主域故障無法啟動

1、主域故障無法啟動，額外域提升Active Directory災難恢復本文講述了在多域控制器環(huán)境下，主域控制器由于硬件故障突然損壞，而事先又沒有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運行.( , ( P2 u5 Y' q! o% 9 v" u2 目錄) m: t' 7 ?. N9 R: G, J4 fActive Directory操作主機角色概述( z! E( e$ n  % h" R* H環(huán)境分析/ U. m: 2 a1 I) O9 A7 P, L從AD中清除主域控制器DC- 對象7 m

2、0; n7 w$ e& V3 A7 Y. t在額外域控制器上通過ntdsutil.exe工具執(zhí)行奪取五種操作0 Q8 X/ s) c0 w: d! q設(shè)置額外域控制器為（全局編錄）* q0 d) m& z7 U& C$ q6 g) D; k! o4 l一、環(huán)境分析- h+ " : k# N. B0 2 |& 公司T（虛擬）有一臺主域控制器T，還有一臺額外域控制器E。現(xiàn)主域控制器（T）由于硬件故障突然損壞，事先又沒有T的系統(tǒng)狀態(tài)備份，沒辦法通過備份修復主域控制器（T），我們怎么讓額外域控制器（E）替代主域控制器，使Acitvie Directo

3、ry繼續(xù)正常運行.3 X$ r% S5 E' f2 v8 l. t如果你的第一臺壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種，并需要把額外域控制器設(shè)置為GC 2007-11-26 08:51 2007-11-26 08:51 操作步驟:" x5 d  P  e; Q2 v2 Q1. 從AD中清除主域控制器T對象; C- o$ e! s, N" " U0 % w在額外域控制器(E)上通過ntdsutil.exe工具把主域控制器(T)從中刪除；. v; o8 Z  J& g:

4、 n% 2 a% N- 0 d3 M, f- a9 p: F出現(xiàn)對話框以及FSMO角色轉(zhuǎn)換，點確定% 1 r, q& x, A' D8 N# u' C- d0 O: V! T/ 2 f: L+ Z: I# K2007-11-26 08:52 0005_cmd.JPG(55.19 KB)2007-11-26 08:52 0008_cmd.JPG(29.22 KB)2007-11-26 08:53 0009_cmd.JPG(29.65 KB)2007-11-26 08:53 2. 使用ADSI EDIT工具刪除Active Directory users and compu

5、ters中的Domain controllers中T1服務器對象，ADSI EDIT是Windows 2003 support tools中的工具，你需要安裝Windows 2003 support tool，安裝程序在windows 2003光盤中的supporttools目錄下。打開ADSI EDIT工具，展開Domain NCE，展開OU=Domain controllers，右擊CN=DC-01，然后選擇Delete，把T1服務器對象刪除，如圖：$ A: Q, c6 R) p! a4 L8 / i3.3 在Active Directory Sites and Service中刪除T1服

6、務器對象,打開Administrative tools中的Active Directory Sites and Service，展開Sites，展開Default-First-Site-Name，展開Servers，右擊T1，選擇Delete，單擊Yes按鈕，如圖： 附件 - 如何獲取無憂幣 - 下載扣無憂幣規(guī)則Adsi_Edit.JPG(38.24 KB)2007-11-26 08:54 AD_01.JPG(32.24 KB)2007-11-26 08:54 3. 設(shè)置額外控制(E)為（全局編錄）$ % Y; l" h& s. g打開Administra

7、tive Tools中的Active Directory Sites and Services，展開Sites，展開Default-First-Site-Name，展開Servers，展開E(額外控制器)，右擊NTDS Settings選擇Properties，然后在"Global Catalog"前面打勾，單擊"確定"按鈕，然后重新啟動服務器。 2007-11-26 08:55 后續(xù)部分換成功轉(zhuǎn)換之后抓圖,有不好的地方，請大家指教 2007-11-26 08:56 0013_Pc.JPG(68.82 KB)2007-11-26 08:56 記得一定要先

8、安裝光盤中TOOLS里面的SUPTOOLS.MSI,在運行SUPPORT.CAB解壓里面的Adsiedit.msc6 M" u+ ?/ r$ t否則會出現(xiàn)以下錯誤，提示MMC無法創(chuàng)建管理單元 2007-11-26 08:57 一個域中可以安裝多個域控制器，即額外域控制器。 即使在一個域控制器停止工作的情況下，也能保證 Active Directory 的有效性。主域控制器無法啟動時，我們可以使用的方法是：安裝光碟:SUPPORTTOOLSSUPTOOLS.MSI即包含了ntdsutil.exe轉(zhuǎn)移：transfer ,舊的DC如果還能正常工作或還能啟動的情況下我們的操作可以用轉(zhuǎn)移，轉(zhuǎn)

9、移可以在圖形化和命令行下完成，轉(zhuǎn)移后，舊的DC就可以重新安裝操作系統(tǒng)了。抓取：seize,抓取是指舊的DC已經(jīng)不能正常工作，或已經(jīng)不能啟動，那么帶給網(wǎng)絡管理員的麻煩是，域中的某些計算機已經(jīng)不能正常登陸到域中，此時需要使用強迫抓取，將五種操作主機都強制到可用的DC上使用命令完成操作：ntdsutil 進入ntds工具提示符roles 調(diào)整操作主機角色connections 進入連接模式connect to server "DC名" 連接到可用DC上quit 返回上層菜單transfer pdc （或其他） 進行轉(zhuǎn)移或抓取quit 退出額外域控制器接替域控制器的步驟：1 首先主

10、域控制器壞了，額外域控制器是不會自動接替工作的，導致的后果就是域用戶無法登陸（如果禁止緩存）。2 要使額外域控制器接替工作，只能把額外域控制器升級為主域控，操作的辦法是搶奪FSMO和全局編錄角色。3 搶奪角色需要安裝ntdsutil.exe工具。簡單描述如下：c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain （這里選額外域控制器）連接成功后，按“q”退出到上層

11、菜單這里有兩種方法分別是Seize和Transfer，如果原來的FSMO角色的擁有者處于離線狀態(tài)，那么就要用Seize，如果處于聯(lián)機狀態(tài)，那么就要用Transfer。在這里由于SERVER已經(jīng)離線了，所以要用“Seize”。fsmo maintenance:Seize domain naming master出現(xiàn)對話框，按“確定“fsmo maintenance:Seize infrastructure master出現(xiàn)對話框，按“確定“fsmo maintenance:Seize PDC出現(xiàn)對話框，按“確定“fsmo maintenance:Seize RID master出現(xiàn)對話框，按“確定“fsmo maintenance:Seize schema master出現(xiàn)對話框，按“確定“fsmo maintenance:quitntdsutil: quit4 打開Administrative Tools中的Active Directory Site