拓扑如下,由于某种原因,Florence离线,其服务必须迅速由其他DC取代,继续给用户使用。
实验使用Microsoft ISA2004实验室的Microsoft Virtual PC 2007虚拟机,其中的3套Virtual PC:Florence、Firenze和Berlin来模拟出此次灾难恢复的实验环境。
思路:
1. 由于DNS上存有域控制器的主机名称,IP地址及所扮演的角色等数据,所以在转移操作主机前,要重建DNS,添加主机记录,把剩余两台域控制器的NETLOGON.DNS文件内的DNS备份复制到新建的DNS文件中(要先停止DNS,在保存修改的内容)。
1. 强行占用Florence的操作主机角色,使用NTDSUTIL命令。
2. 在AD站点和服务工具中,设置全局编录服务器。
3. 在AD用户和计算机中删除Florence对象,在AD站点和服务工具中清除FLORENCE的链接
4. 在AD站点和服务工具检查复制拓扑,确保firenze和berlin可以正常的相互复制
实施过程:
1. 重建DNS
因原DNS服务器已丢失,所以可以在FIRENZE和BERLIN中任选一台DC作为DNS服务器,这里我选用FIRENZE作为DNS服务器。
⑴在FIRENZE中放入与其系统版本相同的系统光盘,这里我的FIRENZE操作系统版本号为没有打过SERVER PARK的Windows Server 2003 Enterprise Edition
⑵在“控制面板”中选择“添加删除程序”—“添加Windows组件”
在弹出的WINDOWS组件向导中选择“网络服务”,在“网络服务”中选择“域名系统DNS”,点确定。
之后点击“下一步”即可安装。
如中途弹出需要文件的对话框,可把路径指向光驱所在盘符的I386文件夹即可正常复制文件了,这里我的光驱为D:
,所以我指向“D:\i386”文件夹。点击确定后继续。
当弹出完成“Windows 组建向导”对话框时,即完成了DNS的安装
⑶点击“开始”—“程序”—“管理工具”—“DNS”,打开DNS服务管理器。
把丢失的itet.com域重新添加到新建的DNS中,右击“正向查找区域”—“新建区域”
弹出DNS新建区域向导,点击“下一步”出现区域类型选择,这里我们选“主要区域”,并把“在Active Directory中存储区域”的单选勾去掉,点击下一步。
区域名称输入“itet.com”,点击下一步
区域文件默认即可,点击下一步。
在动态更新选项中,需要选择“允许非安全和安全的动态更新”选项,点击下一步,点击完成就成功建立了ITET.COM域
⑷在itet.com中添加berlin主机IP。右击“itet.com”—“新建主机”
添加berlin的主机IP及主机名,即可把berlin的主机记录添加到DNS中。
⑸复制firenze和berlin的netlogon.dns到新建的DNS文件中,手工修复SRV记录。
在firenze主机中的“我的电脑”地址栏输入“C:\WINDOWS\system32\config”,回车即可进入DNS备份目录
找到netlogon.dns文件,使用记事本打开文件
全选文件内的记录,右击复制
继续在“我的电脑”地址栏内输入:“C:\WINDOWS\system32\dns”,回车进入目录
在目录内找到DNS记录文件:“itet.com.dns”,使用记事本打开,在记录最下面粘贴netlogon.dns内的记录
在berlin主机里找到netlogon.dns文件,复制内容到“itet.com.dns”中,不要保存文件,要先停止DNS服务。
打开“开始”—“运行”—“services.msc”,回车打开服务管理器。
找到“DNS Server”服务,点击“停止”,停止DNS服务
然后在保存刚修改过的“itet.com.dns”文件,回到服务管理器,重新启动DNS服务。
此时,刷新DNS服务管理会自动刷新出刚添加的SRV记录
到此,firenze和berlin除GC记录的外的所有记录均已恢复。
2. 占用操作主机角色
因为具有操作主机角色的域控制器已经失效,所以其他域控制器不能执行传送操作主机角色的操作,故只能使用占用操作主机角色的方法,将操作主机的角色强迫传送到另外一台域控制器。同时需要具有执行占用操作的相关权限的组或用户,表1-1。
|
角色
|
有权限的组
|
|
架构主机
|
Schema Admins
|
|
域命名主机
|
Enterprise Admins
|
|
RID主机
|
Domain Admins
|
|
PDC模拟主机
|
Domain Admins
|
|
基础结构主机
|
Domain Admins
