案例:Active Directory 灾难恢复和DNS重建
本文共 4291 字,大约阅读时间需要 14 分钟。
拓扑如下,由于某种原因, Florence 离线,其服务必须迅速由其他 DC 取代,继续给用户使用。
实验使用 Microsoft ISA2004 实验室的 Microsoft Virtual PC 2007 虚拟机,其中的 3 套 Virtual PC : Florence 、 Firenze 和 Berlin 来模拟出此次灾难恢复的实验环境。
思路:
1. 由于 DNS 上存有域控制器的主机名称, IP 地址及所扮演的角色等数据,所以在转移操作主机前,要重建 DNS ,添加主机记录,把剩余两台域控制器的 NETLOGON.DNS 文件内的 DNS 备份复制到新建的 DNS 文件中(要先停止 DNS ,在保存修改的内容)。
1. 强行占用 Florence 的操作主机角色,使用 NTDSUTIL 命令。
2. 在 AD 站点和服务工具中,设置全局编录服务器。
3. 在 AD 用户和计算机中删除 Florence 对象,在 AD 站点和服务工具中清除 FLORENCE 的链接
4. 在 AD 站点和服务工具检查复制拓扑,确保 firenze 和 berlin 可以正常的相互复制
实施过程:
1. 重建 DNS
因原 DNS 服务器已丢失,所以可以在 FIRENZE 和 BERLIN 中任选一台 DC 作为 DNS 服务器,这里我选用 FIRENZE 作为 DNS 服务器。
⑴ 在 FIRENZE 中放入与其系统版本相同的系统光盘,这里我的 FIRENZE 操作系统版本号为没有打过 SERVER PARK 的 Windows Server 2003 Enterprise Edition
⑵ 在“控制面板”中选择“添加删除程序” —“添加Windows组件”
在弹出的 WINDOWS 组件向导中选择“网络服务”,在“网络服务”中选择“域名系统 DNS ”,点确定。
之后点击“下一步”即可安装。
如中途弹出需要文件的对话框,可把路径指向光驱所在盘符的 I386 文件夹即可正常复制文件了,这里我的光驱为 D:
,所以我指向“ D:\i386 ”文件夹。点击确定后继续。
当弹出完成“ Windows 组建向导”对话框时,即完成了 DNS 的安装
⑶ 点击“开始” —“程序”—“管理工具”—“DNS”,打开DNS服务管理器。
把丢失的 itet.com 域重新添加到新建的 DNS 中,右击“正向查找区域”—“新建区域”
弹出 DNS 新建区域向导,点击“下一步”出现区域类型选择,这里我们选“主要区域”,并把“在 Active Directory 中存储区域”的单选勾去掉,点击下一步。
区域名称输入“ itet.com ”,点击下一步
区域文件默认即可,点击下一步。
在动态更新选项中,需要选择“允许非安全和安全的动态更新”选项,点击下一步,点击完成就成功建立了 ITET.COM 域
⑷ 在 itet.com 中添加 berlin 主机 IP 。右击“ itet.com ”—“新建主机”
添加 berlin 的主机 IP 及主机名 , 即可把 berlin 的主机记录添加到 DNS 中。
⑸ 复制 firenze 和 berlin 的 netlogon.dns 到新建的 DNS 文件中,手工修复 SRV 记录。
在 firenze 主机中的“我的电脑”地址栏输入“ C:\WINDOWS\system32\config ”,回车即可进入 DNS 备份目录
找到 netlogon.dns 文件,使用记事本打开文件
全选文件内的记录,右击复制
继续在“我的电脑”地址栏内输入:“ C:\WINDOWS\system32\dns ”,回车进入目录
在目录内找到 DNS 记录文件:“ itet.com.dns ”,使用记事本打开,在记录最下面粘贴 netlogon.dns 内的记录
在 berlin 主机里找到 netlogon.dns 文件,复制内容到“ itet.com.dns ”中,不要保存文件,要先停止 DNS 服务。
打开“开始” —“运行”—“services.msc”,回车打开服务管理器。
找到“DNS Server”服务,点击“停止”,停止DNS服务
然后在保存刚修改过的“itet.com.dns”文件,回到服务管理器,重新启动DNS服务。
此时,刷新DNS服务管理会自动刷新出刚添加的SRV记录
到此,firenze和berlin除GC记录的外的所有记录均已恢复。
2. 占用操作主机角色
因为具有操作主机角色的域控制器已经失效,所以其他域控制器不能执行传送操作主机角色的操作,故只能使用占用操作主机角色的方法,将操作主机的角色强迫传送到另外一台域控制器。同时需要具有执行占用操作的相关权限的组或用户,表 1-1 。
| 角色 | 有权限的组 |
| 架构主机 | Schema Admins |
| 域命名主机 | Enterprise Admins |
| RID 主机 | Domain Admins |
| PDC 模拟主机 | Domain Admins |
| 基础结构主机 | Domain Admins |
表 1-1
Administrator 就具有如上权限,所以以下实验都要用这个用户来操作。
FIRENZE 当前用户为 Administrator ,为域管理员
使用 NTDSUTIL 命令来占用操作主机,步骤如下:
⑴ 点击“开始” —“运行”—输入“CMD”
⑵ 在提示符下,运行以下命令: NTDSUTIL ,回车
说明:可输入“?”来查询命令的用法,例如下图。
⑶ 在“ ntdsutil: ”提示符下,输入 Roles ,回车
