多域控制器环境下的活动目录恢复

2、 多域控制器环境下的活动目录恢复

可能看到这个标题有人就会问，怎么一上来就讲恢复啊?不用备份吗?是的，如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章 中提到过，从Windows 2000域开始，采用的是多宿主复制的机构，也就是所有的活动目录修改都会被复制到所有的域控制器上，所以是不需要备份的。只要看一下怎么恢复就可以了。

先来说明一下实验环境:

域名:demo.com

第一台域控制器:

计算机名:server.demo.com

IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1

并且FSMO五种角色及GC全部在第一台域控上。

第二台域控制器:

计算机名:test20031.demo.com

IP:192.168.5.2

子网掩码:255.255.255.0

DNS:192.168.5.2

灾难情况:第一台域控制器由于硬件原因，导致无法启动。

这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了，我们的目的就是要让第二台额外域控制器来接替第一台的工作，也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:

一、首先，要把第一台域控制器的所有信息从活动目录里面删除:

2008-03-22 1 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

(1)、点击“开始-运行”，输入:“cmd”并回车，在命令提示符下输入:“ntdsutil”，然后回车，如果你不是很清楚“ntdsutil”的使用方法，可以用“?”然后回车的方法来调用使用说明:

在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:

然后我们要显示一下Site中的

域:

结果找到两个，其中“1”是我建的子域，所以这里要先择“0”:

2008-03-22 2 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。所以这里要选择“0”:

选中后，按“q”退出到上一层菜单:

2008-03-22 3 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

在上图中点击“是”:

然后再按2个“q”退出。

(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象，

ADSI EDIT在SUPPORT TOOLS工具包里，打开后，找到如下位置:

击右键，然后选“删除”就可以了。

(3)、在“管理工具”里，打开“AD站点和服务”，找到如下位置:

2008-03-22 4 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

把复制连接也删除了:

以上有几个删除几个。

二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:

2008-03-22 5 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

我们先要连接到目标服务器上:

连接成功后，按“q”退出到上层菜单，并且看一下帮助信息:

请注意:这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。在这里由于SERVER已经离线了，所以要用“Seize”:

这里是夺取PDC角色的图示，点“是”，其它角色的也是一样的操作，最后退出。

大家了为安全起见，可以运行一下我上次给转给大家的脚本:

2008-03-22 6 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

由上图可见，所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来:

在“管理工具”里，打开“AD站点和服务”，找到如下位置:

在“属性”上单击:

2008-03-22 7 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cnWindows 中文站 bbs.winos.cn

在“全局编录”前打外勾，然后确定退出就可以了。

最后到客户端去修改一下DNS服务器的位置，就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:

1、 在单域控环境中，请尽量的多备份，以保证备份有效性，最好几种备份类型结合使用。

2、 在多域控环境中，如果用Seize，那么那台坏掉的服务器在重装系统以前请不要回到网络中来，哪怕是已经修好了，也一定要重新安装操作系统，为什么?因为FSMO角色具有唯一性，如果此时回到网络中，那就会出现FSMO角色重复的现象。

3、 在多域控环境中，那台坏域控修复后，重装系统，请尽量不要再使用原来的计算机名，以防止产生一些莫名其妙的问题，就让那台服务器在网络里永远消失吧!

2008-03-22 8 总页数：8

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.cn