域控制器安装过程中断电!与Windows Server 2008 林功能级别提升之“冬夜”分享
记得上一次删除脱线域控制器的时间还是在11个月前,在一台老掉牙的机器上操作着那个几乎改变我职业命运的Windows Server 2000,一个系统管理员的未来。引用新同事blog上的记忆:“可是回忆像他老掉牙的机器播放的老电影,好多细节已经无从找寻。可是故事的内容永远是那么的熟悉然而又那么的遥远,毕竟原来还是原来,我们已经不是我们,无论如何,他已经刻进了胶片,成了一个你主演的真实故事片。”
老手了,还“断电”
好了,那就言归正传!删除域中的错误对象,清理或者转移域控制器角色的操作,想必你在网络KB上已经掌握的如火纯青。那么我的这个经历是真实过程的一个重放,这个故事发生在一个准备合并的传媒公司,地点在通州,有兴趣的朋友可以“人肉”一下。可能在技术上操作很简单,但我相信对于一些初学者和马虎大意之人来说可以搞清楚所谓的技术逻辑顺序。
首先呢,我们已经建立好的demo.com.cn下再建了一个名称为MIS的子域,如图1所示。
好了,那就言归正传!删除域中的错误对象,清理或者转移域控制器角色的操作,想必你在网络KB上已经掌握的如火纯青。那么我的这个经历是真实过程的一个重放,这个故事发生在一个准备合并的传媒公司,地点在通州,有兴趣的朋友可以“人肉”一下。可能在技术上操作很简单,但我相信对于一些初学者和马虎大意之人来说可以搞清楚所谓的技术逻辑顺序。
首先呢,我们已经建立好的demo.com.cn下再建了一个名称为MIS的子域,如图1所示。
图1 MIS作为demo.com.cn的子域
然后为吞并的多媒体制作公司建立secondtree.com.cn的域,让他们可以在这个林中享受一番。事情来得突然,我们知道在安装Windows 系统的时候是需要将UPS断开的,至于为什么,请您多看看Windows那枯燥的安装建议,或者本blog最后得小结部分。
怎么突然了呢?安装完成后,来建立ADDS这个服务,然后做了DCPROMO的操作,也选择了图2的这个选项,在现有林中新建域,新建域树。可当马上就要出现“安全完成,请重新启动”这个对话框的时候,旁边的一个哥们手机准备充电,插向连接这台新服务器的电源插板时碰了按钮,“断电了”。
然后为吞并的多媒体制作公司建立secondtree.com.cn的域,让他们可以在这个林中享受一番。事情来得突然,我们知道在安装Windows 系统的时候是需要将UPS断开的,至于为什么,请您多看看Windows那枯燥的安装建议,或者本blog最后得小结部分。
怎么突然了呢?安装完成后,来建立ADDS这个服务,然后做了DCPROMO的操作,也选择了图2的这个选项,在现有林中新建域,新建域树。可当马上就要出现“安全完成,请重新启动”这个对话框的时候,旁边的一个哥们手机准备充电,插向连接这台新服务器的电源插板时碰了按钮,“断电了”。
图2 建立新域的过程
匪夷所思的后果
那么这造成了什么后果呢?新域也建立起来了,但域控制器就是不正常,错误日志多多多!我交待了一下,明天等我过来再处理吧,毕竟现在是“冬天的夜晚”,走夜路很怕的,楼下速吃,回家。公司网管员说不跟着我去腐败了,自己再研究一下。
转日,我来时,管理员告诉我,他折腾了一夜,最后气愤地重新安装了已经成为secondtree.com.cn的域控制器,我傻了。看来会出现很多问题,下面就已提升林和域级别为例吧。提升林的功能级别时,系统长时间的让我等待,最后出现如图3所示的提示,徒劳无功。
那么这造成了什么后果呢?新域也建立起来了,但域控制器就是不正常,错误日志多多多!我交待了一下,明天等我过来再处理吧,毕竟现在是“冬天的夜晚”,走夜路很怕的,楼下速吃,回家。公司网管员说不跟着我去腐败了,自己再研究一下。
转日,我来时,管理员告诉我,他折腾了一夜,最后气愤地重新安装了已经成为secondtree.com.cn的域控制器,我傻了。看来会出现很多问题,下面就已提升林和域级别为例吧。提升林的功能级别时,系统长时间的让我等待,最后出现如图3所示的提示,徒劳无功。
图 3 提升林功能级别出错
别瞎猜了,看日志吧。点击“另存为”,出现在图4的位置中选择日志的保留地点。
别瞎猜了,看日志吧。点击“另存为”,出现在图4的位置中选择日志的保留地点。
图 4 提升失败后的日志
接下来,打开日志一看究竟,我们看到图5中的内容已经告诉我们了答案,原来提升林级别前要保证所有的子域和林中的域都必须提升到需要的功能级别,如Windows Server 2008。因为只有这样,我们才能用到NAP、AD RMS等等新鲜的事物。
接下来,打开日志一看究竟,我们看到图5中的内容已经告诉我们了答案,原来提升林级别前要保证所有的子域和林中的域都必须提升到需要的功能级别,如Windows Server 2008。因为只有这样,我们才能用到NAP、AD RMS等等新鲜的事物。
接下来,打开日志一看究竟,我们看到图5中的内容已经告诉我们了答案,原来提升林级别前要保证所有的子域和林中的域都必须提升到需要的功能级别,如Windows Server 2008。因为只有这样,我们才能用到NAP、AD RMS等等新鲜的事物。
