强制删除多余的域控制器
强制删除多余的域控制器
很多企业都碰到过这样的问题:AD域中的某台域控制器由于软件或硬件问题而瘫痪,无法启动。这时,如果想重新安装这台服务器,就需要先将它从域中删除。但是,由于该服务器已经不能启动,所以无法使用Dcromo进行删除。
国画家
如果简单地从“AD用户和计算机”中删除该域控制器的话,它的信息依然会保留在AD数据库中,客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器,这会给AD的功能和性能带来很大影响。
本文针对这种问题提出了一套完整的解决方案,在利用Ntdsutil工具强制删除或控制器的同时,保证了整个AD域的功能不受到任何影响。
例如,企业AD中的一台Windows Server2003
域控制器(DC1),由于硬件问题而瘫痪,无法启动。企业希望将DC1从域中删除。在强制删除DC1前,我们需要提前考虑以下问题:
祝老师女神节快乐
1.如果删除的DC是企业当前的一台和AD集成的DNS服务器,要考虑是否需要将DNS服务器,要考虑是否需要将DNS记录迁移到其他DNS服务器上。如果进行了迁移,则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。
2.如果删除的域控制器是一台全局编录服务器,要考虑是否全局编录迁移到其他DC上。
3.如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角,要将这些角重新分配给一台活动的DC。
经过系统分析,发现系统当前状况如下:
1.除当前瘫痪的域控制器DC1以外,域中还存在另一台域控制器BAKSRV。
2.DC1担任着域中的所有五个FSMO角。
3.DC1是域中的惟一的一台全局编录服务器。
4.DC1是域中的惟一的一台DNS服务器,拥有“和AD集成的DNS区域”.
5.BAKSRV充当着企业的DHCP服务器,客户端的IP地址、网关、DNS服务器设置均由BAKSRV分发。
对系统进行分析评估之后,在删除DC1之前,必须使BAKSRV担负起DC1以前所担负的所有角,否则将会造成用户无法登录域,网络资源不可访问等多个严重问题。
根据以往经验,整个灾难恢复过程应该包括:重建全局编录、重建DNS服务器、抢占FSMO角、删除DC1以及重新配置DHCP进行地址分发五个主要步骤。
重建全局编录
全局编录是存储林中所有Active Directory对象副本的域控制器,全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。在林中必须存在一个全局编录服务器,所以,需要在BAKSRV上重建全局编录。
1.BAKSRV上,启动“Active Directory站点和服务”管理单元。
2.在控制台树中,双击“站点”,然后双击站点名称。
3.双击“服务器”,单击BAKSRV,右键单击“FTDS设置”,然后单击“属性”。
4.如图1所示,在“常规”选项卡上,单击“全局编录”复选框,将其选中,将全局编录角分配给该服务器。
5.等待一段时间后,在运行上运行Netstat-an find“3268”以及Netstat an ︳find 3269查看3268、3269端口是否打开。如果这两个端口打开,说明BAKSRV上的全局编录在工作。
我们也可以查看注册表HKEY——LOCAL——MACHINE、SYSTEM、CurrentContro1 Set\Services\NTDS\Parameters\Global Catalog Promotion Complete键值是否为1。如果是1的话,也说明BAKSRV上的全局编录在正常工作了。
重建DNS服务器
祝中秋节快乐的图片DNS是访问AD数据库和服务的基础,所以必须在BAKSRV上重建“和AD集成的DNS区域” Coact,使其成为新的DNS服务器。
1.在BAKSRV上安装DNS服务。
2.将BAKSRV网络设置中的DNS服务器设定为BAKSRV本身。
3.打开BAKSRV上的DNS创建“和AD集成的DNS区域”coact,并重新加载该区域。
4.在coact区域中删除区域_msdcs区域。
致母亲的唯美句子
HKEY_LOCAL_MACHINE\SYSTEM\Current Control Set\Services\
NTDS\Parameters\Global Catalog Promotion Complete键值是否为1。如果是1的话,也说明BAKSRV上的全局编录在正常工作了。
5.创建“和AD集成的DNS区域”_at,并重新加载该区域。
6.在coact区域中新建委派区域,委派的域为_act,名称服务器为act。
7.等待一段时间,查看DNS区域中的所有记录是否都成功恢复。
抢占FSMO角
由于DC1已经瘫痪无法通信,所以我们不可能将FSMO角正常地从DC1上转移到BAKSRV上,必须强行抢占FSMO角。
这里我们需要使用Ntdsutil实用工具捕获FSMO角。
1.登录到BAKSRV上,单击“开始    运行”,在“打开”框中键入ntdsutil,然后单击“确定”。
2.键入roles,然后按Enter。小学家长意见怎么写
3.键入connections,然后按Enter。
4.键入connect to server BAKSRV,然后按Enter。
5.在“server connections”提示符处,键入q,然后按Enter。
6.键入seize role,其中role是您要捕获的角。例如,要捕获RID主机角,可键入seize rid master。PDC模拟器角的捕获是一个例外,它的语法是seize pdc而非seize pdc emulator。
7.在“fsmo maintenance”提示符入,键入q,然后按Enter,以进入“ntdsutil深圳图书馆”提示符。键入q,然后按Enter,退出Ntdsutil实用工具。
角抢占完之后,可以利用Windows2003支持工具包中的Netdom工具,来查看FSMO角是否抢占成功,命令为:Netdom query fsmo/domain:coact。如果抢占成功,显示结果应如图2所示。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。