實驗使用Microsoft ISA2004實驗室的Microsoft Virtual PC 2007虛擬機,其中的3套Virtual PC:Florence、Firenze和Berlin來模擬出此次災難恢復的實驗環境。
思路:
1. 由於DNS上存有域控制器的主機名稱,IP地址及所扮演的角色等數據,所以在轉移操作主機前,要重建DNS,添加主機記錄,把剩餘兩臺域控制器的NETLOGON.DNS文件內的DNS備份複製到新建的DNS文件中(要先停止DNS,在保存修改的內容)。
1. 強行佔用Florence的操作主機角色,使用NTDSUTIL命令。
2. 在AD站點和服務工具中,設置全局編錄服務器。
3. 在AD用戶和計算機中刪除Florence對象,在AD站點和服務工具中清除FLORENCE的鏈接
4. 在AD站點和服務工具檢查複製拓撲,確保firenze和berlin可以正常的相互複製
實施過程:
1. 重建DNS
因原DNS服務器已丟失,所以可以在FIRENZE和BERLIN中任選一臺DC作爲DNS服務器,這裏我選用FIRENZE作爲DNS服務器。
⑴在FIRENZE中放入與其系統版本相同的系統光盤,這裏我的FIRENZE操作系統版本號爲沒有打過SERVER PARK的Windows Server 2003 Enterprise Edition
⑵在“控制面板”中選擇“添加刪除程序”—“添加Windows組件”
在彈出的WINDOWS組件嚮導中選擇“網絡服務”,在“網絡服務”中選擇“域名系統DNS”,點確定。
之後點擊“下一步”即可安裝。
如中途彈出需要文件的對話框,可把路徑指向光驅所在盤符的I386文件夾即可正常複製文件了,這裏我的光驅爲D:
,所以我指向“D:\i386”文件夾。點擊確定後繼續。
當彈出完成“Windows 組建嚮導”對話框時,即完成了DNS的安裝
⑶點擊“開始”—“程序”—“管理工具”—“DNS”,打開DNS服務管理器。
把丟失的itet.com域重新添加到新建的DNS中,右擊“正向查找區域”—“新建區域”
彈出DNS新建區域嚮導,點擊“下一步”出現區域類型選擇,這裏我們選“主要區域”,並把“在Active Directory中存儲區域”的單選勾去掉,點擊下一步。
區域名稱輸入“itet.com”,點擊下一步
區域文件默認即可,點擊下一步。
在動態更新選項中,需要選擇“允許非安全和安全的動態更新”選項,點擊下一步,點擊完成就成功建立了ITET.COM域
⑷在itet.com中添加berlin主機IP。右擊“itet.com”—“新建主機”
添加berlin的主機IP及主機名,即可把berlin的主機記錄添加到DNS中。
⑸複製firenze和berlin的netlogon.dns到新建的DNS文件中,手工修復SRV記錄。
在firenze主機中的“我的電腦”地址欄輸入“C:\WINDOWS\system32\config”,回車即可進入DNS備份目錄
找到netlogon.dns文件,使用記事本打開文件
全選文件內的記錄,右擊複製
繼續在“我的電腦”地址欄內輸入:“C:\WINDOWS\system32\dns”,回車進入目錄
在目錄內找到DNS記錄文件:“itet.com.dns”,使用記事本打開,在記錄最下面粘貼netlogon.dns內的記錄
在berlin主機裏找到netlogon.dns文件,複製內容到“itet.com.dns”中,不要保存文件,要先停止DNS服務。
打開“開始”—“運行”—“services.msc”,回車打開服務管理器。
找到“DNS Server”服務,點擊“停止”,停止DNS服務
然後在保存剛修改過的“itet.com.dns”文件,回到服務管理器,重新啓動DNS服務。
此時,刷新DNS服務管理會自動刷新出剛添加的SRV記錄
到此,firenze和berlin除GC記錄的外的所有記錄均已恢復。
2. 佔用操作主機角色
因爲具有操作主機角色的域控制器已經失效,所以其他域控制器不能執行傳送操作主機角色的操作,故只能使用佔用操作主機角色的方法,將操作主機的角色強迫傳送到另外一臺域控制器。同時需要具有執行佔用操作的相關權限的組或用戶,表1-1。
|
角色 |
有權限的組 |
|
架構主機 |
Schema Admins |
|
域命名主機 |
Enterprise Admins |
|
RID主機 |
Domain Admins |
|
PDC模擬主機 |
Domain Admins |
|
基礎結構主機 |
Domain Admins |
表 1-1
Administrator就具有如上權限,所以以下實驗都要用這個用戶來操作。
FIRENZE當前用戶爲Administrator,爲域管理員
使用NTDSUTIL命令來佔用操作主機,步驟如下:
