DNS重建+ActiveDirectory灾难恢复.doc

试验：DNS重建+Active Directory灾难恢复网络拓扑：内网有3台域控制器，分别为一台为主域控制器，其余二台是额外域控制器,DNS服务器是在主域控制器上，现在主域控制器与其他二台额外域控制器连接不上。如图 试验1： DNS重建思路：由于DNS上存有域控制器的主机名称，IP地址及所扮演的角色等数据，所以在转移操作主机前，要重建DNS，添加主机记录，把剩余两台域控制器的NETLOGON.DNS文件内的DNS备份复制到新建的DNS文件中（要先停止DNS，在保存修改的内容）。过程：因原DNS服务器已丢失，所以可以在FLORENCE和PERTH中任选一台DC作为DNS服务器，这里我选用florence作为DNS服务器。（在这里注意把设置ip里的DNS指向florence的IP）1.安装DNS，在开始-设置-控制面板里打开添加或删除程序-添加windows组件-在windows组件向导中选择网络服务，在网络服务中选择域名系统DNS，点确定-下一步即安装。（在安装过程中会提示需要系统盘上的文件，所以提前准备哦）2.恢复DNS，点击开始-程序-管理工具-DNS，打开DNS服务器，然后新建区域在这注意在最末行我们看见了一项默认打钩的“在AD中存储区域”的选项，我们需要去掉这个钩后在点击下一步，因为待会儿重建DNS需要区域文件，我们去掉这个钩，区域文件将存贮在本地计算机，方便随后的重建操作。如图我们去掉这个钩，然后继续下一步进行配置，出现定义区域名称向导界面，我们输入实验域名然后点击下一步，出现下图提示问打算将的区域文件怎样命名并存贮与哪里，（如果之前DNS服务器完好，我们可以选择使用此现存文件，然后挂入之前的区域文件即可），这里由于DNS和AD安装在一台PC上，而这台PC以连接不上，故选择新建区域文件，同时为方便记忆，我们选择默认的区域文件名称，确认无误后点击下一步。这时，向导出现了提示是否允许动态更新的界面，这是关键的一步，我们要想让AD复制拓扑正常，一定要选用允许动态更新，因为只有允许了动态更新，AD之间数据的变化才能及时传递给对方，所以我们在此项一定要选用：允许安全和非安全动态更新，然后我们点击下一步，确认无误后，完成安装。在向DNS区域文件中导入各域控制器的Netlogon.dns记录由于之前DNS文件的丢失，要重建DNS服务器，必须要向DNS区域文件中导入各域控制器中Netlogon.dns中的SRV记录、Cname记录、A记录和NS记录，进行导入。步骤：首先在DNS服务器Florence中添加一条Perth的A记录，并指明Perth的IP地址：，输入确认无误后点击添加主机。如图二.添加个域NETLOGON中的各项记录在Florence上开始运行（也可以win+R）cmd进入命令提示符然后输入cd %windir%system32config 进入系统配置目录然后输入：notepad netlogon.dns打开netlogon文件这时我们看到了这其中记载的各SRV记录、Cname记录、A记录和NS记录，如下图三. 然后全选这里的记录然后Ctrl+C复制，然后关闭这个文件，切换到命令提示符下，输入：net stop dns 先停止DNS服务，来方便我们更改DNS区域文件，接着输入：cd %windir%system32dns 进入DNS目录，然后我们输入：notepad .dns 来打开域的区域文件，这时我们看到了区域文件中的内容，这时我们在最后一行Ctrl+V粘贴我们刚才复制自己的netlogon.dns文件中的所有记录，如图现在去Perth用刚才的方法，命令提示符下输入：cd %windir%system32config 然后输入：notepad netlogon.dns打开netlogon文件同样复制其中的所有内容，然后回到Florence的.dns文件中，在最后一行粘贴进去我们刚才复制Perth中netlogon.dns文件中的记录，然后Ctrl+S保存并Alt+F4关闭。如下图注意现在不要保存文件，先要停止DNS服务。打开“开始”“运行”“services.msc”，回车打开服务管理器。