主域控制器損壞后，額外域控制器強(qiáng)占 FSMO 測(cè)試過程和結(jié)果.... 關(guān)于AD 災(zāi)難恢復(fù)，最終測(cè)試..關(guān)于AD 災(zāi)難恢復(fù)有很多非常好技術(shù)文章可以參考，在狗狗搜索NNN 編，但為何還是要寫這篇呢，‘聽不

主域控制器損壞后，額外域控制器強(qiáng)占 FSMO 測(cè)試過程和結(jié)果..

.. 關(guān)于AD 災(zāi)難恢復(fù)，最終測(cè)試..

關(guān)于AD 災(zāi)難恢復(fù)有很多非常好技術(shù)文章可以參考，在狗狗搜索NNN 編，但為何還是要寫這篇呢，‘聽不如看，看不如做，做不如寫’嘿嘿，反正寫寫沒多難，最緊要入腦袋??！

其實(shí)關(guān)于AD 災(zāi)難恢復(fù)，對(duì)于（多元化發(fā)展）技術(shù)員來說，太深入了解沒啥用處，最主要明白解決問題要用到那些知識(shí)就OK 了～～ 本貼說明：

.... 針對(duì)主域損壞，必須以最快速度解決；其它內(nèi)容不是本帖考慮重點(diǎn)，如：Exchange 、ISA 、已經(jīng)部署于主域上服務(wù)器軟件... 等?。?AD 、DC 說明：

. 域名：abc.com

.. 主域：DC-ISA-NLB-1

.. 副域：DC-ISA-NLB-2

. 系統(tǒng)：2003企業(yè)版

故障情況：（真實(shí)環(huán)境跑完全過程.. ）

.. 主域崩潰，副域無法正常工作，如：

.... 無法瀏覽abc.com 中 Active Directory用戶和計(jì)算機(jī)，提示無法連接錯(cuò)誤；

....AD 管理項(xiàng)目均報(bào)錯(cuò)，組策略..... 等；

.... 域用戶無法登錄；

解決方法：（以上是在副域上操作）

.. 任務(wù)要求：最快速度解決故障，令副域正常工作，使域用戶可以登錄；

.. 使用命令：ntdsutil.....AD 工具

.. 過程：（大概6-8分鐘）

C:Documents and Settings?ministrator.LH>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server dc-isa-nlb-2

綁定到 dc-isa-nlb-2 ...

用本登錄的用戶的憑證連接 dc-isa-nlb-2。

server connections: q

metadata cleanup: q

ntdsutil: roles

fsmo maintenance:Seize domain naming master ‘點(diǎn)OK’

fsmo maintenance:Seize infrastructure master ‘點(diǎn)OK’

fsmo maintenance:Seize PDC ‘點(diǎn)OK’

fsmo maintenance:Seize RID master ‘點(diǎn)O K’

fsmo maintenance:Seize schema master ‘點(diǎn)OK’

‘關(guān)閉CMD 窗口’...～～

以上操作，快得話（三分鐘）就完成了，然后回到系統(tǒng)內(nèi)，你會(huì)發(fā)現(xiàn)能打開AD 相關(guān)內(nèi)容了，那就進(jìn)行余下結(jié)尾操作吧：

..1. 打開‘Active Directory用戶和計(jì)算機(jī)’-‘Domain Controllers’；

..... 選中‘DC-ISA －NLB-1’然后按刪除，對(duì)話框‘選擇第三項(xiàng)’；

..2. 打開‘管理站點(diǎn)和服務(wù)’-‘Site’-‘Default-First-Site-Name’-‘Servers’

.....1. 點(diǎn)擊‘DC-ISA －NLB-1’；

...........a. 選中分支‘NTDS Settings’；

...........b. 點(diǎn)擊‘刪除’，對(duì)話框‘選擇第三項(xiàng)’；

.....2. 點(diǎn)擊‘DC-ISA －NLB-1’然后按刪除，對(duì)話框選擇‘第三項(xiàng)’；

.....3. 點(diǎn)擊‘DC-ISA －NLB-2’

...........a. 選中分支‘NTDS Settings’

...........b. 點(diǎn)擊右鍵選擇‘屬性’，全局編錄前打上勾；

完工.... 以上搞點(diǎn)后，余下就可以慢慢修復(fù)你的主域了。

1

注釋：關(guān)于利用強(qiáng)占（Seize ）方式解決問題有什么后遺癥，我就沒去深入研究了（現(xiàn)在專研ISA 中），有興趣了解朋友可以去微軟查查資料... 題外話：

在企業(yè)中，出現(xiàn)以上狀況對(duì)管理員是非常頭痛事情，要在最段時(shí)間解決，必須依賴你的前瞻性，如：

...1. 盡可能避免在域DC 部署第三方服務(wù)器軟件；... 否則折磨死你了..