|
表 1-1
Administrator就具有如上权限,所以以下实验都要用这个用户来操作。
FIRENZE当前用户为Administrator,为域管理员
使用NTDSUTIL命令来占用操作主机,步骤如下:
⑴点击“开始”—“运行”—输入“CMD”
⑵在提示符下,运行以下命令:NTDSUTIL,回车
说明:可输入“?”来查询命令的用法,例如下图。
⑶在“ntdsutil:”提示符下,输入Roles,回车
⑷在“fsmo maintenance:”提示符下,输入connections ,回车
⑸在“server connections:”提示符下,输入 connect to server Firenze.itet.com ,连接到欲扮演操作主机的域控制器
⑹在“server connections:”提示符下,输入:quit ,返回上级
菜单
⑺在“fsmo maintenance:”提示符下,输入:seize schema master ,回车,出现如下对话框时单击“是”
⑻从下图得知已经成功占用“架构主机”,由firenze.itet.com来扮演
⑼继续执行 以下4个命令来占用其他4个操作主机角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每个命令执行完毕,都会出现确认对话框及已成功占有角色的提示,如下图:
至此,5个操作主机角色已经从Florence夺取过来,键入quit退出NTDSUTIL。
3 建立全局编录服务器
依然在firenze这台域控制器上进行操作。
操作:“开始”—“管理工具”—“Active Directory 站点和服务”,展开firenze—右击“NTDS Settings”—“属性”—勾选“全局编录”。
此时,只要重新启动firenze这台域控制器,DNS就会自动创建GC记录,这时DNS就有了完整的SRV记录。
4 在域内清除Florence对象
Florence原来是域控制器,所以要在AD用户和计算机中删除域控制器组内的Florence。
操作:“开始”—“程序”—“管理工具”—“Active Directory工具和计算机”—打开“itet.com”目录—选中“Domain Controllers”—右击“Florence”点删除
在弹出的确认对话框中点击“确定”,会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,然后点击删除即可在AD用户和计算机去除Florence对象。
仅这样删除还是不能够完全删除Florence对象,还需在“Active Directory站点和服务”中删除连接。
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“Florence”—右击“NTDS settings”,选择删除
会弹出确认对话框,点“确定”,依然会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,点击删除,就可以删除已经建立好的与其他俩个域控制器间的连接。
这时,右击“servers”中的Florence,就可以彻底删除Florence对象了。
这时其他俩个域控制器内仍有与Florence的链接,只需等待KCC重新复制完拓扑,就可以看到正常的复制链路了。
或者直接在firenze的“NTDS settings”右击,选择“所有任务”—“检查复制拓扑”,然后再刷新站点,就可以看到正常的链接了。
正常的链接链路如下:
到此,Florence对象已经从两个域控制器上彻底清除。
5 检查复制拓扑,确保两站点可以正常复制
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“berlin”服务器—“NTDS settings”—右击链接,选择“立即复制副本”,当出现“Active Directory 已经复制了连接”对话框时,表明Berlin可以正常的从firenze复制。
在点击“firenze”的服务器的“NTDS settings”,右击连接,选择“立即复制副本”
如果出现“Active Directory 已经复制了连接”,说明firenze可以正常的从berlin复制
进入berlin这台域控制器,依然进入“Active Directory站点和服务”查看站点连接情况,刷新后,连接正常
由此确定两个域控制器可以正常复制。
本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/608638,如需转载请自行联系原作者