多域控制器环境下ActiveDirectory灾难恢复

《多域控制器环境下ActiveDirectory灾难恢复》由会员分享，可在线阅读，更多相关《多域控制器环境下ActiveDirectory灾难恢复（8页珍藏版）》请在装配图网上搜索。

1、多域控制器环境下Active Directory灾难恢复 n nActive Directory Active Directory 定义了五种操作主机角色（又称）：定义了五种操作主机角色（又称）：n n架构主机架构主机 schema master schema master、n n域命名主机域命名主机 domain naming master domain naming mastern n相对标识号相对标识号(RID)(RID)主机主机 RID master RID mastern n主域控制器模拟器主域控制器模拟器(PDCE)(PDCE)n n基础结构主机基础结构主机 infrastruct

2、ure master infrastructure mastern n而每种操作主机角色负担不同的工作，具有不同的功能：而每种操作主机角色负担不同的工作，具有不同的功能：n n架构主机架构主机n n具有架构主机角色的具有架构主机角色的 DC DC 是可以更新目录架构的唯一是可以更新目录架构的唯一 DC DC。这些架构更新会从架构主机复制到目录林中的所有。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。架构主机是基于目录林的，整个目录林中只有一个架构主机。n n域命名主机域命名主机 n n具有域命名主机角色的具有域

3、命名主机角色的 DC DC 是可以执行以下任务的唯一是可以执行以下任务的唯一 DC DC：n n向目录林中添加新域。向目录林中添加新域。n n从目录林中删除现有的域。从目录林中删除现有的域。n n添加或删除描述外部目录的交叉引用对象。添加或删除描述外部目录的交叉引用对象。n n相对标识号相对标识号(RID)(RID)主机主机n n此操作主机负责向其它此操作主机负责向其它 DC DC 分配分配 RID RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将机）时，需要将 RID RID 与域范围内的标

4、识符相结合，以创建唯一的安全标识符与域范围内的标识符相结合，以创建唯一的安全标识符(SID)(SID)。每一个每一个Windows 2000 DC Windows 2000 DC 都会收到用于创建对象的都会收到用于创建对象的 RID RID 池（默认为池（默认为 512 512）。）。RID RID 主机通过分配不同的池来确保这些主机通过分配不同的池来确保这些 ID ID 在每一个在每一个 DC DC 上都上都是唯一的。通过是唯一的。通过 RID RID 主机，还可以在同一目录林中的不同域之间移动所有对象。主机，还可以在同一目录林中的不同域之间移动所有对象。n n域命名主机是基于目录林的，整个

5、目录林中只有一个域命名主机。相对标识号（域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RIDRID）主机是基于域的，目录林）主机是基于域的，目录林中的每个域都有自己的相对标识号（中的每个域都有自己的相对标识号（RIDRID）主机）主机n nPDCE PDCE n n主域控制器模拟器提供以下主要功能：主域控制器模拟器提供以下主要功能：n n向后兼容低级客户端和服务器，允许向后兼容低级客户端和服务器，允许 Windows NT4.0 Windows NT4.0 备份域控制器备份域控制器(BDC)(BDC)加入到新的加入到新的 Windows 2000 Windows 200

6、0 环境。环境。本机本机 Windows 2000 Windows 2000 环境将密码更改转发到环境将密码更改转发到 PDCE PDCE。每当。每当 DC DC 验证密码失败后，它会与验证密码失败后，它会与 PDCE PDCE 取得联系，以查看取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC DC 中。中。n n时间同步时间同步 目录林中各个域的目录林中各个域的 PDCE PDCE 都会与目录林的根域中的都会与目录林的根域中的 PDCE PDCE 进行同步。进行同步。n nPDC

7、EPDCE是基于域的，目录林中的每个域都有自己的是基于域的，目录林中的每个域都有自己的PDCEPDCE。n n基础结构主机基础结构主机n n基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符象的全局唯一标识符(GUID)(GUID)、安全标识符、安全标识符(SID)(SID)和可分辨的名称和可分辨的名称(DN)(DN)。如果被引用的对象移动，。如果被引用的对象移动，则在域中担当结构主机角色的则在域中担当结构主机角色的 DC DC 会负责更新该域中跨域对象引用中的会

