試驗(yàn)：DNS重建+Active Directory災(zāi)難恢復(fù)

網(wǎng)絡(luò)拓?fù)洌?/p>

內(nèi)網(wǎng)有3臺(tái)域控制器，分別為一臺(tái)為主域控制器,，其余二臺(tái)是額外域控制器,DNS服務(wù)器是在主域控制器上,，現(xiàn)在主域控制器與其他二臺(tái)額外域控制器連接不上。如圖

試驗(yàn)1： DNS重建

思路：由于DNS上存有域控制器的主機(jī)名稱,，IP地址及所扮演的角色等數(shù)據(jù),，所以在轉(zhuǎn)移操作主機(jī)前，要重建DNS,，添加主機(jī)記錄,，把剩余兩臺(tái)域控制器的NETLOGON.DNS文件內(nèi)的DNS備份復(fù)制到新建的DNS文件中（要先停止DNS，在保存修改的內(nèi)容）,。

過程：因原DNS服務(wù)器已丟失,，所以可以在FLORENCE和PERTH中任選一臺(tái)DC作為DNS服務(wù)器，這里我選用florence作為DNS服務(wù)器,。（在這里注意把設(shè)置ip里的DNS指向florence的IP）
1.安裝DNS，在開始--設(shè)置--控制面板里打開添加或刪除程序--添加windows組件--在windows組件向?qū)е羞x擇網(wǎng)絡(luò)服務(wù),，在網(wǎng)絡(luò)服務(wù)中選擇域名系統(tǒng)DNS,，

點(diǎn)確定----下一步即安裝。（在安裝過程中會(huì)提示需要系統(tǒng)盤上的文件,，所以提前準(zhǔn)備哦）

2.恢復(fù)DNS,，點(diǎn)擊開始---程序---管理工具---DNS，打開DNS服務(wù)器,，然后新建區(qū)域

在這注意在最末行我們看見了一項(xiàng)默認(rèn)打鉤的“在AD中存儲(chǔ)區(qū)域”的選項(xiàng),，我們需要去掉這個(gè)鉤后在點(diǎn)擊下一步，因?yàn)榇龝?huì)兒重建DNS需要區(qū)域文件,，我們?nèi)サ暨@個(gè)鉤,，區(qū)域文件將存貯在本地計(jì)算機(jī)，方便隨后的重建操作,。如圖

我們?nèi)サ暨@個(gè)鉤,，然后繼續(xù)下一步進(jìn)行配置，出現(xiàn)定義區(qū)域名稱向?qū)Ы缑?，我們輸入?shí)驗(yàn)域名sttest.com然后點(diǎn)擊下一步,，出現(xiàn)下圖提示

問打算將sttest.com的區(qū)域文件怎樣命名并存貯與哪里，（如果之前DNS服務(wù)器完好,，我們可以選擇使用此現(xiàn)存文件,，然后掛入之前的區(qū)域文件即可），這里由于DNS和AD安裝在一臺(tái)PC上,，而這臺(tái)PC以連接不上,，故選擇新建區(qū)域文件，同時(shí)為方便記憶，我們選擇默認(rèn)的區(qū)域文件名稱,，確認(rèn)無誤后點(diǎn)擊下一步,。

這時(shí)，向?qū)С霈F(xiàn)了提示是否允許動(dòng)態(tài)更新的界面,，這是關(guān)鍵的一步,，我們要想讓AD復(fù)制拓?fù)湔＃欢ㄒx用允許動(dòng)態(tài)更新,，因?yàn)橹挥性试S了動(dòng)態(tài)更新,，AD之間數(shù)據(jù)的變化才能及時(shí)傳遞給對(duì)方，所以我們?cè)诖隧?xiàng)一定要選用：允許安全和非安全動(dòng)態(tài)更新,，然后我們點(diǎn)擊下一步,，確認(rèn)無誤后，完成安裝,。在向DNS區(qū)域文件中導(dǎo)入各域控制器的Netlogon.dns記錄

由于之前DNS 文件的丟失,，要重建DNS服務(wù)器，必須要向DNS區(qū)域文件中導(dǎo)入各域控制器中Netlogon.dns中的SRV記錄,、Cname記錄,、A記錄和NS記錄，進(jìn)行導(dǎo)入,。

