Win Server 2008 R2主域控灾难恢复
2015-05-13 11:37
323 查看
好久没写东西了,前几天遇到一个企业,因为主域控在没有任何保护的情况下,裸奔后感染病毒,直接垮掉了(无语),且无法恢复。希望能够对其进行完整功能的灾难恢复,今天就跟大家分享一下恢复的过程。
整个过程不难,但是大家在做这种操作的时候,思路一定要清晰,且操作的时候一定要仔细。
具体思路步骤:(可能不完善,欢迎大家补充)
1. 彻底检查主域控SRVDC01状态,这里主要包括是否彻底无法启动 or 只是功能故障
2. 如果主域控还能勉强单机登录的话,备份一切可以备份的有用文件资料或者应用配置,如CA证书服务器配置等。
3. 确保SRVDC02为全局编录服务器GC,并且将主DNS暂时指向自己。
4. 在辅助域控SRVDC02上使用 ntdsutil 命令抢夺FSMO五大角色。
5. 在辅助域控SRVDC02上删除故障主域控SRVDC01的全部数据信息及SRV记录。
6. 保证IP和机器名不变的情况下,重装SRVDC01成员服务器并加域,提升为域控。
7. 将FSMO五大角色从SRVDC02迁移回SRVDC01,提升为主域控。
下面我们来看看详细步骤及截图:
根据每个故障的不同背景,我以下的步骤和截图只有只有3、4、5,省略了上述的 1、2、6、7。
1. 首先使用管理员权限在辅助域控SRVDC02上打开CMD命令行,输入 netdom query fsmo进行查看目前五大角色的位置
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyFfBCA1OAAFN2dvftrQ224.jpg)
2. 在辅助域控SRVDC02上打开AD站点和服务,检查辅助域控SRVDC02是否为全局编录服务器GC
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyFjixXqtAAIR3453Vr4245.jpg)
3. 继续使用管理员权限在辅助域控SRVDC02上打开CMD命令行,输入 ntdsutil命令来抢夺FSMO五大角色。
注:这里在选择server connections服务器连接的时候,因为主域控SRVDC01已经离线,所以直接选择辅助域控SRVDC02
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyFiBnAwyAAFBmHKiI0w943.jpg)
4. 在系统提示的 FSMO maintenance后面以此输入五条命令来抢夺对应的角色,分别是
抢夺结构主机 Seize infrastructure master
抢夺命名主机 Seize naming master
抢夺PDC Seize PDC
抢夺RID主机 Seize RID master
抢夺架构主机 Seize schema master
如果记不住也没关键,直接 fsmo maintenance:? 查询就好
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyFmQUoW5AAJrtD0NZNA547.jpg)
5. 下面就是五个角色分别的抢夺步骤了
注:在抢夺过程中,系统会提示警告或者报错,这个是正常现象,因为SRVDC01主域控已经脱机,在第一时间没找到主域控之后,
会自动将角色覆盖在已连接的SRVDC02辅助域控上。
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyFqTWY6qAAJg0Ge6I2w609.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyFuDxDs2AAJQx1GtVcU184.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/D2/wKiom1VSxuHAd_xZAALUlTVo4Sg360.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyF3TnL4nAALDY6XvvyU562.jpg)
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyF2Abc4SAALQAg8rKkQ902.jpg)
6. 在SRVDC02上通过netdom query fsmo命令查看抢夺角色的情况
![](http://s3.51cto.com/wyfs02/M01/6C/D2/wKiom1VSxuSx5hZLAAKppy4JYs8350.jpg)
7. 删除故障域控SRVDC01的残留信息
传统的方法我们也是通过命令行 metadata cleanup命令来进行逐一删除,但在这里我给大家介绍一个微软官方的VB脚本,非常好用!