8、负责更新该域中跨域对象引用中的 SID SID 和和 DN DN。n n基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机n n默认，这五种存在于目录林根域的第一台默认，这五种存在于目录林根域的第一台DCDC（主域控制器）上，而子域中的相对标（主域控制器）上，而子域中的相对标识号识号(RID)(RID)主机、主机、PDCE PDCE、基础结构主机存在于子域中的第一台、基础结构主机存在于子域中的第一台DCDC。n n-n n二、环境分析二、环境分析n n公司公司TT（虚拟）有一台主域控制器，还有一台额外域控制器。现主域控制

9、器（）由于（虚拟）有一台主域控制器，还有一台额外域控制器。现主域控制器（）由于硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使让额外域控制器（）替代主域控制器，使Acitvie DirectoryAcitvie Directory继续正常运行，并在损坏的主域控制器继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。硬件修理好之后，如何使损坏的主域控制器恢复。n n如果你的第一台坏了，还有额外域控制器正常，需要在

10、一台额外域控制器上夺取这五种如果你的第一台坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种，并需要把额外域控制器设置为，并需要把额外域控制器设置为GCGC。n n-n n三、从三、从ADAD中清除主域控制器对象中清除主域控制器对象n n3.13.1在额外域控制器在额外域控制器(DC-)(DC-)上通过上通过ntdsutil.exentdsutil.exe工具把主域控制器工具把主域控制器(DC-(DC-)从中删除从中删除n nc:ntdsutilc:ntdsutiln nntdsutil:metadata cleanupntdsutil:metadata cleanupn nmet

11、adata cleanup:select operation targetmetadata cleanup:select operation targetn nselect operation target:connectionsselect operation target:connectionsn nserver connections:connect to domain server connections:connect to domain n nselect operation target:list sitesselect operation target:list sitesn

12、nFound 1 site(s)Found 1 site(s)n n0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nselect operation target:select site 0select operation target:select site 0n nSite-CN=Default-First-Site-Name,CN=Sites,CN=Conf

13、iguration,DC=test,DC=comSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nNo current domainNo current domainn nNo current serverNo current servern nNo current Naming ContextNo current Naming Contextn nselect operation target:List domains in siteselect operation target:List d

14、omains in siten nFound 1 domain(s)Found 1 domain(s)n n0-DC=test,DC=com0-DC=test,DC=comn nFound 1 domain(s)Found 1 domain(s)n n0-DC=test,DC=com0-DC=test,DC=comn nselect operation target:select domain 0select operation target:select domain 0n nSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

15、DC=test,DC=comSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nDomain-DC=test,DC=comDomain-DC=test,DC=comn nNo current serverNo current servern nNo current Naming ContextNo current Naming Contextn nselect operation target:List servers for domain in siteselect operation targ

16、et:List servers for domain in siten nFound 2 server(s)Found 2 server(s)n n0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ten nst,DC=comst,DC=comn n1-CN=DC-02,CN=Servers,CN=Default-First-Sit

17、e-1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=teName,CN=Sites,CN=Configuration,DC=ten nst,DC=comst,DC=comn nselect operation target:select server select operation target:select server n nselect operation target:quitselect operation target:quitn nmetadata cleanup:Rem

18、ove selected servermetadata cleanup:Remove selected servern n出现对话框，按出现对话框，按“确定确定“删除删除DC-01DC-01主控服务器。主控服务器。n nmetadata cleanup:quitmetadata cleanup:quitn nntdsutil:quitntdsutil:quitn n3.23.2使用使用ADSI EDITADSI EDIT工具删除工具删除Active Directory users and computersActive Directory users and computers中的中的Doma

19、in controllersDomain controllers中中DC-01DC-01服务器对象，服务器对象，n nADSI EDITADSI EDIT是是Windows 2000 support toolsWindows 2000 support tools中的工具，你需要安装中的工具，你需要安装Windows 2000 support toolWindows 2000 support tool，安装程，安装程序在序在windows2000windows2000光盘中的光盘中的supporttoolssupporttools目录下。打开目录下。打开ADSI EDITADSI EDIT工具，

20、展开工具，展开Domain NCDC-Domain NCDC-，展开，展开OU=Domain controllersOU=Domain controllers，右击，右击CN=DC-01CN=DC-01，然后选择，然后选择DeleteDelete，把，把DC-01DC-01服务器对象删除，如图服务器对象删除，如图1 1：n n3.3 3.3 在在Active Directory Sites and ServiceActive Directory Sites and Service中删除中删除DC-01DC-01服务器对象服务器对象n n打开打开Administrative toolsAdmin

