本实验讲述的是在多域控制器的环境下,主域控制器由于硬件故障突然损坏,而事先又没有做好主域控制器的备份,如何使额外域控制器接替它的工作,从而使Active Directory 正常运行,等待硬件修理好之后,在恢复主域控制器的职能。
在实验之前,我先来介绍FSMO角色,也就是AD定义的五种操作角色
架构主机 schema master
域命名主机 domain naming master
相对标识号主机 RID master
主域控制器模拟器(PDCE)
基础结构主机 infrastructure master
而每种角色负担不同的工作,具有不同的功能:
架构主机:更新目录架构,架构主机是基于目录林的,整个目录林中只有一个架构主机
域命名主机:向目录林中添加新域,从目录林中删除现有的域,是基于目录林的,整个林中只有一个域命名主机
相对标识号主机: 负责向其他DC分配RID池,在创建用户、组和添加计算机时,将RID和域标识符结合来创建唯一的安全标识符(SID),基于域的,目录林中的不同的域都有自己的相对标识号主机
PDCE:向后兼容低级客户端和服务器,允许以前版本的域控制器加入到现有域环境中,负担密码的验证工作,时间的同步—确保目录林中的每个域的PDCE都与目录林中根域的PDCE进行同步,PDCE也是基于域的,每个域中都有自己的PDCE
基础结构主机:确保所有域间操作对象的一致性,当引用包含该对象的全局唯一标识符(GUID)、安全标识符(SID)和可分辨的名称(DN).如果被引用的对象移动,则在域中担当结构主机角色的DC会负责更新该域中跨域对象引用中的SID和DN。是基于域的,目录林中每个域都有自己的基础结构主机。
默认这五种FSMO存在于目录林中根域的第一台DC上,而子域中的相对表示号主机、PDCE、基础结构主机存在于子域中的第一台DC上。
接着上一篇域的搭建后,我们来进行主域控制器的灾难恢复.
步骤三:FSMO角色的转移
步骤四:主域控制器职能的恢复
在FSMO角色的转移之前,先让主域控制器损坏,如下图:
一 从AD中清除主域控制器Florence 对象
在Berlin上通过ntdsutil.exe工具把主域控制器Florence从AD中删除
命令为:
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain adtest.com
server connections:quit
select operation target: list sites
select operation target: select site 0
select operation target: List domains in site
select operation target: select domain 0