⑴點擊“開始”—“運行”—輸入“CMD”
⑵在提示符下,運行以下命令:NTDSUTIL,回車
說明:可輸入“?”來查詢命令的用法,例如下圖。
⑶在“ntdsutil:”提示符下,輸入Roles,回車
⑷在“fsmo maintenance:”提示符下,輸入connections ,回車
⑸在“server connections:”提示符下,輸入 connect to server Firenze.itet.com ,連接到欲扮演操作主機的域控制器
⑹在“server connections:”提示符下,輸入:quit ,返回上級
菜單
⑺在“fsmo maintenance:”提示符下,輸入:seize schema master ,回車,出現如下對話框時單擊“是”
⑻從下圖得知已經成功佔用“架構主機”,由firenze.itet.com來扮演
⑼繼續執行 以下4個命令來佔用其他4個操作主機角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每個命令執行完畢,都會出現確認對話框及已成功佔有角色的提示,如下圖:
至此,5個操作主機角色已經從Florence奪取過來,鍵入quit退出NTDSUTIL。
3 建立全局編錄服務器
依然在firenze這臺域控制器上進行操作。
操作:“開始”—“管理工具”—“Active Directory 站點和服務”,展開firenze—右擊“NTDS Settings”—“屬性”—勾選“全局編錄”。
此時,只要重新啓動firenze這臺域控制器,DNS就會自動創建GC記錄,這時DNS就有了完整的SRV記錄。
4 在域內清除Florence對象
Florence原來是域控制器,所以要在AD用戶和計算機中刪除域控制器組內的Florence。
操作:“開始”—“程序”—“管理工具”—“Active Directory工具和計算機”—打開“itet.com”目錄—選中“Domain Controllers”—右擊“Florence”點刪除
在彈出的確認對話框中點擊“確定”,會彈出一個刪除域控制器原因描述的對話框,這裏我們選擇“這臺域控制器永遠爲脫機並且不能在用Active Directory安裝嚮導將其降域”,然後點擊刪除即可在AD用戶和計算機去除Florence對象。
僅這樣刪除還是不能夠完全刪除Florence對象,還需在“Active Directory站點和服務”中刪除連接。
操作:“開始”—“程序”—“管理工具”—“Active Directory站點和服務”—點開“sites”目錄—“Default –first-site-name”—點開“Servers”—“Florence”—右擊“NTDS settings”,選擇刪除
會彈出確認對話框,點“確定”,依然會彈出一個刪除域控制器原因描述的對話框,這裏我們選擇“這臺域控制器永遠爲脫機並且不能在用Active Directory安裝嚮導將其降域”,點擊刪除,就可以刪除已經建立好的與其他倆個域控制器間的連接。
這時,右擊“servers”中的Florence,就可以徹底刪除Florence對象了。
這時其他倆個域控制器內仍有與Florence的鏈接,只需等待KCC重新複製完拓撲,就可以看到正常的複製鏈路了。
或者直接在firenze的“NTDS settings”右擊,選擇“所有任務”—“檢查複製拓撲”,然後再刷新站點,就可以看到正常的鏈接了。
正常的鏈接鏈路如下:
到此,Florence對象已經從兩個域控制器上徹底清除。
5 檢查複製拓撲,確保兩站點可以正常複製
操作:“開始”—“程序”—“管理工具”—“Active Directory站點和服務”—點開“sites”目錄—“Default –first-site-name”—點開“Servers”—“berlin”服務器—“NTDS settings”—右擊鏈接,選擇“立即複製副本”,當出現“Active Directory 已經複製了連接”對話框時,表明Berlin可以正常的從firenze複製。
在點擊“firenze”的服務器的“NTDS settings”,右擊連接,選擇“立即複製副本”
如果出現“Active Directory 已經複製了連接”,說明firenze可以正常的從berlin複製
進入berlin這臺域控制器,依然進入“Active Directory站點和服務”查看站點連接情況,刷新後,連接正常
由此確定兩個域控制器可以正常複製。
本文出自 “激情因夢想而存在” 博客,請務必保留此出處[url]http://struggle.blog.51cto.com/333093/78393[/url]
本文出自 51CTO.COM技術博客