21、istrative tools中的中的Active Directory Sites and ServiceActive Directory Sites and Service，展开，展开SitesSites，展开，展开Default-First-Default-First-Site-NameSite-Name，展开，展开ServersServers，右击，右击DC-01DC-01，选择，选择DeleteDelete，单击，单击YesYes按钮，如图按钮，如图2 2：n n-n n四、在额外域控制器上通过四、在额外域控制器上通过ntdsutil.exentdsutil.exe工具执行夺取五种操作

22、工具执行夺取五种操作n nc:ntdsutilc:ntdsutiln nntdsutil:rolesntdsutil:rolesn nfsmo maintenance:Select operation targetfsmo maintenance:Select operation targetn nselect operation target:connectionsselect operation target:connectionsn nserver connections:connect to domain server connections:connect to domain n n

23、select operation target:list sitesselect operation target:list sitesn nFound 1 site(s)Found 1 site(s)n n0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nselect operation target:select site 0select operation t

24、arget:select site 0n nSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nNo current domainNo current domainn nNo current serverNo current servern nNo current Naming ContextNo current Naming Contextn nsele

25、ct operation target:List domains in siteselect operation target:List domains in siten nFound 1 domain(s)Found 1 domain(s)nn0-DC=test,DC=com0-DC=test,DC=comn nselect operation target:select domain 0select operation target:select domain 0n nSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

26、test,DC=comSite-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comn nDomain-DC=test,DC=comDomain-DC=test,DC=comn nNo current serverNo current servern nNo current Naming ContextNo current Naming Contextn nselect operation target:List servers for domain in siteselect operation target:

27、List servers for domain in siten nFound 1 server(s)Found 1 server(s)n n0-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te0-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ten nst,DC=comst,DC=comn nselect operation target:select server select

28、operation target:select server n nselect operation target:quitselect operation target:quitn nfsmo maintenance:Seize domain naming masterfsmo maintenance:Seize domain naming mastern n出现对话框，按出现对话框，按“确定确定“n nfsmo maintenance:Seize infrastructure masterfsmo maintenance:Seize infrastructure mastern n出现对话

29、框，按出现对话框，按“确定确定“n nfsmo maintenance:Seize PDCfsmo maintenance:Seize PDCn n出现对话框，按出现对话框，按“确定确定“n nfsmo maintenance:Seize RID masterfsmo maintenance:Seize RID mastern n出现对话框，按出现对话框，按“确定确定“n nfsmo maintenance:Seize schema masterfsmo maintenance:Seize schema mastern n出现对话框，按出现对话框，按“确定确定“n nfsmo maintena

30、nce:quitfsmo maintenance:quitn nntdsutil:quitntdsutil:quitn n（注：（注：SeizeSeize是在原是在原FSMOFSMO不在线时进行操作，如果原不在线时进行操作，如果原FSMOFSMO在线，需要使用在线，需要使用TransferTransfer操作）操作）n n-n n五、设置额外控制五、设置额外控制(DC-)(DC-)为（全局编录）为（全局编录）n n打开打开Administrative ToolsAdministrative Tools中的中的Active Directory Sites and Active Directory

31、 Sites and ServicesServices，展开，展开SitesSites，展开，展开Default-First-Site-NameDefault-First-Site-Name，展开，展开ServersServers，展开，展开DC-(DC-(额外控制器额外控制器)，右击，右击NTDS NTDS SettingsSettings选择选择PropertiesProperties，然后在，然后在Global CatalogGlobal Catalog前面打勾，单击前面打勾，单击 确定确定 按钮，然后重新启动服务器。按钮，然后重新启动服务器。n n-n n六、重新安装并恢复损坏主域控制器六、重新安装并恢复损坏主域控制器n n修理好损坏的硬件之后，在服务器重新安装修理好损坏的硬件之后，在服务器重新安装Windows 2000 Windows 2000 ServerServer，安装好，安装好Windows 2000 ServerWindows 2000 Server之后，再运行之后，再运行DcpromoDcpromo升升成额外的域控制器；如果你需要使成额外的域控制器；如果你需要使DC-01.DC-01.