現在我們的環境有兩臺域控制器,當我們主域控因爲某種原因(硬件故障、機房進水、軟件故障等)造成宕機時,我們的額外域控應該如何進行工作呢?
在我們的活動目錄之七中,已經詳細介紹了fsmo角色,下面讓我們進行一下主域控宕機,額外域控應該如何工作的講解:(此例中以windows server 2003舉例)
一:實驗場景
使用設備說明:
1:使用三臺VMware虛擬機,AD域名:wjlove.com
2:AD主控制器主機名:e-copa.wjlove.com IP:192.168.2.1/24 DNS:127.0.0.1
3:AD額外域控制器:k1k.wjlove.com IP:192.168.2.2/24 DNS:192.168.2.1
AD主控制器新建用戶user1和uesr2,則AD備域則學習到域的變化
二:實驗
1:AD主域控制器當機,如何使用備份域控制器恢復域?
1) 首先,要把第一臺域控制器的所有信息從活動目錄裏面刪除
此處也可以用ADSI工具,刪除計算機
打開Win2003 AD 備域控制器—“Active Directory”—“wjlove.com”—“Domain Controllers”,刪除計算機E-COPA
打開Win2003 AD 備域控制器—“Active Directory站點和服務”—“Sites”— “Default-First-Site-Name” —“Servers” ,刪除計算機E-COPA(必須先刪除NTDS Settings)
在刪除NTDS Settings,會出現如下圖,選擇如圖所示:
![clip_p_w_picpath014[1]](https://s1.51cto.com/attachment/201111/26/2025333_1322273738BhBy.jpg "clip_p_w_picpath014[1]")
2) 把FSMO角色轉換過來。使用“Ntdsutil”轉換FSMO角色
· 我們先要連接到目標服務器上:
把FSMO 5個主機角色從E-copa.wjlove.com轉換到k1k..wjlove.com,
請注意:這裏有兩種方法分別是Seize和Transfer,如果原來的FSMO角色的擁有者處於離線狀態,那麼就要用Seize,如果處於聯機狀態,那麼就要用Transfer。在這裏由於主域E-copa已經離線了,所以要用“Seize”:
依次運行:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
運行完後,輸入quit退出
轉換全局編錄爲k1k.wjlove.com,如圖所示
查看額外BDC上,角色是否被搶佔過來,通過netdom query fsmo
由此可以看出,角色成功搶佔
3) 將額外域控DNS服務器輔助區域,提升爲主要區域,並清除DNS中過時的主DC信息:
此時經過角色搶佔,清除主DC信息,DNS區域提升,刪除DNS中無效的主DC信息,已經將額外BDC成功運行;
七:額外BDC已經正常工作了,此時我們的主DC下線之後,經過搶修,發現是主板損壞了,更換主板後已經恢復正常了,此時應該如何將原來的主dc加入現有域中呢?
經過查閱資料,按照下面方法比較好,也就是將修好的原主DC從新安裝win 2008 r2,從新加入域,做輔助域控,如果需要還原成主域控,將角色傳送會修好的DC即可,當我們搶奪角色後,客戶端有時候計算機有時候需要重新加入域
修理好主DC.test.com損壞的硬件之後,在DC-01.test.com服務器重新安裝Windows 2008 R2 Server,安裝好Windows 2008 R2 Server之後,再運行Dcpromo升成額外的域控制器;如果你需要使DC-01.test.com擔任五種FMSO角色,通過ntdsutil工具進行角色轉換,進行Transfer操作就行了(注意:不能用Seize)。並通過Active Directory Sites and Services設置DC-01.test.com爲GC,取消DC-02.test.com的GC功能。
建議domain naming master不要和RID master在一臺DC上,而domain naming master同時必須爲GC。