主域故障无法启动

1、主域故障无法启动，额外域提升Active Directory灾难恢复本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行.( , ( P2 u5 Y' q! o% 9 v" u2 目录) m: t' 7 ?. N9 R: G, J4 fActive Directory操作主机角色概述( z! E( e$ n  % h" R* H环境分析/ U. m: 2 a1 I) O9 A7 P, L从AD中清除主域控制器DC- 对象7 m

2、0; n7 w$ e& V3 A7 Y. t在额外域控制器上通过ntdsutil.exe工具执行夺取五种操作0 Q8 X/ s) c0 w: d! q设置额外域控制器为（全局编录）* q0 d) m& z7 U& C$ q6 g) D; k! o4 l一、环境分析- h+ " : k# N. B0 2 |& 公司T（虚拟）有一台主域控制器T，还有一台额外域控制器E。现主域控制器（T）由于硬件故障突然损坏，事先又没有T的系统状态备份，没办法通过备份修复主域控制器（T），我们怎么让额外域控制器（E）替代主域控制器，使Acitvie Directo

3、ry继续正常运行.3 X$ r% S5 E' f2 v8 l. t如果你的第一台坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种，并需要把额外域控制器设置为GC 2007-11-26 08:51 2007-11-26 08:51 操作步骤:" x5 d  P  e; Q2 v2 Q1. 从AD中清除主域控制器T对象; C- o$ e! s, N" " U0 % w在额外域控制器(E)上通过ntdsutil.exe工具把主域控制器(T)从中删除；. v; o8 Z  J& g:

4、 n% 2 a% N- 0 d3 M, f- a9 p: F出现对话框以及FSMO角色转换，点确定% 1 r, q& x, A' D8 N# u' C- d0 O: V! T/ 2 f: L+ Z: I# K2007-11-26 08:52 0005_cmd.JPG(55.19 KB)2007-11-26 08:52 0008_cmd.JPG(29.22 KB)2007-11-26 08:53 0009_cmd.JPG(29.65 KB)2007-11-26 08:53 2. 使用ADSI EDIT工具删除Active Directory users and compu

5、ters中的Domain controllers中T1服务器对象，ADSI EDIT是Windows 2003 support tools中的工具，你需要安装Windows 2003 support tool，安装程序在windows 2003光盘中的supporttools目录下。打开ADSI EDIT工具，展开Domain NCE，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把T1服务器对象删除，如图：$ A: Q, c6 R) p! a4 L8 / i3.3 在Active Directory Sites and Service中删除T1服

6、务器对象,打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击T1，选择Delete，单击Yes按钮，如图： 附件 - 如何获取无忧币 - 下载扣无忧币规则Adsi_Edit.JPG(38.24 KB)2007-11-26 08:54 AD_01.JPG(32.24 KB)2007-11-26 08:54 3. 设置额外控制(E)为（全局编录）$ % Y; l" h& s. g打开Administra

7、tive Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开E(额外控制器)，右击NTDS Settings选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。 2007-11-26 08:55 后续部分换成功转换之后抓图,有不好的地方，请大家指教 2007-11-26 08:56 0013_Pc.JPG(68.82 KB)2007-11-26 08:56 记得一定要先

8、安装光盘中TOOLS里面的SUPTOOLS.MSI,在运行SUPPORT.CAB解压里面的Adsiedit.msc6 M" u+ ?/ r$ t否则会出现以下错误，提示MMC无法创建管理单元 2007-11-26 08:57 一个域中可以安装多个域控制器，即额外域控制器。 即使在一个域控制器停止工作的情况下，也能保证 Active Directory 的有效性。主域控制器无法启动时，我们可以使用的方法是：安装光碟:SUPPORTTOOLSSUPTOOLS.MSI即包含了ntdsutil.exe转移：transfer ,旧的DC如果还能正常工作或还能启动的情况下我们的操作可以用转移，转

9、移可以在图形化和命令行下完成，转移后，旧的DC就可以重新安装操作系统了。抓取：seize,抓取是指旧的DC已经不能正常工作，或已经不能启动，那么带给网络管理员的麻烦是，域中的某些计算机已经不能正常登陆到域中，此时需要使用强迫抓取，将五种操作主机都强制到可用的DC上使用命令完成操作：ntdsutil 进入ntds工具提示符roles 调整操作主机角色connections 进入连接模式connect to server "DC名" 连接到可用DC上quit 返回上层菜单transfer pdc （或其他） 进行转移或抓取quit 退出额外域控制器接替域控制器的步骤：1 首先主

10、域控制器坏了，额外域控制器是不会自动接替工作的，导致的后果就是域用户无法登陆（如果禁止缓存）。2 要使额外域控制器接替工作，只能把额外域控制器升级为主域控，操作的办法是抢夺FSMO和全局编录角色。3 抢夺角色需要安装ntdsutil.exe工具。简单描述如下：c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain （这里选额外域控制器）连接成功后，按“q”退出到上层

11、菜单这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。在这里由于SERVER已经离线了，所以要用“Seize”。fsmo maintenance:Seize domain naming master出现对话框，按“确定“fsmo maintenance:Seize infrastructure master出现对话框，按“确定“fsmo maintenance:Seize PDC出现对话框，按“确定“fsmo maintenance:Seize RID master出现对话框，按“确定“fsmo maintenance:Seize schema master出现对话框，按“确定“fsmo maintenance:quitntdsutil: quit4 打开Administrative Tools中的Active Directory Site