角色的網域控制站之名稱。
.
在server connections提示字元中輸入q,然後按下ENTER。
.
輸入seize role,其中role是您要抓取的角色。
如需可以抓取的角色之清單,請在fsmo main tenance提示字元中輸入?,然後按下ENTER;或直接查看本文件開頭所列的角色清單。
例如,如果要抓取RID 主機角色,請輸入seize rid master。
唯一的例外是PDC 模擬器角色,該角色的語法是
seize pdc,並非seize pdc emulator。
.
請在fsmo maintenance提示字元中輸入q,然後按下ENTER,獲得存取ntdsutil提示字元的權限。
輸入q,然後按下ENTER,結束Ntdsutil 公用程式。
C:\Documents and Settings\Administrator.LH>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server dc-isa-nlb-2
绑定到 dc-isa-nlb-2 ...
用本登录的用户的凭证连接 dc-isa-nlb-2。
server connections: q
metadata cleanup: q
ntdsutil: roles
fsmo maintenance:Seize domain naming master ‘点OK’
fsmo maintenance:Seize infrastructure master ‘点OK’
fsmo maintenance:Seize PDC ‘点OK’
fsmo maintenance:Seize RID master ‘点OK’
fsmo maintenance:Seize schema master ‘点OK’
‘关闭CMD窗口’...~~
以上操作,快得话(三分钟)就完成了,然后回到系统内,你会发现能打开AD相关内容了,那就进行余下结尾操作吧:
..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’;
.....选中‘DC-ISA-NLB-1’然后按删除,对话框‘选择第三项’;
..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’
.....1.点击‘DC-ISA-NLB-1’;
...........a.选中分支‘NTDS Settings’;
...........b.点击‘删除’,对话框‘选择第三项’;
.....2.点击‘DC-ISA-NLB-1’然后按删除,对话框选择‘第三项’;
.....3.点击‘DC-ISA-NLB-2’
...........a.选中分支‘NTDS Settings’
...........b.点击右键选择‘属性’,全局编录前打上勾;
完工....以上搞点后,余下就可以慢慢修复你的主域了。
注释:关于利用强占(Seize)方式解决问题有什么后遗症,我就没去深入研究了(现在专研ISA中),有兴趣了解朋友可以去微软查查资料...
题外话:
在企业中,出现以上状况对管理员是非常头痛事情,要在最段时间解决,必须依赖你的前瞻性,如:
...1.尽可能避免在域DC部署第三方服务器软件;...否则折磨死你了..
...2.良好备份AD数据习惯;...在解决问题时可以节省很多时间..
......如:域DC出现故障,不让你降级,也不让新DC加入...但新DC又必须加入..够郁闷事情. ..........没时间限制,大家都可以慢慢研究,但实际情况呢.--今天刚好碰上,这文章也是解决完后所写...
...3.非要部署服务器软件到DC上,必须先在模拟机上跑一段时间;...减少突发问题..。