名字叫做:Remove Active Directory Domain Controller Metadata
详细说明及下载地址: https://gallery.technet.microsoft.com/ScriptCenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3/
运行VB之后,会自动搜索出目前域环境内的所有域控,只需填入要清除的域控名即可,我们这里填入故障域控SRVDC01
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyF-xQkMdAAD5LHZyH_w014.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyF-yBf1yAACEE51JMQc587.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyF_CS0DSAABaGpnTTmI710.jpg)
8. 如果不想使用第7步中的这个VB脚本,要使用命令行删除的也可以,具体步骤如下。
首先绑定主域控,然后找到域中的站点,选定站点,找出站点中的域控,选定域控,最后使用 remove selected server进行残留信息删除。
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyGDTM1O2AAKQ_Epb-dc796.jpg)
![](http://s3.51cto.com/wyfs02/M02/6C/D2/wKiom1VSxuaSV586AALSOsMbEBA760.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/D2/wKiom1VSxufxWB_KAAK5RBQAFp4294.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyGLh4kOcAALaqIOPGFU521.jpg)
9. 登录到新的“主域控”SRVDC02的DNS(SRV记录)、站点、AD用户和 计算机、ADSI上去检查一下是否老的SRVDC01信息已经被删除,
如果没删除的话,手动删除即可。
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyGPxd6ZsAAF8MvymYG8809.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyGPD7iWCAAFt8MwVpbQ489.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyGSgFvlqAAG6YR6TTjo780.jpg)
至此,故障域控基本上已经从域环境中被彻底删除。现在就可以在保证IP和机器名不变的情况下,重装SRVDC01成员服务器并加域,提升为域控,
再将FSMO五大角色从SRVDC02迁移回SRVDC01,提升为主域控即可。
大家还可以参考以下链接
http://blog.csdn.net/iloli/article/details/6620033
本文出自 “马骏一的奔跑空间” 博客,请务必保留此出处http://horse87.blog.51cto.com/2633686/1650909
整个过程不难,但是大家在做这种操作的时候,思路一定要清晰,且操作的时候一定要仔细。
具体思路步骤:(可能不完善,欢迎大家补充)
1. 彻底检查主域控SRVDC01状态,这里主要包括是否彻底无法启动 or 只是功能故障
2. 如果主域控还能勉强单机登录的话,备份一切可以备份的有用文件资料或者应用配置,如CA证书服务器配置等。
3. 确保SRVDC02为全局编录服务器GC,并且将主DNS暂时指向自己。
4. 在辅助域控SRVDC02上使用 ntdsutil 命令抢夺FSMO五大角色。
5. 在辅助域控SRVDC02上删除故障主域控SRVDC01的全部数据信息及SRV记录。
6. 保证IP和机器名不变的情况下,重装SRVDC01成员服务器并加域,提升为域控。
7. 将FSMO五大角色从SRVDC02迁移回SRVDC01,提升为主域控。
下面我们来看看详细步骤及截图:
根据每个故障的不同背景,我以下的步骤和截图只有只有3、4、5,省略了上述的 1、2、6、7。
1. 首先使用管理员权限在辅助域控SRVDC02上打开CMD命令行,输入 netdom query fsmo进行查看目前五大角色的位置
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyFfBCA1OAAFN2dvftrQ224.jpg)
2. 在辅助域控SRVDC02上打开AD站点和服务,检查辅助域控SRVDC02是否为全局编录服务器GC
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyFjixXqtAAIR3453Vr4245.jpg)
3. 继续使用管理员权限在辅助域控SRVDC02上打开CMD命令行,输入 ntdsutil命令来抢夺FSMO五大角色。
注:这里在选择server connections服务器连接的时候,因为主域控SRVDC01已经离线,所以直接选择辅助域控SRVDC02
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyFiBnAwyAAFBmHKiI0w943.jpg)
4. 在系统提示的 FSMO maintenance后面以此输入五条命令来抢夺对应的角色,分别是
抢夺结构主机 Seize infrastructure master
抢夺命名主机 Seize naming master
抢夺PDC Seize PDC
抢夺RID主机 Seize RID master
抢夺架构主机 Seize schema master
如果记不住也没关键,直接 fsmo maintenance:? 查询就好
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyFmQUoW5AAJrtD0NZNA547.jpg)
5. 下面就是五个角色分别的抢夺步骤了
注:在抢夺过程中,系统会提示警告或者报错,这个是正常现象,因为SRVDC01主域控已经脱机,在第一时间没找到主域控之后,
会自动将角色覆盖在已连接的SRVDC02辅助域控上。
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyFqTWY6qAAJg0Ge6I2w609.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyFuDxDs2AAJQx1GtVcU184.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/D2/wKiom1VSxuHAd_xZAALUlTVo4Sg360.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyF3TnL4nAALDY6XvvyU562.jpg)
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyF2Abc4SAALQAg8rKkQ902.jpg)
6. 在SRVDC02上通过netdom query fsmo命令查看抢夺角色的情况
![](http://s3.51cto.com/wyfs02/M01/6C/D2/wKiom1VSxuSx5hZLAAKppy4JYs8350.jpg)
7. 删除故障域控SRVDC01的残留信息
传统的方法我们也是通过命令行 metadata cleanup命令来进行逐一删除,但在这里我给大家介绍一个微软官方的VB脚本,非常好用!