...2. 良好備份AD 數(shù)據(jù)習(xí)慣；... 在解決問題時(shí)可以節(jié)省很多時(shí)間..

...... 如：域DC 出現(xiàn)故障，不讓你降級(jí)，也不讓新DC 加入... 但新DC 又必須加入.. 夠郁悶事情.

.......... 沒時(shí)間限制，大家都可以慢慢研究，但實(shí)際情況呢.--今天剛好碰上，這文章也是解決完后所寫...

...3. 非要部署服務(wù)器軟件到DC 上，必須先在模擬機(jī)上跑一段時(shí)間；... 減少突發(fā)問題..

----------------------------------------------------------

‘模擬測(cè)試一完成，但有疑問看本帖最后部分’..（感謝版主置頂）

以下是在Wmware 5.0環(huán)境下測(cè)試，但只限于DC1、DC2在線情況下，主域控制器損壞后進(jìn)行修復(fù).

請(qǐng)留意最后信息內(nèi)容，那位有經(jīng)驗(yàn)得，麻煩補(bǔ)補(bǔ)，省走些歪路～～謝謝！

模擬系統(tǒng)：2003企業(yè)版

模擬機(jī)器：2臺(tái)

模擬域名：abc.com

模擬主域控制器計(jì)算機(jī)名：DC2

模擬額外域控制器計(jì)算機(jī)名：DC1

模擬DNS 服務(wù)器：DC2

模擬故障情況：（測(cè)試一 前期部分）

1.DC2、DC1同時(shí)在線，DC2因特殊情況啟動(dòng)，但啟動(dòng)后故障無法登錄系統(tǒng)，藍(lán)屏嚴(yán)重崩潰.

測(cè)試解決方法：

1.DC1使用強(qiáng)占FSMO 方式，奪取五個(gè)權(quán)限

a.架構(gòu)主機(jī) Schema master

b.域命名主機(jī) Domain naming master

c.相對(duì)標(biāo)識(shí)號(hào)（RID ）主機(jī) RID master

d.主域控制器模擬器 PDCE

e.基礎(chǔ)結(jié)構(gòu)主機(jī) Infrastructure master

2. 將DC1設(shè)置為GC （全局編錄）

3. 在DC1安裝DNS 服務(wù)器

4. 使用微軟FSMO 腳本驗(yàn)證，以確定FSMO 是否正確

步驟：

1. 命令行：ntdsutil

..........ntdsutil: metadata cleanup

..........metadata cleanup: select operation target

..........select operation target: connections

..........server connections: connect to domain abc.com

.......... （此處有連接域名后會(huì)有憑證信息）

..........server connections:quit

..........select operation target: list sites

..........Found 1 site(s)

..........0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........select operation target: select site 0

..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........No current domain

..........No current server

..........No current Naming Context

..........select operation target: List domains in site

..........Found 1 domain(s)

2

..........0 - DC=abc,DC=com

..........Found 1 domain(s)

..........0 - DC=abc,DC=com

..........select operation target: select domain 0

..........Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........Domain - DC=abc,DC=com

..........No current server

..........No current Naming Context

..........select operation target: List servers for domain in site

..........Found 2 server(s)

..........0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=abc,DC=com

..........select operation target: select server ０

..........select operation target: quit

..........metadata cleanup:Remove selected server

.......... 注意：2003到此會(huì)提示（是否強(qiáng)占信息，全部安確定，但會(huì)提示錯(cuò)誤，不用理會(huì)）

2. 打開 AD站點(diǎn)和服務(wù) 手動(dòng)刪除 DC2殘留信息，并在DC1全局編錄屬性上打勾

3. 安裝DNS

4. 測(cè)試DNS

5. 重啟后，在DC1上運(yùn)行微軟 FSMO 腳本驗(yàn)證一下，如提示五個(gè)權(quán)限已經(jīng)為DC1代表已經(jīng)成功

注明：

1. 第三步信息因?yàn)槭蔷W(wǎng)上找得（模擬機(jī)太慢沒截圖），雖然經(jīng)過驗(yàn)證并修改，但還是有些不同，信息只提供參考...

2. 以上情況為DC1、DC2在線情況下，DC2（主域控制器）崩潰修復(fù)方案.

往下會(huì)測(cè)試：

1.DC2重裝后添加為額外域控制器，然后再提升為主域控制器.

