多域控制器环境下Active Directory灾难恢复.docx

多域控制器环境下Active Directory灾难恢复摘要本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。-一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个Windows 2003 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2003 环境。 本机 Windows 2003 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。时间同步 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。PDCE是基于域的，目录林中的每个域都有自己的PDCE。 基础结构主机基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机默认，这五种存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。二、环境分析 公司T（虚拟）有一台主域控制器，还有一台额外域控制器。现主域控制器（）由于硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。如果你的第一台坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种，并需要把额外域控制器设置为GC。三、从AD中清除主域控制器对象3.1在额外域控制器(R)上通过ntdsutil.exe工具把主域控制器(R)从中删除；C:Program FilesSupport Toolsntdsutil ntdsutil: ntdsutil: metadata cleanupmetadata cleanup:metadata cleanup: select operation targetselect operation target: select operation target: connectionsserver connections: connect to domain 绑定到 .用本登录的用户的凭证连接 。select operation target: list sites找到 1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizselect operation target:select operation target: select site 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz没有当前域没有当前服务器当前的命名上下文select operation target: list domain in site找到 1 域0 - DC=rsgps,DC=bizselect operation target: select domain 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - DC=rsgps,DC=biz没有当前服务器当前的命名上下文select operation target: list server for domain in site找到 2 服务器0 - CN=ROOTDC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz1 - CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizselect operation target: select server 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - DC=rsgps,DC=biz服务器 - CN=ROOTDC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz DSA 对象 - CN=NTDS Settings,CN=ROOTDC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz DNS 主机名称 - 计算机对象 - CN=ROOTDC1,OU=Domain Controllers,DC=rsgps,DC=biz当前的命名上下文select operation target: quitmetadata cleanup: remove selected server正在从选定的服务器传送/获取 FSMO 角色。绑定到 .绑定到 .正在将 Domain Naming Master FSMO 移动到 CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz。 . .正在删除 FRS 成员 CN=ROOTDC1,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=rsgps,DC=biz。正在删除 CN=ROOTDC1,CN=Domain System Volume (SYSVOL share),CN=File ReplicationService,CN=System,DC=rsgps,DC=biz 下的子树。正在删除 CN=ROOTDC1,OU=Domain Controllers,DC=rsgps,DC=biz 下的子树。尝试删除 CN=ROOTDC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz 上的 FRS 设置失败，原因是 错误代码没有映射。；继续清除元数据。“CN=ROOTDC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz”删除了，从服务器“”metadata cleanup: quitntdsutil: quit从 断开. 3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中rootdc1服务器对象，ADSI EDIT是Windows 2003 support tools中的工具，你需要安装Windows 2003 support tool，安装程序在windows 2003光盘中的supporttools目录下。打开ADSI EDIT工具，展开Domain NCR，展开OU=Domain controllers，右击CN=rootdc1，然后选择Delete，把rootdc1服务器对象删除3.3 在Active Directory Sites and Service中删除rootdc1服务器对象打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击rootdc1，选择Delete，单击Yes按钮，如图：四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种操作C:Program FilesSupport Toolsntdsutilntdsutil: rolesfsmo maintenance: select operation targetselect operation target: connectionsserver connections: connect to domain 绑定到 .用本登录的用户的凭证连接 。server connections: qselect operation target: list sites找到 1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizselect operation target: select site 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz没有当前域没有当前服务器当前的命名上下文select operation target: list domains in site找到 1 域0 - DC=rsgps,DC=bizselect operation target: select domain 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - DC=rsgps,DC=biz没有当前服务器当前的命名上下文select operation target: list servers for domain in site找到 1 服务器0 - CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizselect operation target: select server 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - DC=rsgps,DC=biz服务器 - CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz DSA 对象 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz DNS 主机名称 - 计算机对象 - CN=ROOTDC2,OU=Domain Controllers,DC=rsgps,DC=biz当前的命名上下文select operation target: quitfsmo maintenance: seize domain naming master在索取之前尝试安全传送 domain naming FSMO。FSMO 传送成功 - 不需要索取。服务器 知道有关 5 作用架构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizPDC - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizRID - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz结构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz如下图：fsmo maintenance: seize infrastructure master在索取之前尝试安全传送 infrastructure FSMO。FSMO 传送成功 - 不需要索取。服务器 知道有关 5 作用架构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizPDC - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizRID - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz结构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizfsmo maintenance: seize PDC在索取之前尝试安全传送 PDC FSMO。FSMO 传送成功 - 不需要索取。服务器 知道有关 5 作用架构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizPDC - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizRID - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz结构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizfsmo maintenance: seize RID master所选服务器已经是 RID 角色的所有者fsmo maintenance: seize schema master在索取之前尝试安全传送 schema FSMO。FSMO 传送成功 - 不需要索取。服务器 知道有关 5 作用架构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz域 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizPDC - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizRID - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=biz结构 - CN=NTDS Settings,CN=ROOTDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rsgps,DC=bizfsmo maintenance: quitntdsutil: quit从 断开.五、设置额外控制(R)为（全局编录）打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开R(额外控制器)，右击NTDS Settings选择Properties，然后在Global Catalog前面打勾，单击确定按钮，然后重新启动服务器。六、重新安装并恢复损坏主域控制器修理好R损坏的硬件之后，在R服务器重新安装Windows 2003 Server，安装好Windows 2003 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使R担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置R为GC，取消R的GC功能。建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。-附:用于检测AD中五种操作主机角色的脚本给大家一个脚本,用于检测AD中五种FSMO角色,把下面的代码,保存为FSMO.VBS,然后执行它.Set objRootDSE = GetObject(LDAP:/rootDSE)Dim text Schema MasterSet objSchema = GetObject(LDAP:/ & objRootDSE.Get(schemaNamingContext)strSchemaMaster = objSchema.Get(fSMORoleOwner)Set objNtds = GetObject(LDAP:/ & strSchemaMaster)Set objComputer = GetObject(objNtds.Parent)text=Forest-wide Schema Master FSMO: & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing Domain Naming MasterSet objPartitions = GetObject(LDAP:/CN=Partitions, & _objRootDSE.Get(configurationNamingContext)strDomainNamingMaster = objPartitions.Get(fSMORoleOwner)Set objNtds = GetObject(LDAP:/ & strDomainNamingMaster)Set objComputer = GetObject(objNtds.Parent)text=text&Forest-wide Domain Naming Master FSMO: & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing PDC EmulatorSet objDomain = Get