⑷ 在“ fsmo maintenance: ”提示符下,输入 connections ,回车
⑸ 在“ server connections: ”提示符下,输入 connect to server Firenze.itet.com ,连接到欲扮演操作主机的域控制器
⑹ 在“ server connections : ”提示符下,输入: quit ,返回上级
菜单
⑺ 在“ fsmo maintenance: ”提示符下,输入: seize schema master ,回车,出现如下对话框时单击“是”
⑻ 从下图得知已经成功占用“架构主机”,由 firenze.itet.com 来扮演
⑼ 继续执行 以下 4 个命令来占用其他 4 个操作主机角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每个命令执行完毕,都会出现确认对话框及已成功占有角色的提示,如下图:
至此, 5 个操作主机角色已经从 Florence 夺取过来,键入 quit 退出 NTDSUTIL。
3 建立全局编录服务器
依然在 firenze 这台域控制器上进行操作。
操作:“开始” —“管理工具”—“Active Directory 站点和服务”,展开firenze—右击“NTDS Settings”—“属性”—勾选“全局编录”。
此时,只要重新启动firenze这台域控制器,DNS就会自动创建GC记录,这时DNS就有了完整的SRV记录。
4 在域内清除Florence对象
Florence 原来是域控制器,所以要在AD用户和计算机中删除域控制器组内的Florence。
操作:“开始”—“程序”—“管理工具”—“Active Directory工具和计算机”—打开“itet.com”目录—选中“Domain Controllers”—右击“Florence”点删除
在弹出的确认对话框中点击“确定”,会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,然后点击删除即可在AD用户和计算机去除Florence对象。
仅这样删除还是不能够完全删除Florence对象,还需在“Active Directory站点和服务”中删除连接。
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“Florence”—右击“NTDS settings”,选择删除
会弹出确认对话框,点“确定”,依然会弹出一个删除域控制器原因描述的对话框,这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”,点击删除,就可以删除已经建立好的与其他俩个域控制器间的连接。
这时,右击“servers”中的Florence,就可以彻底删除Florence对象了。
这时其他俩个域控制器内仍有与Florence的链接,只需等待KCC重新复制完拓扑,就可以看到正常的复制链路了。
或者直接在firenze的“NTDS settings”右击,选择“所有任务”—“检查复制拓扑”,然后再刷新站点,就可以看到正常的链接了。
正常的链接链路如下:
到此, Florence 对象已经从两个域控制器上彻底清除。
5 检查复制拓扑,确保两站点可以正常复制
操作:“开始”—“程序”—“管理工具”—“Active Directory站点和服务”—点开“sites”目录—“Default –first-site-name”—点开“Servers”—“berlin”服务器—“NTDS settings”—右击链接,选择“立即复制副本”,当出现“Active Directory 已经复制了连接”对话框时,表明Berlin可以正常的从firenze复制。
在点击“ firenze ”的服务器的“ NTDS settings ”,右击连接,选择“立即复制副本”
如果出现 “Active Directory 已经复制了连接”,说明firenze可以正常的从berlin复制
进入 berlin 这台域控制器,依然进入 “Active Directory站点和服务”查看站点连接情况,刷新后,连接正常
由此确定两个域控制器可以正常复制。
本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/608638,如需转载请自行联系原作者
你可能感兴趣的文章
Xamarin使用ListView开启分组视图Cell数据展示bug处理
查看>>
Javascript中闭包(Closure)的探索(一)-基本概念
查看>>
spark高级排序彻底解秘
查看>>
ylbtech-LanguageSamples-PartialTypes(部分类型)
查看>>
福建省促进大数据发展:变分散式管理为统筹集中式管理
查看>>
开发环境、生产环境、测试环境的基本理解和区别
查看>>
tomcat多应用之间如何共享jar
查看>>
Flex前后台交互,service层调用后台服务的简单封装
查看>>
技术汇之物联网设备网关技术架构设计
查看>>
OSX10.11 CocoaPods 升级总结
查看>>
深入浅出Netty
查看>>
3.使用maven创建java web项目
查看>>
笔记本搜索不到某一AP广播的SSID,信道的原因
查看>>
基于Spring MVC的异常处理及日志管理
查看>>
MediaBrowserService 音乐播放项目《IT蓝豹》
查看>>
MySQL入门12-数据类型
查看>>
Windows Azure 保留已存在的虚拟网络外网IP(云服务)
查看>>
修改字符集
查看>>
HackTheGame 攻略 - 第四关
查看>>
js删除数组元素
查看>>