步驟：

首先在DNS服務(wù)器Florence中添加一條Perth的A記錄,，并指明Perth的IP地址：192.168.11.6， 輸入確認(rèn)無誤后點(diǎn)擊添加主機(jī),。如圖

二.添加個(gè)域NETLOGON中的各項(xiàng)記錄

在Florence上開始運(yùn)行（也可以win+R）cmd進(jìn)入命令提示符

然后輸入cd %windir%\system32\config 進(jìn)入系統(tǒng)配置目錄

然后輸入：notepad netlogon.dns打開netlogon文件

這時(shí)我們看到了這其中記載的各SRV記錄,、Cname記錄、A記錄和NS記錄,，如下圖

三. 然后全選這里的記錄然后Ctrl+C復(fù)制,，然后關(guān)閉這個(gè)文件，切換到命令提示符下,，輸入：net stop dns 先停止DNS服務(wù),，來方便我們更改DNS區(qū)域文件，接著輸入：cd %windir%\system32\dns 進(jìn)入DNS目錄,，然后我們輸入：notepad sttest.com.dns 來打開sttest.com域的區(qū)域文件,，這時(shí)我們看到了sttest.com區(qū)域文件中的內(nèi)容，這時(shí)我們?cè)谧詈笠恍蠧trl+V粘貼我們剛才復(fù)制自己的netlogon.dns文件中的所有記錄,，如圖

現(xiàn)在去Perth用剛才的方法,，命令提示符下輸入：cd %windir%\system32\config 然后輸入：notepad netlogon.dns打開netlogon文件同樣復(fù)制其中的所有內(nèi)容，然后回到Florence的sttest.com.dns文件中,，在最后一行粘貼進(jìn)去我們剛才復(fù)制Perth中netlogon.dns文件中的記錄,，然后Ctrl+S保存并Alt+F4關(guān)閉,。如下圖

注意現(xiàn)在不要保存文件，先要停止DNS服務(wù),。打開“開始”—“運(yùn)行”—“services.msc”,，回車打開服務(wù)管理器。找到“DNS Server”服務(wù),，點(diǎn)擊“停止”,，停止DNS服務(wù)如圖

然后在保存剛修改過的“sttest.com.dns”文件，回到服務(wù)管理器,，重新啟動(dòng)DNS服務(wù),。然后分別在Florence與Perth機(jī)器里重啟Netlogon服務(wù)如圖命令輸入：net stop netlogon ,服務(wù)停止后在輸入：net start netlogon開啟netlogon服務(wù)如圖

接下來我們復(fù)制拓?fù)鋪磉M(jìn)行測(cè)試DNS重建是否成功。域控制器Florence的站點(diǎn)與服務(wù),，展開Sites項(xiàng),，選擇Perth與Florence的復(fù)制鏈接，右擊選擇立即復(fù)制副本,，如下圖提示,，AD以復(fù)制了鏈接，在來選擇Florence與Perth的復(fù)制鏈接,，右擊選擇立即復(fù)制副本提示AD已復(fù)制了連接,。檢測(cè)成功，DNS重建工作到此完成如圖

試驗(yàn)2：Active Directory災(zāi)難恢復(fù)

思路：先轉(zhuǎn)移操作主機(jī)角色到新的主域控制器,，然后重建全局編錄服務(wù)器并在AD中清除報(bào)廢的主域控制器對(duì)象，最后也是檢查恢復(fù)情況的操作,，檢查重建的主域控制器于子域控制器間是否擁有正確的復(fù)制拓?fù)洳⑶夷苷?fù)制鏈接,。

過程：要轉(zhuǎn)移操作主機(jī)角色，需要用到Ntdsutil命令,，我們?cè)贔lorence的命令提示符中鍵入ntdsutil,如圖

（如果忘了該輸入什么,，那只好有必殺技“？”了,，o(∩_∩)o…哈哈）找到了輸入Roles回車,，然后如下圖

然后輸入Connections連接到一個(gè)特定域控制器如圖

輸入connect to server Florence.sttest.com如圖，提示綁定到Florence.sttest.com了如圖

然后輸入quit,，返回上級(jí)菜單如圖

上圖的拿紅色標(biāo)記的是強(qiáng)制轉(zhuǎn)移操作主機(jī)（在與主域控制器連接不上的情況下用）,，拿黃色標(biāo)記的是平穩(wěn)轉(zhuǎn)移操作主機(jī)（如果能連接到域控制器的話就用這個(gè)）。現(xiàn)在是連接不上主域控制器只能用紅色標(biāo)記的命令了,，先輸入Seize domain naming master,，轉(zhuǎn)移域角色。如圖

