主域控制器損壞后，額外域控制器強占 FSMO 測試過程和結(jié)果..其實關(guān)于AD 災(zāi)難恢復(fù)，對于（多元化發(fā)展）技術(shù)員來說，太深入了解沒啥用處，最主要明白解決問題要用到那些知識就OK 了～～本貼說明：...

主域控制器損壞后，額外域控制器強占 FSMO 測試過程和結(jié)果..

其實關(guān)于AD 災(zāi)難恢復(fù)，對于（多元化發(fā)展）技術(shù)員來說，太深入了解沒啥用處，最主要明白解決問題要用到那些知識就OK 了～～

本貼說明：

.... 針對主域損壞，必須以最快速度解決；其它內(nèi)容不是本帖考慮重點，如：Exchange 、ISA 、已經(jīng)部署于主域上服務(wù)器軟件... 等！！

AD 、DC 說明：

. 域名：abc.com

.. 主域：DC-ISA-NLB-1

.. 副域：DC-ISA-NLB-2

. 系統(tǒng)：2003企業(yè)版

故障情況：（真實環(huán)境跑完全過程.. ）

.. 主域崩潰，副域無法正常工作，如：

.... 無法瀏覽abc.com 中 Active Directory用戶和計算機，提示無法連接錯誤；

....AD 管理項目均報錯，組策略..... 等；

.... 域用戶無法登錄；

解決方法：（以上是在副域上操作）

.. 任務(wù)要求：最快速度解決故障，令副域正常工作，使域用戶可以登錄；

.. 使用命令：ntdsutil.....AD 工具

.. 過程：（大概6-8分鐘）

登入 Windows 2000 Server 或 Windows Server 2003 成員電腦或樹系 (要抓取 FSMO 角色的. 地方) 中的網(wǎng)域控制站。建議您登入要指派 FSMO 角色的網(wǎng)域控制站。登入的使用者必須是要傳輸架構(gòu)主機，或網(wǎng)域命名主機角色的企業(yè)系統(tǒng)管理員群組成員；或正要傳輸 PDC 模擬器、RID 主機和基礎(chǔ)結(jié)構(gòu)主機等角色，其所在網(wǎng)域的網(wǎng)域系統(tǒng)管理員群組之成員。

按一下 [開始]，按一下 [執(zhí)行]，在 [開啟] 方塊中輸入 ntdsutil ，然後按一下 [確定]。

.

輸入 roles ，再按下 ENTER 。

.

輸入 connections ，再按下 ENTER 。

.

輸入 connect to server servername ，然後按 ENTER ，其中 servername 是您要指派 FSMO . 角色的網(wǎng)域控制站之名稱。

在 server connections 提示字元中輸入 q ，然後按下 ENTER 。

.

輸入 seize role ，其中 role 是您要抓取的角色。如需可以抓取的角色之清單，請在 fsmo main . tenance 提示字元中輸入 ? ，然後按下 ENTER ；或直接查看本文件開頭所列的角色清單。例如，如果要抓取 RID 主機角色，請輸入 seize rid master 。唯一的例外是 PDC 模擬器角色，該角色的語法是

seize pdc ，並非 seize pdc emulator 。

請在 fsmo maintenance 提示字元中輸入 q ，然後按下 ENTER ，獲得存取 ntdsutil 提示字元. 的權(quán)限。輸入 q ，然後按下 ENTER ，結(jié)束 Ntdsutil 公用程式。

C:Documents and Settings?ministrator.LH>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server dc-isa-nlb-2

綁定到 dc-isa-nlb-2 ...

用本登錄的用戶的憑證連接 dc-isa-nlb-2。

server connections: q

metadata cleanup: q

ntdsutil: roles

fsmo maintenance:Seize domain naming master ‘點OK’

fsmo maintenance:Seize infrastructure master ‘點OK’

fsmo maintenance:Seize PDC ‘點OK’

fsmo maintenance:Seize RID master ‘點OK’

fsmo maintenance:Seize schema master ‘點OK’

‘關(guān)閉CMD 窗口’...～～

以上操作，快得話（三分鐘）就完成了，然后回到系統(tǒng)內(nèi)，你會發(fā)現(xiàn)能打開AD 相關(guān)內(nèi)容了，那就進行余下結(jié)尾操作吧：

..1. 打開‘Active Directory用戶和計算機’-‘Domain Controllers’；

..... 選中‘DC-ISA －NLB-1’然后按刪除，對話框‘選擇第三項’；

..2. 打開‘管理站點和服務(wù)’-‘Site’-‘Default-First-Site-Name’-‘Servers’

.....1. 點擊‘DC-ISA －NLB-1’；

...........a. 選中分支‘NTDS Settings’；

...........b. 點擊‘刪除’，對話框‘選擇第三項’；

.....2. 點擊‘DC-ISA －NLB-1’然后按刪除，對話框選擇‘第三項’；

.....3. 點擊‘DC-ISA －NLB-2’

...........a. 選中分支‘NTDS Settings’

...........b. 點擊右鍵選擇‘屬性’，全局編錄前打上勾；

完工.... 以上搞點后，余下就可以慢慢修復(fù)你的主域了。

注釋：關(guān)于利用強占（Seize ）方式解決問題有什么后遺癥，我就沒去深入研究了（現(xiàn)在專研ISA 中），有興趣了解朋友可以去微軟查查資料...

題外話：

在企業(yè)中，出現(xiàn)以上狀況對管理員是非常頭痛事情，要在最段時間解決，必須依賴你的前瞻性，如：

...1. 盡可能避免在域DC 部署第三方服務(wù)器軟件；... 否則折磨死你了..

...2. 良好備份AD 數(shù)據(jù)習(xí)慣；... 在解決問題時可以節(jié)省很多時間..

...... 如：域DC 出現(xiàn)故障，不讓你降級，也不讓新DC 加入... 但新DC 又必須加入.. 夠郁悶事情.

.......... 沒時間限制，大家都可以慢慢研究，但實際情況呢.--今天剛好碰上，這文章也是解決完后所寫...

...3. 非要部署服務(wù)器軟件到DC 上，必須先在模擬機上跑一段時間；... 減少突發(fā)問題..