从AD中删除损坏的域控制器

广东科学技术职业学院 \计算机工程技术学院（软件学院）实验报告专业计算机网络技术班级成绩评定学号56姓名梁钧皓（合作者号―）教师签名龚发根实验三题目从AD中删除损坏的域控制器第周星期第节一、实验目的与要求（此栏实验前由老师填写）在实际工作中，企业活动目录中的DC有可能出现问题，比如：DC硬件损坏、DC无法正常工作，这时就要对活动日录数据库进行维护♦在DC硬件损坏的情况下从AD中删除损坏的DC♦损坏的DC还可以进行活动目录还原模式的情况下删除损坏的DC二、实验环境及方案（此栏实验前由老师填写）实验环境：主机硬件配置至少512M内存，15G以上的空余硬盘空间，然后要求在主机上安装VMWare.Workstation.5.5.Z利用它配置至少两台虚拟机，全部安装windowsserver2003企业版客户机，并准备好相应的windowsserver2003安装盘或对应ISO文件。实验说明：计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称为客户机；启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以；如果要回到主机操作，可以同时按ctrl+alt键。在操作客户机中操作时，如果要全屏操作，可以同时按ctrl+alt+enter键。也可以通过安装VMWARETOOLS来实现在主机与客户机之间自由地切换客户机的管理员administrator帐号的登录密码：P@ssw0rd实验所需的各种资料在共享文件夹中找请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面，以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键）完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如06ATA1班的张三、其班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc”；再如06ATA2班的李四、其班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc”三、实验步骤（此栏实验前由老师填写）假设london计算机是nwtraders.msft林根域的第一台DC，并把denver配置成该域的一台额外域控制器。现假设出现了如下两种情况，手上又没有有效的备份：第一：london计算机硬件损坏，请你对活动目录进行维护，保证活动目录正常工作。第二：london计算机无法正常工作，但还能进行活动目录还原模式，请你对活动目录进行维护，保证活动目录正常工作。具体实验过程请参考如下方案进行：删除损坏的域控制器一、 前提：域中至少有两台域控制器（假设有两台DC：DC1、DC2，并假设DC1损坏）有辅助区域的DNS服务器二、 假设域控制器（DC1）硬件损坏，无法启动，欲将其从AD中清除1.在DC2上利用ntdsutil.exe将已经损坏的DC1从域中删除1） 在字符界面下先运行ntdsuti1，进入metadataclean状态2） 然后运行select.operations.target进入选择操作对象状态。先连接到域，连接后返回选择操作对象状态首先选择损坏的DC所在的站点然后在该站点中选择损坏的DC所在的域再从所选站点和域中选择已经损坏的DC服务器3） 返回到metadataclean状态，利用remoreselectedserver删除损坏的DC4） 最后返回，退出ntdsutil5）在DC2上打开“AD用户和计算机”，从域控制器OU中删除损坏的DC1

ft主页X坨Denver曲文件史）操作兔）查看旺）窗口®帮助W◎,小」/固回垦1名祢ActiveDirectory站直和母冬Servers2ft主页X坨Denver曲文件史）操作兔）查看旺）窗口®帮助W◎,小」/固回垦1名祢ActiveDirectory站直和母冬Servers2个对置涂ActiveDirectory站点和服务［D-_|Sites-』liefault-First_Sit&-Kame-Servers-JDENVERNTDSSettingsIJlondon-_|Inier_SiteTranzportE：_iif_JSMTPSubnetsDENVERlondoD.Thnwtraders.msftActiveDirectoryR您确定要啪除此对象?在字符界面下先运行ntdsuti1,进入roles状态然后运行select.operations.target进入选择操作对象状态。方法与前面一样，只不过这次是选择一台准备成为相应操作主机角色的DC再依次运行seize指令夺取五种操作主机角色3)是.11［二查旗匚二;I2,如果损坏的DC上占有操作主机角色，应该将这些操作主机角色转移到没有损坏的DC上。假设DC1上占有操作主机角色，则需在DC2上利用ntdsutil夺取FMSO操作主机角色1）2）角色传送葡认对话您确信将域命名主机的企业角色传送到服务器Denver4）最后返回，退出ntdsutil如果损坏的DC是GC，还需打开“AD站点和服务”设置其它完好的DC为GC如果损坏的DC还是DNS服务器，并拥有AD集成的主要区域，则需将其它良好的DNS服务器的辅助区域转变成AD集成的主要区域

注：修复损坏的DC注：修复损坏的DC后，如需还原它的角色，应先把它配置成备份域DC,再利用与第2步相似的方法，把修好的DC还原相应的操作主机角色，这次不能用seize指令，而应该利用transfer指令；另外还注意一下GC的设置三、假设域控制器由于活动目录损坏，无法正常启动。但能够进入活动目录还原模式，又由于没有良好的“系统状态数据”的备份，无法通过备份数据来修复它的活动目录。从域中删除损坏AD的域控制器1.启动损坏活动目录的。。进入活动目录还原模式，以删除损坏的DC1） 在字符界面下先运行ntdsuti1，进入metadataclean状态2）然后运行select.operations.target进入选择操作对象状态。>首先要建立信任关系（即用来连接的凭据）设置才能连接到dc，连接后返回选择操作对象状态（Connecttoserver服务器的FQDN，注:好DNS，以便域名解析）设置首先选择损坏的DC所在的站点然后在该站点中选择损坏的DC所在的域再从所选站点和域中选择已经损坏的DC服务器Windows正在安全模式下运行》Wmdowz的这种特殊诊断模式使您能解决由网洛或硬件设置引起的问题■请确认这些设置在控制面校中是正确的，然后再次芸试启动Windowso在安全模式'您的一些设备可能不可用-确定二至|metadatacleanup：renoueselectedseruer^CN=LONDON,CN=Seruers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nwtraders,DC=msft”删除了，从服务器^denuer"metadatacleanup：metadatacleanup：quitntdsutil：quit从denuer断开-…C:\DocumentsandSettings\fidministrator>3） 返回到metadataclean状态，利用remoreselectedserver删除损坏的DC4） 最后返回，退出ntdsutil

在备份域DC上打开AD用户和计算机，从域控制器OU中删除损坏的DC把备份域DC提升为主控，在备份DC上利用ntdsutil夺取FMSO操作主机角色1） 在字符界面下先运行ntdsuti1，进入roles状态2） 然后运行select.operations.target进入选择操作对象状态。方法与前面一样，只不过这次是选择一台准备提升为主域控制器的备份器控制器3） 再依次运行seize指令夺取五种操作主机角色设置该备份DC为GC修改DNS服务角色，从辅助区域转变成主要区域（在AD中）修复损坏的DC后，再把它安装成为备份域DC，/