域控制器修复过程.doc

域控制器修复过程 第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象 　　通过重新安装进行恢复的步骤和创建新DC的步骤相同。要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory站点中； 　　清理操作如下所述。步骤2和步骤3是在阅读本文时假设您已具备的知识。有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。清除操作与新DC的名称是否与故障计算机的名称相同有关。 如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象： 1. 在命令行中，键入ntdsutil。 2. 在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。 3. 现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。 4. 在metadata cleanup提示符下键入connections，然后按Enter键。 5. 键入connect to server <服务器名>，然后按Enter键。其中<服务器名>是从其上清除元数据的DC（同一域中的任何工作正常的DC）。 6. 键入quit，然后按Enter键。将返回元数据清除菜单。 7. 键入select operation target，然后按Enter键。 8. 键入list domains，然后按Enter键。将列出目录林中所有的域，其中每一个域都和一个编号相关联。 9. 键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。 10. 键入list sites，然后按Enter键。 11. 键入select site <编号>，然后按Enter键，其中 <编号> 是指该DC 所在站点的编号。 12. 键入list servers in site，然后按Enter键。将列出该站点中所有的服务器，其中每一个服务器都有一个对应的编号。 13. 键入select server <编号>，然后按Enter键，其中 <编号> 是指要删除的DC。 14. 键入quit，然后按Enter键。将显示元数据清除菜单。 15. 键入remove selected server，然后按Enter键。 此时，应出现一条说明该DC已成功删除的确认信息。如果接收到一个错误，指出没有找到该对象，则可能该对象已经从Active Directory中删除了。 16. 键入quit，然后重复按Enter键，以返回到命令提示符。 　　注意 由于此过程需要修改配置命名上下文，所以此操作需要企业管理员权限。 　　如果新的DC名称与故障DC的名称不同，则应该执行以下附加步骤： 　　从站点和服务管理单元中删除故障服务器对象： 1. 打开站点和服务管理单元。 2. 选择适当的站点。 3.  删除与故障 DC 相关联的服务器对象。 　　从用户和计算机管理单元中删除故障计算机的帐户： 4. 打开用户和计算机管理单元。 5.  选择域控制器容器。 6.  删除与故障DC相关联的计算机对象。 　　警告 如果新计算机的名称与故障计算机的名称相同，请不要执行上述附加步骤。确保问题不是由硬件故障引起的。如果不更换故障硬件，则通过重新安装进行还原的方法会无济于事。 第二步，从站点和服务管理单元中删除故障服务器对象时，出现无法删除DSA对象处理 症状 　　如果您尝试在“Active Directory 用户和计算机”中删除域控制器的计算机帐户，您可能会收到以下错误消息： 　　Error:DSA object cannot be deleted（错误：无法删除DSA对象） 　　如果在您通过在域控制器上运行 dcpromo 进程以将其降级之后删除该计算机帐户，就会发生此问题。 原因 　　若 UserAccountControl 的值设置为 8192，则会发生此问题。 解决方案 　　要解决此问题，请把 UserAccountControl 值更改为 4096。 备注：只有在下列任一情况属实时才可以使用此解决办法： 　　您已在域控制器上运行 dcpromo 工具将其降级。 　　计算机硬件发生故障，您使用 ntdsutil 进程清除了帐户元数据，然后从“Active Directory 站点和服务”中删除了帐户，但您仍不能删除该计算机帐户。 　　单击开始，指向程序，指向 Windows 2000 支持工具，指向工具，然后单击 ADSI 编辑。 　　展开Domain NC，展开dc=domain,dc=com，然后展开ou=domain controllers。 　　右键单击此计算机域控制器的名称，然后单击属性。 　　在属性选项卡上，将 “Select which properties to view”（选择查看哪些属性）列表框中的两个属性都选中。 　　在 “Select a property to view”（选择一个要查看的属性）列表框中，选择 UserAccountControl。 　　