找到“DNS Server”服务，点击“停止”，停止DNS服务如图然后在保存刚修改过的“.dns”文件，回到服务管理器，重新启动DNS服务。然后分别在Florence与Perth机器里重启Netlogon服务如图命令输入：net stop netlogon ,服务停止后在输入：net start netlogon开启netlogon服务如图接下来我们复制拓扑来进行测试DNS重建是否成功。域控制器Florence的站点与服务，展开Sites项，选择Perth与Florence的复制链接，右击选择立即复制副本，如下图提示，AD以复制了链接，在来选择Florence与Perth的复制链接，右击选择立即复制副本提示AD已复制了连接。检测成功，DNS重建工作到此完成如图试验2：Active Directory灾难恢复思路：先转移操作主机角色到新的主域控制器，然后重建全局编录服务器并在AD中清除报废的主域控制器对象，最后也是检查恢复情况的操作，检查重建的主域控制器于子域控制器间是否拥有正确的复制拓扑并且能正常复制链接。过程：要转移操作主机角色，需要用到Ntdsutil命令，我们在Florence的命令提示符中键入ntdsutil,如图（如果忘了该输入什么，那只好有必杀技“？”了，o(_)o哈哈）找到了输入Roles回车，然后如下图然后输入Connections连接到一个特定域控制器如图输入connect to server F如图，提示绑定到F了如图然后输入quit，返回上级菜单如图上图的拿红色标记的是强制转移操作主机（在与主域控制器连接不上的情况下用），拿黄色标记的是平稳转移操作主机（如果能连接到域控制器的话就用这个）。现在是连接不上主域控制器只能用红色标记的命令了，先输入Seize domain naming master，转移域角色。如图这时当我们点击确认是后，会出现一个错误报告，如下图（这是正常的，微软设置虽然用的是强制转移主机但是还是先尝试安全传送操作主机，如果连接不上的话，才用强制转移。）继续执行 以下4个命令来占用其他4个操作主机角色Seize domain naming masterSeize PDCSeize RID masterSeize infrastructure master每个命令执行完毕，都会出现确认对话框及已成功占有角色的提示如图26-34图提示传送成功。 至此，操作主机各角色转移完成，输入quit退出ntdsutil操作如图提示传送成功。 至此，操作主机各角色转移完成，输入quit退出ntdsutil操作如图接着去Florence中查看操作主机是否如我们所愿，成为了Florence请看下图Firenze成为了操作主机，至此操作主机角色转移工作至此完成，接下来进行全局编录服务器重建。依然在FLORENCE这台域控制器上进行操作。开始管理工具Active Directory 站点和服务，展开Florence右击NTDS Settings属性勾选全局编录。如图此时，只要重新启动firenze这台域控制器，DNS就会自动创建GC记录，这时DNS就有了完整的SRV记录。AD中清除报废的主域控制器对象，Firenze原来是主域控制器，所以要在AD用户和计算机中删除域控制器组内的Firenze，开始程序管理工具Active Directory用户和计算机打开目录选中DomainControllers右击Firenze点删除在弹出的确认对话框中点击“确定”，会弹出一个删除域控制器原因描述的对话框，这里我们选择“这台域控制器永远为脱机并且不能在用Active Directory安装向导将其降域”，然后点击删除即可在AD用户和计算机去除Florence对象。如图点击是，仅这样删除还是不能够完全删除Florence对象，还需在“Active Directory站点和服务”中删除连接。开始程序管理工具Active Directory站点和服务点开sites目录Default first-site-name点开ServersFirenze右击NTDS settings，选择删除如图这时，问你要选择怎样的删除操作，我们选择最后一项，将Florence降级并永久脱离使用，确认后点击删除。下图如上图，Florence中的Firenze对象清除完毕。检查复制拓扑，确保两站点可以正常复