這時(shí)當(dāng)我們點(diǎn)擊確認(rèn)是后,，會(huì)出現(xiàn)一個(gè)錯(cuò)誤報(bào)告,，如下圖

（這是正常的,，微軟設(shè)置雖然用的是強(qiáng)制轉(zhuǎn)移主機(jī)但是還是先嘗試安全傳送操作主機(jī)，如果連接不上的話,，才用強(qiáng)制轉(zhuǎn)移,。）

繼續(xù)執(zhí)行 以下4個(gè)命令來占用其他4個(gè)操作主機(jī)角色

Seize domain naming master

Seize PDC

Seize RID master

Seize infrastructure master

每個(gè)命令執(zhí)行完畢，都會(huì)出現(xiàn)確認(rèn)對(duì)話框及已成功占有角色的提示如圖

26-34圖

提示傳送成功,。 至此,，操作主機(jī)各角色轉(zhuǎn)移完成，輸入quit退出ntdsutil操作如圖

提示傳送成功,。 至此,，操作主機(jī)各角色轉(zhuǎn)移完成，輸入quit退出ntdsutil操作如圖

接著去Florence中查看操作主機(jī)是否如我們所愿,，成為了Florence請(qǐng)看下圖

Firenze成為了操作主機(jī),，至此操作主機(jī)角色轉(zhuǎn)移工作至此完成，接下來進(jìn)行全局編錄服務(wù)器重建,。依然在FLORENCE這臺(tái)域控制器上進(jìn)行操作,。開始—管理工具—Active Directory 站點(diǎn)和服務(wù)，展開Florence—右擊NTDS Settings—屬性—勾選全局編錄,。如圖

此時(shí),，只要重新啟動(dòng)firenze這臺(tái)域控制器，DNS就會(huì)自動(dòng)創(chuàng)建GC記錄,，這時(shí)DNS就有了完整的SRV記錄,。

AD中清除報(bào)廢的主域控制器對(duì)象，F(xiàn)irenze原來是主域控制器,，所以要在AD用戶和計(jì)算機(jī)中刪除域控制器組內(nèi)的Firenze,，開始—程序—管理工具—Active Directory用戶和計(jì)算機(jī)—打開sttest.com目錄—選中DomainControllers—右擊Firenze點(diǎn)刪除

在彈出的確認(rèn)對(duì)話框中點(diǎn)擊“確定”，會(huì)彈出一個(gè)刪除域控制器原因描述的對(duì)話框,，這里我們選擇“這臺(tái)域控制器永遠(yuǎn)為脫機(jī)并且不能在用Active Directory安裝向?qū)⑵浣涤?#8221;,，然后點(diǎn)擊刪除即可在AD用戶和計(jì)算機(jī)去除Florence對(duì)象。如圖

點(diǎn)擊是,，僅這樣刪除還是不能夠完全刪除Florence對(duì)象,，還需在“Active Directory站點(diǎn)和服務(wù)”中刪除連接。

開始—程序—管理工具—Active Directory站點(diǎn)和服務(wù)—點(diǎn)開sites目錄—Default –first-site-name—點(diǎn)開Servers—Firenze—右擊NTDS settings,，選擇刪除如圖

這時(shí),，問你要選擇怎樣的刪除操作，我們選擇最后一項(xiàng),，將Florence降級(jí)并永久脫離使用,，確認(rèn)后點(diǎn)擊刪除。下圖

如上圖,，F(xiàn)lorence中的Firenze對(duì)象清除完畢,。

檢查復(fù)制拓?fù)?，確保兩站點(diǎn)可以正常復(fù)制，開始—程序—管理工具—Active Directory站點(diǎn)和服務(wù)—點(diǎn)開sites目錄—Default –first-site-name—點(diǎn)開Servers—perth服務(wù)器—NTDS settings—右擊鏈接,，選擇立即復(fù)制副本,，當(dāng)出現(xiàn)Active Directory 已經(jīng)復(fù)制了連接對(duì)話框時(shí)，表明Perth可以正常的從復(fù)制,。

至此,，Active Directory災(zāi)難恢復(fù)的網(wǎng)絡(luò)拓?fù)渲亟ǖ酱酥亟ㄍ瓿桑?/p>