徹底清除備份域服務(wù)器數(shù)據(jù)元的方法如果備份域服務(wù)器損壞了，不能恢復(fù)正常，而且不能使用dcpromo 刪除，這時(shí)主域服務(wù)器支撐著整個(gè)域基本上能正常工作，但是不能添加備份域服務(wù)器了。要添加備份域服務(wù)器，必須

徹底清除備份域服務(wù)器數(shù)據(jù)元的方法

如果備份域服務(wù)器損壞了，不能恢復(fù)正常，而且不能使用dcpromo 刪除，這時(shí)主域服務(wù)器支撐著整個(gè)域基本上能正常工作，但是不能添加備份域服務(wù)器了。要添加備份域服務(wù)器，必須把域中的“備份域服務(wù)器的元數(shù)據(jù)”刪除掉才能繼續(xù)。徹底清除備份域數(shù)據(jù)元的方法：

1. 在主域控制器上運(yùn)行ntdsutil

C:/>ntdsutil （該工具在2003系統(tǒng)盤(pán)中Support/Tools/SupTools.msizhong，假設(shè)拷貝到C 盤(pán)的根目錄中，紅色字為輸入的命令）

ntdsutil: metadata cleanup

metadata cleanup: contections

server connections: connect to domain 域名

server connections: quit

metadata cleanup: select operation target

select operation target: list domains（列出您所有的域）

select operation target: select domain 0 （選擇您需要?jiǎng)h除域控制器所在的domain ） select operation target: list sites（列出您需要域中所在的site ）

select operation target: select site 0（選擇您需要?jiǎng)h除域控制器所在的site ） select operation target: list servers in site（列出該site 中所存在的服務(wù)器） select operation target: select server 2（選擇您需要?jiǎng)h除域控制器）

select operation target: quit

metadata cleanup: remove selected server

metadata cleanup: quit

2、打開(kāi)主域服務(wù)器的DNS ，刪除備份域服務(wù)器的所有信息

3、打開(kāi)主域服務(wù)器的“AD目錄與計(jì)算機(jī)”刪除備份域服務(wù)器的所有信息

/Domain Controllers

/System MicrosoftDNS/szwj(域名)/

......

等等目錄下的備份域服務(wù)器的所有信息

4、打開(kāi)主域服務(wù)器的“AD站點(diǎn)與服務(wù)”刪除無(wú)用的服務(wù)器

一、Active Directory操作主機(jī)角色概述

Active Directory 定義了五種操作主機(jī)角色（又稱ＦＳＭＯ）：

架構(gòu)主機(jī) schema master、

域命名主機(jī) domain naming master

相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) RID master

主域控制器模擬器 (PDCE)

基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master

而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：

架構(gòu)主機(jī)

具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC 。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)架構(gòu)主機(jī)。

域命名主機(jī)

具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC ：

向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對(duì)象。

相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī)

此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體（例如用戶、

組或計(jì)算機(jī)）時(shí)，需要將 RID 與域范圍內(nèi)的標(biāo)識(shí)符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識(shí)符 (SID)。 每一個(gè)

Windows 2000 DC 都會(huì)收到用于創(chuàng)建對(duì)象的 RID 池（默認(rèn)為 512）。RID 主機(jī)通過(guò)分配不同的池來(lái)確保這

些 ID 在每一個(gè) DC 上都是唯一的。通過(guò) RID 主機(jī)，還可以在同一目錄林中的不同域之間移動(dòng)所有對(duì)象。

域命名主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對(duì)標(biāo)識(shí)號(hào)（RID ）主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的相對(duì)標(biāo)識(shí)號(hào)（RID ）主機(jī)

PDCE

主域控制器模擬器提供以下主要功能：

向后兼容低級(jí)客戶端和服務(wù)器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE 。每當(dāng) DC 驗(yàn)證密碼失敗后，它會(huì)與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗(yàn)證，也許其原因在于密碼更改還沒(méi)有被復(fù)制到驗(yàn)證 DC 中。

時(shí)間同步 — 目錄林中各個(gè)域的 PDCE 都會(huì)與目錄林的根域中的 PDCE 進(jìn)行同步。 PDCE 是基于域的，目錄林中的每個(gè)域都有自己的PDCE 。

基礎(chǔ)結(jié)構(gòu)主機(jī)

基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對(duì)象的一致性。當(dāng)引用另一個(gè)域中的對(duì)象時(shí)，此引用包含該對(duì)象的

全局唯一標(biāo)識(shí)符 (GUID)、安全標(biāo)識(shí)符 (SID) 和可分辨的名稱 (DN)。如果被引用的對(duì)象移動(dòng)，則在域中擔(dān)

當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN 。

基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)

默認(rèn)，這五種ＦＭＳＯ存在于目錄林根域的第一臺(tái)DC （主域控制器）上，而子域中的相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺(tái)DC 。

--------------------------------------------------------------------------------

二、環(huán)境分析

公司Test.com （虛擬）有一臺(tái)主域控制器DC-01.test.com ，還有一臺(tái)額外域控制器

DC-02.test.com 。現(xiàn)主域控制器（DC-01.test.com ）由于硬件故障突然損壞，事先又沒(méi)有DC-01.test.com 的系統(tǒng)狀態(tài)備份，沒(méi)辦法通過(guò)備份修復(fù)主域控制器（DC-01.test.com ），我們?cè)趺醋岊~外域控制器（DC-02.test.com ）替代主域控制器，使Acitvie Directory繼續(xù)正常運(yùn)行，并在損壞的主域控制器硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

