提升额外域控为主控(灾难恢复)

Windows域控制器的灾难恢复作者：胡磊来源：《科学与财富》2010年第05期一、概述安徽人民广播电台Link2000音频工作站系统就是建立在网络平台上的。

为了保证安全播出在这个网络中的公用光纤磁盘阵列柜(以下简称磁盘阵列)使用了2台安装了Windows2000 Advance Server操作系统的HP GL570服务器(Server1和Server2)。

两台服务器都可以成为主、备用服务器。

当其中一台服务器出现故障的时候,另一台服务器能够在最短时间内接管磁盘阵列。

保证整个音频工作站系统的正常运行并且有足够的时间来处理服务器故障。

两台服务器是基于Microsoft Cluster(群集)的结构,保证了系统的正常运作。

为了防止两台服务器同时出现故障以及磁盘阵列故障,在设计系统时我们还做了一台PC机和IDE磁盘柜作为出现故障时可以备用的第三备用,及时从光纤磁盘阵列复制数据库文件和必要的音频文件到IDE磁盘柜。

二、环境分析因为网络中所有的服务器和用户计算机都处在的域中。

主域控制器是SERVER1,SERVER2、SERVERBACK都是额外域控制器,其他用户计算机都是域成员。

逻辑图形如下:活动目录是构建Windows2000域的前提条件。

也就是说区别于NT网络只能构建单域模式,Windows2000支持域都是建立在活动目录上的。

所有域控制器之间都要互相传递活动目录信息,我台使用的是单域网络,所以域控制器之间复制的信息也可以称为域信息。

在域中SERVER1是主域控制器,其他控制器都是额外域控制器。

而构架主机、域命名主机、RID主机、主域控制器模拟器、基础结构主机这些主机角色一般都安放在主域控制器中,也就是这里所说的SERVER1中。

三、故障现象当时我们遇到的情况是这样的:SERVER1作为主域控制器和全局编录GC。

机器中构成RAID0的两块硬盘出现故障,其中日常引导的硬盘出现硬件故障不能引导机器,导致作为主域控制器河全局编录GC的SERVER1无法启动;而作为镜像的硬盘也被写入坏数据不能引导,启动时总是出现蓝屏。

域环境，俩DC，A主域控，B额外域控，公司搬迁，把A主域控搬至外地，留B辅域控在本地，结果出现部分用户无法登陆的情况。

没办法，搬迁工作准备不足，只好在辅域控上做了出下操作，1. 在B服务器额外域控强制夺取操作主机角色打开命令行窗口输入”ntdsutil”输入”connections”输入”connect to server dc02”连接到额外域控器输入”q”退到上一级输入”seize pdc”确认输入”seize rid master”确认输入”seize infrastructure master”确认输入”seize domain naming master”确认输入”seize schema master”确认********************华丽的分割线************************** 至此，将无法登陆的客户机重新加入域后，故障基本解决，********************华丽的分割线**************************1. 额外域控已经夺取五个角色，记得要把主域的信息从它清除本人没有做如下操作，并把原A主域控重新接入局域网使用，就这个操作，直接导致以后悲催的结局（1、域中出现多个用户无法登陆域，重新加域都没用；2、若干用户出现访问文件服务器无法访问的情况……）打开命令窗口输入”ntdsutil”输入”metadata cleanup”输入”connections”输入”connect to server dc02”连接到额外域控制器输入”q”退到上一级输入”list site”输入”select site 0”输入”list domain in site”输入”select domain 0”输入”list server in site”输入”select server 0”输入”q”输入”remove select server”直接在原A主域控上做了如下操作，正常无法删除AD服务，只好加强制删除参数：dcpromo /forceremoval并在B域控上清除原服务器信息，重新将此A服务器重新加域并重新安装AD。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

主域损坏后辅域升级为主域并清理主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录 .这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

灾难恢复方法一.目的本文对域控制器的灾难恢复提供指导二．摘要本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复三．目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本四．正文1. Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