名字叫做:Remove Active Directory Domain Controller Metadata
详细说明及下载地址: https://gallery.technet.microsoft.com/ScriptCenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3/
运行VB之后,会自动搜索出目前域环境内的所有域控,只需填入要清除的域控名即可,我们这里填入故障域控SRVDC01
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyF-xQkMdAAD5LHZyH_w014.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyF-yBf1yAACEE51JMQc587.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyF_CS0DSAABaGpnTTmI710.jpg)
8. 如果不想使用第7步中的这个VB脚本,要使用命令行删除的也可以,具体步骤如下。
首先绑定主域控,然后找到域中的站点,选定站点,找出站点中的域控,选定域控,最后使用 remove selected server进行残留信息删除。
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyGDTM1O2AAKQ_Epb-dc796.jpg)
![](http://s3.51cto.com/wyfs02/M02/6C/D2/wKiom1VSxuaSV586AALSOsMbEBA760.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/D2/wKiom1VSxufxWB_KAAK5RBQAFp4294.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyGLh4kOcAALaqIOPGFU521.jpg)
9. 登录到新的“主域控”SRVDC02的DNS(SRV记录)、站点、AD用户和 计算机、ADSI上去检查一下是否老的SRVDC01信息已经被删除,
如果没删除的话,手动删除即可。
![](http://s3.51cto.com/wyfs02/M02/6C/CC/wKioL1VSyGPxd6ZsAAF8MvymYG8809.jpg)
![](http://s3.51cto.com/wyfs02/M00/6C/CC/wKioL1VSyGPD7iWCAAFt8MwVpbQ489.jpg)
![](http://s3.51cto.com/wyfs02/M01/6C/CC/wKioL1VSyGSgFvlqAAG6YR6TTjo780.jpg)
至此,故障域控基本上已经从域环境中被彻底删除。现在就可以在保证IP和机器名不变的情况下,重装SRVDC01成员服务器并加域,提升为域控,
再将FSMO五大角色从SRVDC02迁移回SRVDC01,提升为主域控即可。
大家还可以参考以下链接
http://blog.csdn.net/iloli/article/details/6620033
本文出自 “马骏一的奔跑空间” 博客,请务必保留此出处http://horse87.blog.51cto.com/2633686/1650909
相关文章推荐
- (图) Server 2008 R2主域控AD的灾难恢复(实战)
- Server 2008 R2主域控灾难恢复
- Win Server 2008 R2主域控灾难恢复
- win server 2008 R2“由于没有远程桌面授权服务器可以提供许可证,远程会话被中断。请跟服务器管理员联系。”
- Win-Server-2008-R2-x64安装Oracle-11g-R2-x64及问题处理
- 数据库备份和恢复秩序的关系(周围环境:Microsoft SQL Server 2008 R2)
- PDFCreator 安装在Win 2008 R2 Server.
- 配置Win Server 2008 R2 防火墙允许远程访问SQL Server 2008 R2
- win server 2008 r2 iis+php 500错误内部服务器错误。
- openstack 制作winserver2008_R2镜像 用cloudbase-init 实现第一次创建就注入密码(需登录)
- winServer 2008 R2 安装sqlserver2005失败及提示必须使用角色管理工具安装或配置 3.5 sp1
- windows Server 2003中NTBackup恢复到Windws Server 2008/R2 推荐
- win server 2008 R2 域控制器安装
- Win 2008 R2安装SQL Server …
- PHP与LDAP登录相关 ( Win 2008 R2 Server Domain Controller )
- Win Server 2008 R2 安装 Oracle 10g
- Windows Server 2008 R2活动目录灾难恢复(一):演练流程
- win server 2008 r2 sharepoint 域环境安装经历
- Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1)
- winserver 2008 R2服务器安装IIS