图 5 其中secondtree.com.cn还处于2000混合模式
知道问题所在了,我们来提升secondtree.com.cn不就可以了吗?NO,看看图6、图7、图8吧。
图 6 提升secondtree.com.cn功能级别
图 7 由于断电,林中的信息其实是不完整的
图 8 再次证明了管理员直接重新安装DC的后果
图 5 其中secondtree.com.cn还处于2000混合模式
知道问题所在了,我们来提升secondtree.com.cn不就可以了吗?NO,看看图6、图7、图8吧。
图 6 提升secondtree.com.cn功能级别
图 7 由于断电,林中的信息其实是不完整的
图 8 再次证明了管理员直接重新安装DC的后果
打开AD的站点与服务,我们会发现如果要管理这个被摧残得域,那么你将得不到任何的信息,而当你查看属性的时候,会看见图9中的提示。
图 9 无法联系到需要删除的域
图 9 无法联系到需要删除的域
解决办法依然是命令行
“也许图形界面下,我们能解决这个问题呢?”:我假想到。算了,还是老实的进入到命令行模式修理吧。(看老电影还是比较熟悉的)
步骤抓图简单一些,后面正是的总结一下,希望对我和看到这篇blog的同行都有帮助。
步骤1:使用Ntdsutil
图 10 使用metadata cleanup 清理废弃对象
步骤2:怪异情况是,不要怀疑,你需要连续执行两次删除动作,如图11所示。
图 11 匪夷所思
步骤3:OK,下面将出现一些对话框,有兴趣的朋友可以用放大镜看看图12、13、14所示,记住选 Y 就可以。
图 12 删除选定对象
图 13 因为需要删除 AD DC FRS状态所弹出的对话框
图 14 应该可以删除服务器对象了
步骤4: 进入到“站点和服务”中,删除存在的复制拓扑,如图15和16。
图 15 展开默认的站点
图 16 删除那个怪异字符的服务器
步骤 5:重新回到域信任关系管理界面中,提升域和林的级别,成功!如图17、18、19所示。
图17 提升MIS子域级别
图 18 提升林功能级别
图 19 确定可以成功了
知识连接1:Windows Server 2008域功能等级与林功能等级
在Windows Server 2008的AD DS环境中,“功能级别”是用来决定域或林要启动哪些AD DS所属功能的依据。不过,“功能级别”不会影响哪些Windows版本的操作系统能够加入域或林。但是,“功能级别”会限制哪些Windows Server版本的操作系统能够被安装成为域或林中的域控制器。
当在建立新域或新林时,应该将域及林功能等级设置为符合企业网络环境所能支持的最高值,这样就可以使用到最多的AD DS功能。例如,当域管理人员在安装Windows Server 2008域控制器时,如果确定域或林中没有Windows Server 2003 (或更前版的Windows Server操作系统) 版本的域控制器存在,则可选取Windows Server 2008功能等级。反之,则应该选取Windows Server 2003或Window 2000纯功能等级。另外,当确定Windows Server 2008的域或林内不会新增旧版本的Windows Server域控制器,或已没有这类域控制器正在使用中,则可以在安装完成AD DS后提升功能等级。但是,功能等级只能升级无法降级。
当管理人员在安装新林时,会先提示设置林功能级别,然后再设置域功能级别。你无法将域功能级别设置为低于林功能级别的值。例如,如果将林功能级别设置为Windows Server 2008,那么你只能将域功能级别设置为Windows Server 2008。此外,往后管理人员新增至该林的所有域的域功能级别都会默认为Windows Server 2008。
当在建立新域或新林时,应该将域及林功能等级设置为符合企业网络环境所能支持的最高值,这样就可以使用到最多的AD DS功能。例如,当域管理人员在安装Windows Server 2008域控制器时,如果确定域或林中没有Windows Server 2003 (或更前版的Windows Server操作系统) 版本的域控制器存在,则可选取Windows Server 2008功能等级。反之,则应该选取Windows Server 2003或Window 2000纯功能等级。另外,当确定Windows Server 2008的域或林内不会新增旧版本的Windows Server域控制器,或已没有这类域控制器正在使用中,则可以在安装完成AD DS后提升功能等级。但是,功能等级只能升级无法降级。
当管理人员在安装新林时,会先提示设置林功能级别,然后再设置域功能级别。你无法将域功能级别设置为低于林功能级别的值。例如,如果将林功能级别设置为Windows Server 2008,那么你只能将域功能级别设置为Windows Server 2008。此外,往后管理人员新增至该林的所有域的域功能级别都会默认为Windows Server 2008。
