现在我们的环境有两台域控制器,当我们主域控因为某种原因(硬件故障、机房进水、软件故障等)造成宕机时,我们的额外域控应该如何进行工作呢?
在我们的活动目录之七中,已经详细介绍了fsmo角色,下面让我们进行一下主域控宕机,额外域控应该如何工作的讲解:(此例中以windows server 2003举例)
一:实验场景
使用设备说明:
1:使用三台VMware虚拟机,AD域名:wjlove.com
2:AD主控制器主机名:e-copa.wjlove.com IP:192.168.2.1/24 DNS:127.0.0.1
3:AD额外域控制器:k1k.wjlove.com IP:192.168.2.2/24 DNS:192.168.2.1
AD主控制器新建用户user1和uesr2,则AD备域则学习到域的变化
二:实验
1:AD主域控制器当机,如何使用备份域控制器恢复域?
1) 首先,要把第一台域控制器的所有信息从活动目录里面删除
此处也可以用ADSI工具,删除计算机
打开Win2003 AD 备域控制器—“Active Directory”—“wjlove.com”—“Domain Controllers”,删除计算机E-COPA
打开Win2003 AD 备域控制器—“Active Directory站点和服务”—“Sites”— “Default-First-Site-Name” —“Servers” ,删除计算机E-COPA(必须先删除NTDS Settings)
在删除NTDS Settings,会出现如下图,选择如图所示:
2) 把FSMO角色转换过来。使用“Ntdsutil”转换FSMO角色
· 我们先要连接到目标服务器上:
把FSMO 5个主机角色从E-copa.wjlove.com转换到k1k..wjlove.com,
请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于主域E-copa已经离线了,所以要用“Seize”:
依次运行:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
运行完后,输入quit退出
转换全局编录为k1k.wjlove.com,如图所示
查看额外BDC上,角色是否被抢占过来,通过netdom query fsmo
由此可以看出,角色成功抢占
3) 将额外域控DNS服务器辅助区域,提升为主要区域,并清除DNS中过时的主DC信息:
此时经过角色抢占,清除主DC信息,DNS区域提升,删除DNS中无效的主DC信息,已经将额外BDC成功运行;
七:额外BDC已经正常工作了,此时我们的主DC下线之后,经过抢修,发现是主板损坏了,更换主板后已经恢复正常了,此时应该如何将原来的主dc加入现有域中呢?
经过查阅资料,按照下面方法比较好,也就是将修好的原主DC从新安装win 2008 r2,从新加入域,做辅助域控,如果需要还原成主域控,将角色传送会修好的DC即可,当我们抢夺角色后,客户端有时候计算机有时候需要重新加入域
修理好主DC.test.com损坏的硬件之后,在DC-01.test.com服务器重新安装Windows 2008 R2 Server,安装好Windows 2008 R2 Server之后,再运行Dcpromo升成额外的域控制器;如果你需要使DC-01.test.com担任五种FMSO角色,通过ntdsutil工具进行角色转换,进行Transfer操作就行了(注意:不能用Seize)。并通过Active Directory Sites and Services设置DC-01.test.com为GC,取消DC-02.test.com的GC功能。
建议domain naming master不要和RID master在一台DC上,而domain naming master同时必须为GC。
