Что нужно сделать после сбоя контроллера домена?

20

Если предположить, что в домене было по крайней мере два контроллера домена, то какие шаги необходимо предпринять, чтобы сделать Active Directory работоспособным после сбоя контроллера домена?

active-directory  domain-controller 
Nic
источник
Как вы определяете "разбился"? Это просто BSOD, или он полностью мертв?
Марк Хендерсон
Абсолютно мертв. В моем случае и блок питания и материнская плата вышли из строя.
Nic
Я нашел эту статью очень полезной. funkytechguy.blogspot.co.za/2016/06/...

Ответы:

32

Шаг 0: иметь как минимум два контроллера домена .
Если у вас есть только один контроллер домена, и он выходит из строя таким образом, что вы не можете восстановить его, то ваш домен больше не существует; Ваш единственный вариант - создать совершенно новый домен. Это болезненный процесс, который включает воссоздание пользователей, объединение клиентских компьютеров и серверов и даже воссоздание всех настроек безопасности, которые вы когда-либо использовали.

Если сервер абсолютно невосстановим, например, из-за аппаратного сбоя, который не может быть легко восстановлен, то вот как можно полностью удалить его из домена. После того, как роли FSMO были заняты, очень важно , чтобы старый сервер никогда не возвращался в оперативный режим. Серьезно подумайте о том, чтобы стереть жесткие диски, чтобы этого никогда не произошло.

  1. Определите, какие серверы выполняли роли FSMO (Flexible Single Master Operations) для домена и леса. У Microsoft есть отличная статья о поиске ролей FSMO .

  2. Любые роли FSMO, которые выполнялись сбойным сервером, должны быть заняты на исправном контроллере домена. Еще одна статья Microsoft для этого.

  3. Роль FSMO «Инфраструктура» является особенной и фактически указывается для каждого раздела приложения. Если на сбойном сервере был DNS, вам нужно будет проверить, что запись в каждом разделе приложения (DomainDnsZones, ForestDnsZones) была обновлена. Лучшее объяснение здесь и официальное исправление здесь .

  4. Выполните очистку метаданных, чтобы удалить остатки из Active Directory. Удаление вымерших метаданных сервера .

  5. Проверьте «Пользователи и компьютеры Active Directory» и «Сайты и службы Active Directory», чтобы убедиться, что все записи для вымершего сервера удалены.

  6. Проверьте DNS, чтобы найти любые статические записи, которые были связаны с вымершим сервером, и либо удалите их, переназначьте их, либо поместите новый сервер по тому же адресу.

  7. Если аварийный сервер был авторизованным сервером DHCP, проверьте, не указан ли он как авторизованный сервер. Если да, возможно, вам придется использовать ADSI Edit, чтобы удалить его из списка корней DHCP.

(Изменить 2010-03-14: Добавлен комментарий Грэма о шаге 0)

Nic
источник
Мне пришлось все это выяснить трудным путем, так что, надеюсь, это поможет кому-то еще, кто окажется на моем месте.
Nic
Звучит как паршивые выходные, но спасибо, что поделились отличным контрольным списком.
Гомибуши
К сожалению, я слишком знаком с этими шагами ...
5
+1, это отличный ответ. Вы охватили почти все. Я бы добавил «Шаг 0» для тех, кому не приходилось сталкиваться с этим .... «Всегда иметь как минимум 2 DC». Страшно, сколько там только одной среды.
ThatGraemeGuy
1
+1 за ответ, а также ответ на комментарий Грэма - даже если это то, что следует воспринимать как должное, его также следует выделить.
Максимус Минимус
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.