如果在域中,所有的域控制器都执行Windows Server 2008,则域功能级别可设置为Windows Server 2008。如果域控制器都执行Windows Server 2003,则域功能级别可设置为Windows Server 2003。而域中如果包含有Windows 2000域控制器时,则Active Directory功能会受到很多限制。
因此,当域内的域控制器符合升级条件时域管理员可以通过“Active Directory域和信任关系”工具执行。此外,如果要执行提升域功能级别程序,则至少需要拥有Domain Admins或Enterprise Admins等组的成员资格才行。升级步骤如下:
step01:使用具备有Domain Admins或Enterprise Admins等组成员之一的资格用户帐户登录。
step02:点击“开始”→“管理工具”→“Active Directory域和信任关系”。
step03:在“Active Directory域和信任关系”操作界面中,点击要提升域功能级别的域,本范例点击“demo.com.cn”,然后按“右键”点击“提升域功能级别”。
step04:在“提升域功能级别”界面中的“选择一个可用的域功能级别”字段,点击合适的域功能级别,再点击“提升”按钮,系统显示提示信息对话框,点击“确定”。
step05:系统显示“已顺利提高功能级别”的对话框,点击”确定”,完成域功能级别的提升。
因此,当域内的域控制器符合升级条件时域管理员可以通过“Active Directory域和信任关系”工具执行。此外,如果要执行提升域功能级别程序,则至少需要拥有Domain Admins或Enterprise Admins等组的成员资格才行。升级步骤如下:
step01:使用具备有Domain Admins或Enterprise Admins等组成员之一的资格用户帐户登录。
step02:点击“开始”→“管理工具”→“Active Directory域和信任关系”。
step03:在“Active Directory域和信任关系”操作界面中,点击要提升域功能级别的域,本范例点击“demo.com.cn”,然后按“右键”点击“提升域功能级别”。
step04:在“提升域功能级别”界面中的“选择一个可用的域功能级别”字段,点击合适的域功能级别,再点击“提升”按钮,系统显示提示信息对话框,点击“确定”。
step05:系统显示“已顺利提高功能级别”的对话框,点击”确定”,完成域功能级别的提升。
知识连接2:删除废弃的域元数据
step01:打开“命令提示符”,键入: ntdsutil
step02:在 ntdsutil 命令下,键入: metadata cleanup
step03:在 metadata cleanup 命令下,键入: connection
step04:在 connection 命令下,键入: connect to serverServer
step05:在 connection 命令下,键入: quit
step06:在 metadata cleanup 命令下,键入: select operation target
step07:在 select operation target 命令下,键入: list sites
step08:将显示一个按编号排列的站点列表,键入: select siteSiteNumber (注意,从0开始计算的)
step09:在 select operation target 命令下,键入: list domains in site
step10:将显示选定站点中按编号排列的一个域的列表,键入: select domainDomainNumber
step11:quit
step12:在 metadata cleanup 命令下,键入: remove selected domain
说明:
Server=域控制器的 DNS 名称
SiteNumber=在显示的列表中对应于要连接到的站点的编号
DomainNumber=在显示的列表中对应于要清理的域的编号
工作小结:
1.机房电源管理要严格,手机充电要小心。
2. 根据微软的提示,如果服务器与不间断电源 (UPS) 相连,那么在运行安装程序之前,请断开串行电缆。安装程序将自动尝试检测连接到串行端口的设备,而且 UPS 设备可能导致在检测过程中出现问题。因此我在安装之后,就断开了连接,但安装完毕后,在安装例如ADDS这样的服务时,应该将UPS连接上,以防万一,万不可懒。
3.使用metadata cleanup清理对象时,有时需要执行两次最后的命令,这个问题我从Windows Server 2000时好像就发表过这个问题,但未提交给微软。不过,也可能是我的操作还不规范,需要再深入,深入研究之。
4.要清除元数据,必须首先选择操作目标。在选择服务器的操作目标时,必须首先选择站点,然后选择域。
5.想起来一个问题,域大?林大?站点大?7年前面试微软护航工程时的时候,好像回答对了,站点大吧。这个问题同时也在“八百年前”同WinMag论坛上争论过,也希望拿到51cto上继续和大家抬杠一下。