2.DC1、DC2 啟動(dòng)過程，DC2崩潰特殊情況下修復(fù)測(cè)試. （已小測(cè)一下，有區(qū)別.. 在于connect to domain abc.com時(shí)候提示錯(cuò)誤.. ）... 原因估計(jì)是額外域控制器啟動(dòng)后，但因?yàn)橹饔蚩刂破鞅罎o法登錄，有某些信息沒傳遞到額外域控制器，導(dǎo)致連接失敗.. -----------------------------------------------------------------------------------------------------------------------

模擬故障情況：（測(cè)試一 后續(xù)部分）

2. 在解決模擬故障（測(cè)算一 前期部分）因DC2主域控制器損壞，DC1強(qiáng)占FSMO 測(cè)試，DC2重裝系統(tǒng)后恢復(fù)為主域控制器； 測(cè)試解決方法：（視實(shí)際需要，如后備服務(wù)器性能及穩(wěn)定性不及原服務(wù)器，建議恢復(fù)）

1.DC2重裝系統(tǒng)

2. 以額外域控制器身份加入原域

3. 通過在DC2使用ntdsutil 命令將FSMO 轉(zhuǎn)移到DC2

4. 在DC2安裝DNS 服務(wù)器

步驟：

1. 命令行：ntdsutil

..........ntdsutil: metadata cleanup

..........metadata cleanup: select operation target

..........select operation target: connections

..........server connections: connect to domain abc.com

.......... （此處有連接域名后會(huì)有憑證信息）

..........server connections:quit

..........metadata cleanup: quit

..........ntdsutil:roles

..........fsmo maintenace:transfer domain naming master

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer infrastructure master

3

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer PDC

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:transfer RID master

.......... 提示轉(zhuǎn)移角色按確定

..........fsmo maintenace:seize schema master

.......... 提示強(qiáng)占角色按確定

..........ntdsutil:quit

.......... 執(zhí)行FSMO.vbs 腳本檢測(cè)，提示五個(gè)權(quán)限已經(jīng)為DC2代表已經(jīng)成功

2. 在DC2上安裝DNS 服務(wù)器

3. 可以使用Windows2003額外工具檢測(cè)域數(shù)據(jù)庫及DNS 是否正確

？？？？？？？？？？？？？？？？？？？？？？？？？？？？

... 轉(zhuǎn)移...fsmo maintenace:transfer schema master..失敗

... 強(qiáng)占...fsmo maintenace:seize schema master.....成功

-------------------------------------------------------

是否操作有誤還是必須使用強(qiáng)占命令... 那位知道補(bǔ)補(bǔ)... 謝謝

？？？？？？？？？？？？？？？？？？？？？？？？？？？？

本文于2005-08-11 13:56:14.113被 9754201386 修改過。這是本帖的第6次修改。

本文于2005-10-25 22:51:52.091被 9754201386 修改過。這是本帖的第7次修改。

TO ：9754201386 ，辛苦啦！

1.DC2、DC1同時(shí)在線，DC2因特殊情況啟動(dòng)，但啟動(dòng)后故障無法登錄系統(tǒng)，藍(lán)屏嚴(yán)重崩潰.

崩潰了也沒進(jìn)系統(tǒng)。樓主這樣也是在線么？

2. 打開 AD站點(diǎn)和服務(wù) 手動(dòng)刪除 DC2殘留信息，并在DC1全局編錄屬性上打勾

因?yàn)槲覜]AD ，所以想問一下，手動(dòng)刪除的DC2殘留信息都是些什么東西？ 在你第一個(gè)測(cè)試完成后是不是意味著DC1成為了主域控制器？ 同時(shí)DC1里面的東西都跟DC2當(dāng)機(jī)后的信息一致？

3，ntdsutil 到底是用來檢測(cè)還是用來轉(zhuǎn)移FSMO ？文中好像兩個(gè)功能都說了，不過我理解是后者，對(duì)么？ 另FSMO.vbs 是怎么使用的？CMD 下運(yùn)行嗎？

4，完成了上面的兩個(gè)測(cè)試是不是意味著把崩潰的DC2恢復(fù)為原前的主域控制器？

本文于2005-08-12 08:40:45.804被 紫玄冰 修改過。這是本帖的第1次修改。

回復(fù)：

1.DC2、DC1同時(shí)在線：

....... 定義為：DC2、Dc1 已經(jīng)正常登錄系統(tǒng)，DC2啟動(dòng)后故障，但DC1還在線情況；

2. 打開 AD站點(diǎn)和服務(wù) 手動(dòng)刪除 DC2殘留信息：

....... 此步是在DC1上操作，刪除DC2殘留信息（信息內(nèi)容跟AD 有關(guān)，麻煩搜尋AD 相關(guān)內(nèi)容查看）；

....... 域服務(wù)器間AD 數(shù)據(jù)有自動(dòng)復(fù)制功能，信息會(huì)按默認(rèn)時(shí)間自動(dòng)同步；

....... 測(cè)試一前期部分，ABC.COM 只有DC1一臺(tái)服務(wù)器，并且是主域控制器；

....... 測(cè)試一前期部分，DC2已經(jīng)不存在了，DC1上信息為DC2當(dāng)機(jī)前是否已經(jīng)同步數(shù)據(jù)為準(zhǔn)；

3.ntdsutil

....... 建議上微軟查看，有詳細(xì)說明

....... 功能強(qiáng)大，可查看、刪除、轉(zhuǎn)移、強(qiáng)占...