在属性值下，查看其值。使其值为 4096 以向该计算机帐户赋予成员服务器身份，以便能够删除它。 　　在编辑属性框中键入 4096。 单击设置按钮。单击应用，然后单击确定。退出“ADSI 编辑”。 　　注：上述处理后如果还不能删除，就直接用ADSI 编辑器删除相应对象 第三步，在另一台服务器上安装全新操作系统，运行DCpromo.exe（AD 安装工具），以将此计算机提升为域控制器角色 验证另一台服务器 上的 DNS 名称解析 　　验证第一个域控制器后，请使用下列步骤来验证第二个服务器上的 DNS 名称解析。 1. 以“管理员”身份登录另一台服务器。 2. 在 另一台服务器 上打开一个命令提示符。 3. 键入 nslookup pipeline- 然后按 ENTER 键。您将看到下面的结果： 4. C:\>nslookup pipeline- 5. Server:swpp-1. pipeline- 6. Address: xxx.xxx.xxx.xxx 7. 8. Name: pipeline- 9. Address: xxx.xxx.xxx.xxx 　　如果没有看到成功的名称解析（即响应中的第二个信息集），则请检查另一台服务器上的 IP 设置，以确认它的首选 DNS 服务器是 原域控制器服务器的IP。Nslookup 首先告诉您哪个服务器在提供 Nslookup 响应，然后再提供找到的信息。通过检查 DNS MMC 正向搜索区域中的 pipeline-记录，验证 原域控制器服务器 的DNS 服务器上的 DNS 记录。直到 DNS 能正常运行后，才可继续。 在另一台服务器上运行 DCPROMO 　　完成验证 DNS 名称解析后，请使用下列步骤，将服务器提升为域控制器： 1. 单击“开始”、“运行”，键入 dcpromo，然后按 ENTER 键。 2. 单击“下一步”。 3. 选择“现存域的其他域控制器”，然后单击“下一步”。 4. 输入pipeline- 域的 Enterprise Administrator 凭据，并输入 pipeline- 作为域名，然后单击“下一步”。 5. 输入pipeline- 作为“域名”，然后单击“下一步”。 6. 按如果您只有一个物理磁盘，请单击“下一步”以接受数据库和日志文件的默认位置。否则，请指定想要的文件位置。 7. 单击“下一步”以接受默认的 SYSVOL 文件夹位置。 8. 输入此服务器的“目录服务还原模式管理员密码”，然后单击“下一步”。 9. 查看设置，然后单击“下一步”以开始 Active Directory 安装向导 (Dcpromo.exe) 配置过程。 10. 单击“完成”。 11. 出现提示后单击“立即重新启动”。 验证另一台服务器名称注册 　　若要验证另一台服务器，请按下列步骤操作： 1. 重新启动后，请以“管理员”身份登录。 2. 单击“开始”、“程序”、“管理工具”、“DNS”。展开 pipeline-域，并验证新域控制器的记录在 pipeline-“正向搜索区域”中注册的_msdcs、_sites、_tcp、_udp子域中可见。如果它们在DNS控制台中不可见，重新启动 NETLOGON 将启动记录注册。 3. 验证“反向搜索区域”已经复制。 将域操作主机角色移到 另一台服务器 　　原域控制器服务器 是全局编录服务器，建议不要让此服务器上同时具有 RID 主机、PDC 模拟器或基础结构主机操作主机角色。因此，此过程提供将这些角色移到另一台服务器所需的必要步骤。 　　若要将操作主机角色移到另一台服务器，请按下列步骤操作： 1. 启动“Active Directory 用户和计算机”。 2. 用鼠标右键单击“Active Directory 用户和计算机”树的顶层。 3. 选择“连接到域控制器”。 4. 从列表上选择“另一台服务器”，然后单击“确定”。 5. 用鼠标右键单击pipeline-域，然后选择“操作主机”。 默认情况下会显示RID主机角色，请选择“更改”。 6. 单击“是”以确认转移。 7. 单击“确定”。 　　重复上述步骤，完成 PDC 模拟器和基础结构主机操作主机转移。 第四步，在升级域控制器过程中提示“未能修改机器帐户 XXXX$ 的必需属性,访问被拒绝。”处理 解决方案 　　要解决该问题，可以使用 Administrators 组中的帐户，或者将合适的帐户添加到 Administrators 组中。 要将该权利授予其它用户或组： 在组策略对象中设置委派权限  1.  在 Active Directory 用户和计算机管理单元中，编辑域控制器组织单元上的默认域控制器策略。 2. 双击计算机配置、Windows 设置、安全设置、本地策略，然后是用户权利指派。 3.  在使用计算机和用户帐户能够被信任进行委派操作下，添加合适的帐户或组。 4. 使用如下某种方法应用策略： · 在提示符下，键入secedit/refreshpolicy machine_policy /enforce。 · 在站点和服务管理单元(Dssite.msc) 中，使用立即复制副本功能，强制在域中执行从更改策略的域控制器到其它域控制器的复制操作。