网络系统灾难恢复与备份技术考试（答案见尾页）一、选择题1. 网络存储技术A. SAN（存储区域网络）B. NAS（网络附加存储）C. DAS（直接附加存储）D. QoS（服务质量）2. 网络安全防护措施A. 防火墙配置B. 入侵检测系统（IDS）C. 安全审计D. 加密技术3. 网络系统恢复技术A. 虚拟化技术B. 快照技术C. 数据恢复软件D. 故障转移技术4. 网络冗余设计A. 双机热备B. 双机冷备C. 三机热备D. N+1冗余5. 网络备份策略A. 全备份B. 增量备份C. 差异备份D. 合并备份6. 网络系统监控A. 日志管理B. 性能监控C. 安全监控D. 故障诊断7. 网络存储中的QoSA. 流量整形B. 优先级分配C. 带宽保障D. 队列管理8. 网络系统灾难恢复计划A. 制定灾难恢复计划文档B. 建立灾难恢复团队C. 进行灾难恢复演练D. 定期检查灾难恢复计划9. 网络备份系统的性能优化A. 选择合适的备份软件B. 优化存储性能C. 减少网络带宽占用D. 提高备份速度10. 备份类型及其应用场景A. 全量备份B. 增量备份C. 差量备份D. 快照备份11. 网络存储技术A.NAS（网络附加存储）B. SAN（存储区域网络）C. DAS（直接附加存储）D. Object-based storage12. 网络安全与加密技术A. 防火墙技术B. 入侵检测系统（IDS）C. 安全套接字层（SSL）/传输层安全（TLS）协议D. 数据加密技术13. 网络冗余与负载均衡技术A. 集群技术B. 负载均衡器C. 冗余路由协议D. VPN链接14. 网络恢复技术A. 数据恢复软件B. 系统恢复点目标（RPO）C. 系统恢复时间目标（RTO）D. 集成备份与恢复系统（IBR）15. 网络安全风险评估A. 定义风险矩阵B. 识别威胁和漏洞C. 分析脆弱性D. 制定安全控制措施16. 网络备份自动化管理A. 使用自动化工具进行备份任务调度B. 实现自动填充驱动器功能C. 监控备份过程D. 自动同步备份数据到远程存储17. 网络存储的迁移与集成A. 从本地存储迁移到网络存储B. 从网络存储迁移到本地存储C. 合并存储资源D. 将数据迁移到云存储18. 网络灾难恢复计划制定A. 评估业务影响分析（BIA）B. 设定恢复时间目标（RTO）C. 设定恢复点目标（RPO）D. 制定灾难恢复计划文档19. 备份类型及其应用场景A. 全量备份B. 增量备份C. 差量备份D. 快照备份20. 网络安全策略在灾难恢复中的作用A. 防止数据泄露B. 保护关键网络资源C. 提高系统容错能力D. 提升用户信任度21. 灾难恢复计划中应包含哪些关键步骤？A. 业务影响分析B. 数据备份与恢复C. 建立灾备团队D. 制定应急响应计划22. 在数据备份中，如何确保数据的完整性和可恢复性？B. 采用校验和检查机制C. 定期进行数据备份D. 实施数据加密23. 网络安全事件发生时，灾难恢复计划需要多长时间内启动？A. 1小时B. 2小时C. 3小时D. 4小时24. 在灾难恢复过程中，如何验证数据的可恢复性？A. 复制备份数据到备用环境B. 使用数据校验和检查工具C. 进行业务功能测试D. 监控网络性能25. 网络系统灾难恢复中的数据迁移策略有哪些？A. 同步迁移B. 异步迁移C. 统一迁移D. 分阶段迁移26. 以下哪个选项是灾难恢复计划中的核心要素？A. 人员B. 技术C. 流程D. 设备27. 网络安全等级保护中，如何确保关键信息资源的访问控制？A. 实施访问控制列表（ACL）B. 应用最小权限原则C. 应用身份认证和授权机制二、问答题1. 什么是网络系统灾难恢复计划？请简要描述其关键组成部分。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。

额外域控制升级为主域控制器（三）前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。

这时我们来到BDC上，打开AD用户和计算机，在你的域名处点右键――>操作主机打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC，所以我们要把BDC更改为操作主机。

各位可能就会看到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了，但是你在这里点更改会报错的，点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。

不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。

二、在上面的操作中我们已经安装了windows 2003 的support tools了，所以我现在在找开support tools，在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图：我们看到当前五个角色的owner还是PDC。

下面我们就开始强制夺取吧。

三、再次打开support tools 在命令提示符下输入ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server (其实上面这里我写的是BDC的计算机名，而现在输入的又是域名了) ，提示绑定成功后，输入q退出，如图：四、输入问号可以看到一些帮助信息，上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了，分别输入：Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema masterSelect operation target以上的命令在输入完成一条后都会确认要占用角色，选择是，如图：然后接着一条一条完成既可，完成以上按Q退出界面，五、选择是以后。

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升，具体步骤如下：转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始，然后单击运行。

2. 在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

3. 收到操作成功的消息时，单击确定。

转移架构主机角色1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

转移域命名主机角色1. 单击开始，指向管理工具，然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系"，然后单击"连接到域控制器"。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在"输入其他域控制器名称"框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- 或 -? 在"或者，选择一个可用的域控制器"列表中，单击将成为新角色持有者的域控制器，然后单击确定。