主域故障無(wú)法啟動(dòng)

1、主域故障無(wú)法啟動(dòng)，額外域提升Active Directory災(zāi)難恢復(fù)本文講述了在多域控制器環(huán)境下，主域控制器由于硬件故障突然損壞，而事先又沒(méi)有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運(yùn)行.( , ( P2 u5 Y' q! o% 9 v" u2 目錄) m: t' 7 ?. N9 R: G, J4 fActive Directory操作主機(jī)角色概述( z! E( e$ n  % h" R* H環(huán)境分析/ U. m: 2 a1 I) O9 A7 P, L從AD中清除主域控制器DC- 對(duì)象7 m

2、0; n7 w$ e& V3 A7 Y. t在額外域控制器上通過(guò)ntdsutil.exe工具執(zhí)行奪取五種操作0 Q8 X/ s) c0 w: d! q設(shè)置額外域控制器為（全局編錄）* q0 d) m& z7 U& C$ q6 g) D; k! o4 l一、環(huán)境分析- h+ " : k# N. B0 2 |& 公司T（虛擬）有一臺(tái)主域控制器T，還有一臺(tái)額外域控制器E?，F(xiàn)主域控制器（T）由于硬件故障突然損壞，事先又沒(méi)有T的系統(tǒng)狀態(tài)備份，沒(méi)辦法通過(guò)備份修復(fù)主域控制器（T），我們?cè)趺醋岊~外域控制器（E）替代主域控制器，使Acitvie Directo

3、ry繼續(xù)正常運(yùn)行.3 X$ r% S5 E' f2 v8 l. t如果你的第一臺(tái)壞了，還有額外域控制器正常，需要在一臺(tái)額外域控制器上奪取這五種，并需要把額外域控制器設(shè)置為GC 2007-11-26 08:51 2007-11-26 08:51 操作步驟:" x5 d  P  e; Q2 v2 Q1. 從AD中清除主域控制器T對(duì)象; C- o$ e! s, N" " U0 % w在額外域控制器(E)上通過(guò)ntdsutil.exe工具把主域控制器(T)從中刪除；. v; o8 Z  J& g:

4、 n% 2 a% N- 0 d3 M, f- a9 p: F出現(xiàn)對(duì)話框以及FSMO角色轉(zhuǎn)換，點(diǎn)確定% 1 r, q& x, A' D8 N# u' C- d0 O: V! T/ 2 f: L+ Z: I# K2007-11-26 08:52 0005_cmd.JPG(55.19 KB)2007-11-26 08:52 0008_cmd.JPG(29.22 KB)2007-11-26 08:53 0009_cmd.JPG(29.65 KB)2007-11-26 08:53 2. 使用ADSI EDIT工具刪除Active Directory users and compu

5、ters中的Domain controllers中T1服務(wù)器對(duì)象，ADSI EDIT是Windows 2003 support tools中的工具，你需要安裝Windows 2003 support tool，安裝程序在windows 2003光盤中的supporttools目錄下。打開(kāi)ADSI EDIT工具，展開(kāi)Domain NCE，展開(kāi)OU=Domain controllers，右擊CN=DC-01，然后選擇Delete，把T1服務(wù)器對(duì)象刪除，如圖：$ A: Q, c6 R) p! a4 L8 / i3.3 在Active Directory Sites and Service中刪除T1服

6、務(wù)器對(duì)象,打開(kāi)Administrative tools中的Active Directory Sites and Service，展開(kāi)Sites，展開(kāi)Default-First-Site-Name，展開(kāi)Servers，右擊T1，選擇Delete，單擊Yes按鈕，如圖： 附件 - 如何獲取無(wú)憂幣 - 下載扣無(wú)憂幣規(guī)則Adsi_Edit.JPG(38.24 KB)2007-11-26 08:54 AD_01.JPG(32.24 KB)2007-11-26 08:54 3. 設(shè)置額外控制(E)為（全局編錄）$ % Y; l" h& s. g打開(kāi)Administra

