主域控制器损坏后，额外域控制器强占 FSMO 测试过程和结果

主域控制器损坏后，额外域控制器强占 FSMO 测试过程和结果

其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～ 本贴说明： ....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！ AD、DC说明： .域名：abc.com ..主域：DC-ISA-NLB-1  ..副域：DC-ISA-NLB-2 .系统：2003企业版 故障情况：（真实环境跑完全过程..） ..主域崩溃，副域无法正常工作，如： ....无法浏览abc.com 中 Active Directory用户和计算机，提示无法连接错误； ....AD管理项目均报错，组策略.....等； ....域用户无法登录； 解决方法：（以上是在副域上操作） ..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录； ..使用命令：ntdsutil.....AD工具 ..过程：（大概6-8分钟） C:\Documents and Settings\Administrator.LH>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server dc-isa-nlb-2 绑定到 dc-isa-nlb-2 ... 用本登录的用户的凭证连接 dc-isa-nlb-2。 server connections: q metadata cleanup: q ntdsutil: roles fsmo maintenance:Seize domain naming master  ‘点OK’ fsmo maintenance:Seize infrastructure master ‘点OK’   fsmo maintenance:Seize PDC                   ‘点OK’   fsmo maintenance:Seize RID master            ‘点OK’ fsmo maintenance:Seize schema master         ‘点OK’ ‘关闭CMD窗口’...～～ 以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧： ..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’； .....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’； ..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’ .....1.点击‘DC-ISA－NLB-1’； ...........a.选中分支‘NTDS Settings’； ...........b.点击‘删除’，对话框‘选择第三项’； .....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’； .....3.点击‘DC-ISA－NLB-2’ ...........a.选中分支‘NTDS Settings’ ...........b.点击右键选择‘属性’，全局编录前打上勾； 完工....以上搞点后，余下就可以慢慢修复你的主域了。 注释：关于利用强占（Seize）方式解决问题有什么后遗症，我就没去深入研究了（现在专研ISA中），有兴趣了解朋友可以去微软查查资料... 题外话： 在企业中，出现以上状况对管理员是非常头痛事情，要在最段时间解决，必须依赖你的前瞻性，如： ...1.尽可能避免在域DC部署第三方服务器软件；...否则折磨死你了.. ...2.良好备份AD数据习惯；...在解决问题时可以节省很多时间.. ......如：域DC出现故障，不让你降级，也不让新DC加入...但新DC又必须加入..够郁闷事情. ..........没时间限制，大家都可以慢慢研究，但实际情况呢.--今天刚好碰上，这文章也是解决完后所写... ...3.非要部署服务器软件到DC上，必须先在模拟机上跑一段时间；...减少突发问题.. ---------------------------------------------------------- ---------------------------------------------------------- ‘模拟测试一完成，但有疑问看本帖最后部分’..（感谢版主置顶） 以下是在Wmware 5.0环境下测试，但只限于DC1、DC2在线情况下，主域控制器损坏后进行修复. 请留意最后信息内容，那位有经验得，麻烦补补，省走些歪路～～谢谢！ 模拟系统：2003企业版 模拟机器：2台 模拟域名：abc.com 模拟主域控制器计算机名：DC2 模拟额外域控制器计算机名：DC1 模拟DNS服务器：DC2 模拟故障情况：（测试一 前期部分） 1.DC2、DC1同时在线，DC2因特殊情况启动，但启动后故障无法登录系统，蓝屏严重崩溃. 测试解决方法： 1.DC1使用强占FSMO方式，夺取五个权限   a.架构主机                Schema master   b.域命名主机              Domain naming master   c.相对标识号（RID）主机   RID master   d.主域控制器模拟器        PDCE   e.基础结构主机            Infrastructure master 2.将DC1设置为GC（全局编录） 3.在DC1安装DNS服务器 4.使用微软FSMO脚本验证，以确定FSMO是否正确 步骤： 1.命令行：ntdsutil ..........ntdsutil: metadata cleanup ..........metadata cleanup: select operation target ..........select operation target: connections ..........server connections: connect to domain abc.com ..........（此处有连接域名后会有凭证信息） ..........server connections:quit ..........select operation target: list sites ..........Found 1 site(s) ..........0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........select operation target: select site 0 ..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........No current domain ..........No current server ..........No current Naming Context ..........select operation target: List domains in site ..........Found 1 domain(s) ..........0 - DC=abc,DC=com ..........Found 1 domain(s) ..........0 - DC=abc,DC=com ..........select operation target: select domain 0 ..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........Domain - DC=abc,DC=com ..........No current server ..........No current Naming Context ..........select operation target: List servers for domain in site ..........Found 2 server(s) ..........0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com ..........select operation target: select server ０ ..........select operation target: quit ..........metadata cleanup:Remove selected server  ..........注意：2003到此会提示（是否强占信息，全部安确定，但会提示错误，不用理会） 2.打开 AD站点和服务 手动删除 DC2残留信息，并在DC1全局编录属性上打勾 3.安装DNS 4.测试DNS 5.重启后，在DC1上运行微软 FSMO 脚本验证一下，如提示五个权限已经为DC1代表已经成功 注明： 1.第三步信息因为是网上找得（模拟机太慢没截图），虽然经过验证并修改，但还是有些不同，信息只提供参考... 2.以上情况为DC1、DC2在线情况下，DC2（主域控制器）崩溃修复方案. 往下会测试： 1.DC2重装后添加为额外域控制器，然后再提升为主域控制器. 2.DC1、DC2 启动过程，DC2崩溃特殊情况下修复测试.（已小测一下，有区别..在于connect to domain abc.com时候提示错误..） ...原因估计是额外域控制器启动后，但因为主域控制器崩溃无法登录，有某些信息没传递到额外域控制器，导致连接失败.. ------------------------------------------------------------------------------------------------------------------------ 模拟故障情况：（测试一 后续部分） 2.在解决模拟故障（测算一 前期部分）因DC2主域控制器损坏，DC1强占FSMO测试，DC2重装系统后恢复为主域控制器； 测试解决方法：（视实际需要，如后备服务器性能及稳定性不及原服务器，建议恢复） 1.DC2重装系统 2.以额外域控制器身份加入原域 3.通过在DC2使用ntdsutil命令将FSMO转移到DC2 4.在DC2安装DNS服务器 步骤： 1.命令行：ntdsutil ..........ntdsutil: metadata cleanup ..........metadata cleanup: select operation target ..........select operation target: connections ..........server connections: connect to domain abc.com ..........（此处有连接域名后会有凭证信息） ..........server connections:quit ..........metadata cleanup: quit ..........ntdsutil:roles ..........fsmo maintenace:transfer domain naming master ..........提示转移角色按确定 ..........fsmo maintenace:transfer infrastructure master ..........提示转移角色按确定 ..........fsmo maintenace:transfer PDC ..........提示转移角色按确定 ..........fsmo maintenace:transfer RID master ..........提示转移角色按确定 ..........fsmo maintenace:seize schema master ..........提示强占角色按确定 ..........ntdsutil:quit ..........执行FSMO.vbs脚本检测，提示五个权限已经为DC2代表已经成功 2.在DC2上安装DNS服务器 3.可以使用Windows2003额外工具检测域数据库及DNS是否正确  ？？？？？？？？？？？？？？？？？？？？？？？？？？？？ ...转移...fsmo maintenace:transfer schema master..失败 ...强占...fsmo maintenace:seize schema master.....成功 ------------------------------------------------------- 是否操作有误还是必须使用强占命令...那位知道补补...谢谢

转载于:https://blog.51cto.com/lucklong/209043