如果你的第一臺(tái)ＤＣ壞了，還有額外域控制器正常，需要在一臺(tái)額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設(shè)置為GC 。

--------------------------------------------------------------------------------

三、從AD 中清除主域控制器DC-01.test.com 對(duì)象

3.1在額外域控制器(DC-02.test.com)上通過(guò)ntdsutil.exe 工具把主域控制器

(DC-01.test.com)從ＡＤ中刪除；（棕色字體為輸入的命令）

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server 0

select operation target: quit

metadata cleanup:Remove selected server

出現(xiàn)對(duì)話框，按“確定“刪除DC-01主控服務(wù)器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers 中DC-01服務(wù)器對(duì)象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安裝Windows 2000 support tool ，安裝程序在windows 2000光盤(pán)中的support/tools目錄下。打開(kāi)ADSI EDIT工具，展開(kāi)Domain NC[DC-02.test.com]，展開(kāi)OU=Domain controllers，右擊CN=DC-01，然后選擇Delete ，把DC-01服務(wù)器對(duì)象刪除，

3.3 在Active Directory Sites and Service中刪除DC-01服務(wù)器對(duì)象

打開(kāi)Administrative tools中的Active Directory Sites and Service，展開(kāi)Sites ，展開(kāi)Default-First-Site-Name ，展開(kāi)Servers ，右擊DC-01，選擇Delete ，單擊Yes 按鈕，

--------------------------------------------------------------------------------

四、在額外域控制器上通過(guò)ntdsutil.exe 工具執(zhí)行奪取五種ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain test.com

server connections: quit

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 1 server(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server 0

select operation target: quit

fsmo maintenance:Seize domain naming master

出現(xiàn)對(duì)話框，按“確定“

fsmo maintenance:Seize infrastructure master

出現(xiàn)對(duì)話框，按“確定“

fsmo maintenance:Seize PDC

出現(xiàn)對(duì)話框，按“確定“

fsmo maintenance:Seize RID master

出現(xiàn)對(duì)話框，按“確定“

fsmo maintenance:Seize schema master

出現(xiàn)對(duì)話框，按“確定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize 是在原FSMO 不在線時(shí)進(jìn)行操作，如果原FSMO 在線，需要使用Transfer 操作）

--------------------------------------------------------------------------------

五、設(shè)置額外控制(DC-02.test.com)為ＧＣ（全局編錄）

打開(kāi)Administrative Tools中的Active Directory Sites and Services，展開(kāi)Sites ，展開(kāi)Default-First-Site-Name ，展開(kāi)Servers ，展開(kāi)DC-02.test.com(額外控制器) ，右擊NTDS Settings 選擇Properties ，然后在"Global Catalog"前面打勾，單擊" 確定" 按鈕，然后重新啟動(dòng)服務(wù)器。

--------------------------------------------------------------------------------

六、重新安裝并恢復(fù)損壞主域控制器

修理好DC-01.test.com 損壞的硬件之后，在DC-01.test.com 服務(wù)器重新安裝Windows 2000 Server ，安裝好Windows 2000 Server之后，再運(yùn)行Dcpromo 升成額外的域控制器；如果你需要使DC-01.test.com 擔(dān)任五種FMSO 角色，通過(guò)ntdsutil 工具進(jìn)行角色轉(zhuǎn)換，進(jìn)行Transfer 操作就行了（注意：不能用Seize ）。并通過(guò)Active Directory Sites and Services設(shè)置DC-01.test.com 為GC ，取消DC-02.test.com 的GC 功能。

建議domain naming master不要和RID master在一臺(tái)DC 上，而domain naming master同時(shí)必須為GC 。

--------------------------------------------------------------------------------

附:用于檢測(cè)AD 中五種操作主機(jī)角色的腳本

給大家一個(gè)腳本, 用于檢測(cè)AD 中五種FSMO 角色, 把下面的代碼, 保存為FSMO.VBS, 然后執(zhí)行它.

Set objRootDSE = GetObject("LDAP://rootDSE")

Dim text

'' Schema Master

Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext")) strSchemaMaster = objSchema.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strSchemaMaster)

Set objComputer = GetObject(objNtds.Parent)

text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

'' Domain Naming Master

Set objPartitions = GetObject("LDAP://CN=Partitions," & _

objRootDSE.Get("configurationNamingContext"))

strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf Set objNtds = Nothing

Set objComputer = Nothing

'' PDC Emulator

Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext")) strPdcEmulator = objDomain.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strPdcEmulator)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain''s PDC Emulator FSMO: " & objComputer.Name & vbCrLf Set objNtds = Nothing

Set objComputer = Nothing

'' RID Master

Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _ objRootDSE.Get("defaultNamingContext"))

strRidMaster = objRidManager.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strRidMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain''s RID Master FSMO: " & objComputer.Name & vbCrLf

Set objNtds = Nothing

Set objComputer = Nothing

'' Infrastructure Master

Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _

objRootDSE.Get("defaultNamingContext"))

strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")

Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)

Set objComputer = GetObject(objNtds.Parent)

text=text&"Domain''s Infrastructure Master FSMO: " & objComputer.Name & vbCrLf text=text & vbCrLf &" Design by coolnetboy(coolnetboy@hotmail.com)"

WScript.Echo text