7、tive Tools中的Active Directory Sites and Services，展開(kāi)Sites，展開(kāi)Default-First-Site-Name，展開(kāi)Servers，展開(kāi)E(額外控制器)，右擊NTDS Settings選擇Properties，然后在"Global Catalog"前面打勾，單擊"確定"按鈕，然后重新啟動(dòng)服務(wù)器。 2007-11-26 08:55 后續(xù)部分換成功轉(zhuǎn)換之后抓圖,有不好的地方，請(qǐng)大家指教 2007-11-26 08:56 0013_Pc.JPG(68.82 KB)2007-11-26 08:56 記得一定要先

8、安裝光盤中TOOLS里面的SUPTOOLS.MSI,在運(yùn)行SUPPORT.CAB解壓里面的Adsiedit.msc6 M" u+ ?/ r$ t否則會(huì)出現(xiàn)以下錯(cuò)誤，提示MMC無(wú)法創(chuàng)建管理單元 2007-11-26 08:57 一個(gè)域中可以安裝多個(gè)域控制器，即額外域控制器。 即使在一個(gè)域控制器停止工作的情況下，也能保證 Active Directory 的有效性。主域控制器無(wú)法啟動(dòng)時(shí)，我們可以使用的方法是：安裝光碟:SUPPORTTOOLSSUPTOOLS.MSI即包含了ntdsutil.exe轉(zhuǎn)移：transfer ,舊的DC如果還能正常工作或還能啟動(dòng)的情況下我們的操作可以用轉(zhuǎn)移，轉(zhuǎn)

9、移可以在圖形化和命令行下完成，轉(zhuǎn)移后，舊的DC就可以重新安裝操作系統(tǒng)了。抓?。簊eize,抓取是指舊的DC已經(jīng)不能正常工作，或已經(jīng)不能啟動(dòng)，那么帶給網(wǎng)絡(luò)管理員的麻煩是，域中的某些計(jì)算機(jī)已經(jīng)不能正常登陸到域中，此時(shí)需要使用強(qiáng)迫抓取，將五種操作主機(jī)都強(qiáng)制到可用的DC上使用命令完成操作：ntdsutil 進(jìn)入ntds工具提示符roles 調(diào)整操作主機(jī)角色connections 進(jìn)入連接模式connect to server "DC名" 連接到可用DC上quit 返回上層菜單transfer pdc （或其他） 進(jìn)行轉(zhuǎn)移或抓取quit 退出額外域控制器接替域控制器的步驟：1 首先主

10、域控制器壞了，額外域控制器是不會(huì)自動(dòng)接替工作的，導(dǎo)致的后果就是域用戶無(wú)法登陸（如果禁止緩存）。2 要使額外域控制器接替工作，只能把額外域控制器升級(jí)為主域控，操作的辦法是搶奪FSMO和全局編錄角色。3 搶奪角色需要安裝ntdsutil.exe工具。簡(jiǎn)單描述如下：c:>ntdsutilntdsutil: rolesfsmo maintenance: Select operation targetselect operation target: connectionsserver connections: connect to domain （這里選額外域控制器）連接成功后，按“q”退出到上層

11、菜單這里有兩種方法分別是Seize和Transfer，如果原來(lái)的FSMO角色的擁有者處于離線狀態(tài)，那么就要用Seize，如果處于聯(lián)機(jī)狀態(tài)，那么就要用Transfer。在這里由于SERVER已經(jīng)離線了，所以要用“Seize”。fsmo maintenance:Seize domain naming master出現(xiàn)對(duì)話框，按“確定“fsmo maintenance:Seize infrastructure master出現(xiàn)對(duì)話框，按“確定“fsmo maintenance:Seize PDC出現(xiàn)對(duì)話框，按“確定“fsmo maintenance:Seize RID master出現(xiàn)對(duì)話框，按“確定“fsmo maintenance:Seize schema master出現(xiàn)對(duì)話框，按“確定“fsmo maintenance:quitntdsutil: quit4 打開(kāi)Administrative Tools中的Active Directory Site