多域控制器环境下的活动目录恢复.docVIP

2、 多域控制器环境下的活动目录恢复　　　　可能看到这个标题有人就会问，怎么一上来就讲恢复啊?不用备份吗?是的，如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过，从Windows 2000域开始，采用的是多宿主复制的机构，也就是所有的活动目录修改都会被复制到所有的域控制器上，所以是不需要备份的。只要看一下怎么恢复就可以了。　　　　先来说明一下实验环境:　　　　域名:　　　　第一台域控制器:　　　　计算机名:　　　　IP:　　　　子网掩码:　　　　DNS:　　　　并且FSMO五种角色及GC全部在第一台域控上。　　　　第二台域控制器:　　　　计算机名:　　　　IP:　　　　子网掩码:　　　　DNS:　　　　灾难情况:第一台域控制器由于硬件原因，导致无法启动。　　　　这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了，我们的目的就是要让第二台额外域控制器来接替第一台的工作，也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:　　　　一、首先，要把第一台域控制器的所有信息从活动目录里面删除:　　　　(1)、点击“开始-运行”，输入:“cmd”并回车，在命令提示符下输入:“ntdsutil”，然后回车，如果你不是很清楚“ntdsutil”的使用方法，可以用“?”然后回车的方法来调用使用说明:　　 　 　　在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:　　 　 点击查看大图 　　然后我们要显示一下Site中的域:　　 　 　　结果找到两个，其中“1”是我建的子域，所以这里要先择“0”:　 ? 　　通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。所以这里要选择“0”:　　 　 　　选中后，按“q”退出到上一层菜单:　　 　 点击查看大图 　　 　　在上图中点击“是”:　　 　 点击查看大图 　　然后再按2个“q”退出。　　　　(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象，　　　　ADSI EDIT在SUPPORT TOOLS工具包里，打开后，找到如下位置: 　 点击查看大图 　　击右键，然后选“删除”就可以了。　　　　(3)、在“管理工具”里，打开“AD站点和服务”，找到如下位置:　　 　 　　把复制连接也删除了:　　 　 点击查看大图 　　以上有几个删除几个。　　　　二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:　　　　我们先要连接到目标服务器上:　　 　 　　连接成功后，按“q”退出到上层菜单，并且看一下帮助信息:　　 　 点击查看大图 　　请注意:这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。在这里由于SERVER已经离线了，所以要用“Seize”:　　 　 　　这里是夺取PDC角色的图示，点“是”，其它角色的也是一样的操作，最后退出。　　　　大家了为安全起见，可以运行一下我上次给转给大家的脚本:　　 　 　　由上图可见，所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来:　　　　在“管理工具”里，打开“AD站点和服务”，找到如下位置:　　 　 点击查看大图 　　在“属性”上单击:　　 　 　　在“全局编录”前打外勾，然后确定退出就可以了。　　　　最后到客户端去修改一下DNS服务器的位置，就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:　　　　1、 在单域控环境中，请尽量的多备份，以保证备份有效性，最好几种备份类型结合使用。　　　　2、 在多域控环境中，如果用Seize，那么那台坏掉的服务器在重装系统以前请不要回到网络中来，哪怕是已经修好了，也一定要重新安装操作系统，为什么?因为FSMO角色具有唯一性，如果此时回到网络中，那就会出现FSMO角色重复的现象。　　　　3、 在多域控环境中，那台坏域控修复后，重装系统，请尽量不要再使用原来的计算机名，以防止产生一些莫名其妙的问题，就让那台服务器在网络里永远消失吧! 用过AD的朋友都知道，我们在安装AD时有一个文件夹就是SYSVOL，而这个文件夹必须共享，这里面放的就是组策略模板，即组策略的