DNS重建+Active Directory災難恢復
原貼連結:http://songtao87.blog.51cto.com/380457/91813
試驗:DNS重建+Active Directory災難恢復
網路拓撲:
內網有3臺域控制器,分別為一臺為主域控制器,其餘二臺是額外域控制器,DNS伺服器是在主域控制器上,現在主域控制器與其他二臺額外域控制器連線不上。如圖
試驗1: DNS重建
思路:由於DNS上存有域控制器的主機名稱,IP地址及所扮演的角色等資料,所以在轉移操作主機前,要重建DNS,新增主機記錄,把剩餘兩臺域控制器的NETLOGON.DNS檔案內的DNS備份複製到新建的DNS檔案中(要先停止DNS,在儲存修改的內容)。
過程:因原DNS伺服器已丟失,所以可以在FLORENCE和PERTH中任選一臺DC作為DNS伺服器,這裡我選用florence作為DNS伺服器。(在這裡注意把設定ip裡的DNS指向florence的IP)
點確定----下一步即安裝。(在安裝過程中會提示需要系統盤上的檔案,所以提前準備哦)
2.恢復DNS,點選開始---程式---管理工具---DNS,開啟DNS伺服器,然後新建區域
在這注意在最末行我們看見了一項預設打鉤的“在AD中儲存區域”的選項,我們需要去掉這個鉤後在點選下一步,因為待會兒重建DNS需要區域檔案,我們去掉這個鉤,區域檔案將存貯在本地計算機,方便隨後的重建操作。如圖
我們去掉這個鉤,然後繼續下一步進行配置,出現定義區域名稱嚮導介面,我們輸入實驗域名sttest.com然後點選下一步,出現下圖提示
問打算將sttest.com的區域檔案怎樣命名並存貯與哪裡,(如果之前DNS伺服器完好,我們可以選擇使用此現存檔案,然後掛入之前的區域檔案即可),這裡由於DNS和AD安裝在一臺PC上,而這臺PC以連線不上,故選擇新建區域檔案,同時為方便記憶,我們選擇預設的區域檔名稱,確認無誤後點擊下一步。
這時,嚮導出現了提示是否允許動態更新的介面,這是關鍵的一步,我們要想讓AD複製拓撲正常,一定要選用允許動態更新,因為只有允許了動態更新,AD之間資料的變化才能及時傳遞給對方,所以我們在此項一定要選用:允許安全和非安全動態更新,然後我們點選下一步,確認無誤後,完成安裝。在向DNS區域檔案中匯入各域控制器的Netlogon.dns記錄
由於之前DNS 檔案的丟失,要重建DNS伺服器,必須要向DNS區域檔案中匯入各域控制器中Netlogon.dns中的SRV記錄、Cname記錄、A記錄和NS記錄,進行匯入。
步驟:
首先在DNS伺服器Florence中新增一條Perth的A記錄,並指明Perth的IP地址:192.168.11.6, 輸入確認無誤後點擊新增主機。如圖
二.添加個域NETLOGON中的各項記錄
在Florence上開始執行(也可以win+R)cmd進入命令提示符
然後輸入cd %windir%\system32\config 進入系統配置目錄
然後輸入:notepad netlogon.dns開啟netlogon檔案
這時我們看到了這其中記載的各SRV記錄、Cname記錄、A記錄和NS記錄,如下圖
三. 然後全選這裡的記錄然後Ctrl+C複製,然後關閉這個檔案,切換到命令提示符下,輸入:net stop dns 先停止DNS服務,來方便我們更改DNS區域檔案,接著輸入:cd %windir%\system32\dns 進入DNS目錄,然後我們輸入:notepad sttest.com.dns 來開啟sttest.com域的區域檔案,這時我們看到了sttest.com區域檔案中的內容,這時我們在最後一行Ctrl+V貼上我們剛才複製自己的netlogon.dns檔案中的所有記錄,如圖
現在去Perth用剛才的方法,命令提示符下輸入:cd %windir%\system32\config 然後輸入:notepad netlogon.dns開啟netlogon檔案同樣複製其中的所有內容,然後回到Florence的sttest.com.dns檔案中,在最後一行貼上進去我們剛才複製Perth中netlogon.dns檔案中的記錄,然後Ctrl+S儲存並Alt+F4關閉。如下圖
注意現在不要儲存檔案,先要停止DNS服務。開啟“開始”—“執行”—“services.msc”,回車開啟服務管理器。找到“DNS Server”服務,點選“停止”,停止DNS服務如圖
然後在儲存剛修改過的“sttest.com.dns”檔案,回到服務管理器,重新啟動DNS服務。然後分別在Florence與Perth機器裡重啟Netlogon服務如圖命令輸入:net stop netlogon ,服務停止後在輸入:net start netlogon開啟netlogon服務如圖