.......FSMO.VBS 可以命令行運(yùn)行或直接雙擊運(yùn)行

4，完成了上面的兩個(gè)測(cè)試是不是意味著把崩潰的DC2恢復(fù)為原前的主域控制器？

....... 正確，恢復(fù)后DC2為主域控制器、DC1為額外控制器

測(cè)試二 已完成

模擬故障情況：修復(fù)已崩潰主域控制器，并使之返回域并充當(dāng)主域控制及使用崩潰前主域控制器備份

.............. 數(shù)據(jù)強(qiáng)制覆蓋其它DC 上；

AD 恢復(fù)模式：授權(quán)恢復(fù)、非授權(quán)恢復(fù)

4

AD 恢復(fù)模式區(qū)別：

......1. 授權(quán)恢復(fù)：當(dāng)其他的域控制器包含了無效的復(fù)制和數(shù)據(jù)時(shí)，可以采用授權(quán)恢復(fù)方式，這種情況 .................. 下，你可以手工指定你要恢復(fù)整個(gè)數(shù)據(jù)庫或某個(gè)分支，并指定本地的恢復(fù)操作是權(quán) .................. 威的。所謂的權(quán)威，就是當(dāng)發(fā)生目錄復(fù)制時(shí)，以本地?cái)?shù)據(jù)為準(zhǔn)。授權(quán)恢復(fù)要修改AD .................. 的升級(jí)序號(hào)，這樣它的序號(hào)就高于其他的DC 了，從而使本地的恢復(fù)數(shù)據(jù)能復(fù)制給其 .................. 他的DC ；

......2. 非授權(quán)恢復(fù)：大多數(shù)的恢復(fù)操作都是非授權(quán)的。當(dāng)你發(fā)現(xiàn)一臺(tái)DC 的數(shù)據(jù)有問題，而確信其他的 ....................DC 數(shù)據(jù)是正常的，就可以使用非授權(quán)恢復(fù)。恢復(fù)完成后，DC 會(huì)重新比較升級(jí)序號(hào) .................... 并參與正常的復(fù)制。也就是說，通過非授權(quán)恢復(fù)的數(shù)據(jù)可能在復(fù)制中被改寫；

AD 使用恢復(fù)模式注意（必須符合以下三點(diǎn)）：

...1. 服務(wù)器名應(yīng)和備份時(shí)一樣 ；

...2. 系統(tǒng)文件夾所在驅(qū)動(dòng)器應(yīng)與備份時(shí)相同 ；

...3. 目錄保存路徑應(yīng)和備份時(shí)相同；

模擬技術(shù)要求：使用AD 授權(quán)恢復(fù)；

模擬系統(tǒng)：2003企業(yè)版

模擬機(jī)器：2臺(tái)

模擬域名：abc.com

模擬主域控制器計(jì)算機(jī)名：DC1

模擬額外域控制器計(jì)算機(jī)名：DC2

模擬DNS 服務(wù)器：DC1、DC2

方案驗(yàn)證次序：

...1. 用‘測(cè)試一’方案修復(fù)故障主域控制器并恢復(fù)為域中主域控制器（過程跳過）；

...2. 主域控制器在目錄恢復(fù)模式下使用授權(quán)恢復(fù)崩潰前主域控制器備份數(shù)據(jù)；

...3. 驗(yàn)證崩潰前主域控制器備份數(shù)據(jù)是否已經(jīng)強(qiáng)制覆蓋到其它DC 上；

步驟：

...1.DC1啟動(dòng)后按F8，并選擇目錄還原模式，確認(rèn)登錄；

...2.Ntbackup 執(zhí)行備份的還原操作；

...3. 在完成非授權(quán)模式還原后提示需要重啟動(dòng)，選擇№，否則需重新執(zhí)行第一步操作；

...4. 命令行:ntdsutil

………………authoritative restore

………………restore database

………………yes

………………quit

...5. 待確認(rèn)多域中其它DC 數(shù)據(jù)已經(jīng)同步后再重啟主域控制器；

5