接下來我們複製拓撲來進行測試DNS重建是否成功。域控制器Florence的站點與服務,展開Sites項,選擇Perth與Florence的複製連結,右擊選擇立即複製副本,如下圖提示,AD以複製了連結,在來選擇Florence與Perth的複製連結,右擊選擇立即複製副本提示AD已複製了連線。檢測成功,DNS重建工作到此完成如圖
試驗2:Active Directory災難恢復
思路:先轉移操作主機角色到新的主域控制器,然後重建全域性編錄伺服器並在AD中清除報廢的主域控制器物件,最後也是檢查恢復情況的操作,檢查重建的主域控制器於子域控制器間是否擁有正確的複製拓撲並且能正常複製連結。
過程:要轉移操作主機角色,需要用到Ntdsutil命令,我們在Florence的命令提示符中鍵入ntdsutil,如圖
(如果忘了該輸入什麼,那隻好有必殺技“?”了,o(∩_∩)o…哈哈)找到了輸入Roles回車,然後如下圖
然後輸入Connections連線到一個特定域控制器如圖
輸入connect to server Florence.sttest.com如圖,提示繫結到Florence.sttest.com瞭如圖
然後輸入quit,返回上級選單如圖
上圖的拿紅色標記的是強制轉移操作主機(在與主域控制器連線不上的情況下用),拿×××標記的是平穩轉移操作主機(如果能連線到域控制器的話就用這個)。現在是連線不上主域控制器只能用紅色標記的命令了,先輸入Seize domain naming master,轉移域角色。如圖
這時當我們點選確認是後,會出現一個錯誤報告,如下圖
(這是正常的,微軟設定雖然用的是強制轉移主機但是還是先嚐試安全傳送操作主機,如果連線不上的話,才用強制轉移。)
繼續執行 以下4個命令來佔用其他4個操作主機角色
Seize domain naming master
Seize PDC
Seize RID master
Seize infrastructure master
每個命令執行完畢,都會出現確認對話方塊及已成功佔有角色的提示如圖
26-34圖
提示傳送成功。 至此,操作主機各角色轉移完成,輸入quit退出ntdsutil操作如圖
提示傳送成功。 至此,操作主機各角色轉移完成,輸入quit退出ntdsutil操作如圖
接著去Florence中檢視操作主機是否如我們所願,成為了Florence請看下圖
Firenze成為了操作主機,至此操作主機角色轉移工作至此完成,接下來進行全域性編錄伺服器重建。依然在FLORENCE這臺域控制器上進行操作。開始—管理工具—Active Directory 站點和服務,展開Florence—右擊NTDS Settings—屬性—勾選全域性編錄。如圖
此時,只要重新啟動firenze這臺域控制器,DNS就會自動建立GC記錄,這時DNS就有了完整的SRV記錄。
AD中清除報廢的主域控制器物件,Firenze原來是主域控制器,所以要在AD使用者和計算機中刪除域控制器組內的Firenze,開始—程式—管理工具—Active Directory使用者和計算機—開啟sttest.com目錄—選中DomainControllers—右擊Firenze點刪除
在彈出的確認對話方塊中點選“確定”,會彈出一個刪除域控制器原因描述的對話方塊,這裡我們選擇“這臺域控制器永遠為離線並且不能在用Active Directory安裝嚮導將其降域”,然後點選刪除即可在AD使用者和計算機去除Florence物件。如圖
點選是,僅這樣刪除還是不能夠完全刪除Florence物件,還需在“Active Directory站點和服務”中刪除連線。
開始—程式—管理工具—Active Directory站點和服務—點開sites目錄—Default –first-site-name—點開Servers—Firenze—右擊NTDS settings,選擇刪除如圖
這時,問你要選擇怎樣的刪除操作,我們選擇最後一項,將Florence降級並永久脫離使用,確認後點擊刪除。下圖
如上圖,Florence中的Firenze物件清除完畢。
檢查複製拓撲,確保兩站點可以正常複製,開始—程式—管理工具—Active Directory站點和服務—點開sites目錄—Default –first-site-name—點開Servers—perth伺服器—NTDS settings—右擊連結,選擇立即複製副本,當出現Active Directory 已經複製了連線對話方塊時,表明Perth可以正常的從複製。
至此,Active Directory災難恢復的網路拓撲重建到此重建完成!
轉載於:https://blog.51cto.com/lzy821218/429558