Що потрібно зробити після виходу з ладу контролера домену?

20

Якщо припустити, що в домені були принаймні два контролери домену, які кроки потрібно вжити, щоб зробити Active Directory здоровим після виходу з ладу контролера домену?

active-directory  domain-controller 
Nic
джерело
Як ви визначаєте "Збито"? Це просто BSOD, або він зовсім мертвий?
Марк Хендерсон
Повністю мертвий. У моєму випадку і джерело живлення, і материнська плата не вдалися.
Нік
Я вважав цю статтю також дуже корисною. funkytechguy.blogspot.co.za/2016/06/…

Відповіді:

32

Крок 0: Принаймні два контролери домену .
Якщо у вас є лише один контролер домену, і він виходить з ладу таким чином, що ви не можете його відновити, то ваш домен більше не існує; ваш єдиний варіант - створити абсолютно новий домен. Це болісний процес, який включає відтворення користувачів, відновлення клієнтських комп'ютерів та серверів і навіть відтворення всіх налаштувань безпеки, які ви коли-небудь використовували.

Якщо сервер абсолютно не піддається реконструкції, наприклад, через збій обладнання, який неможливо легко відремонтувати, то ось, як інакше вдатися до очищення його з домену. Після того, як ролі FSMO були вилучені, дуже важливо, щоб старий сервер ніколи не повертався в Інтернет. Серйозно подумайте про протирання жорстких дисків, щоб гарантувати, що цього ніколи не може відбутися.

  1. Визначте, які сервери виконували ролі FSMO (гнучкий Single Master Operations) для домену та лісу. Microsoft має чудову статтю про пошук ролей FSMO .

  2. Будь-які ролі FSMO, які виконував збійний сервер, повинні бути захоплені на здоровому контролері домену. Ще одна стаття Microsoft для цієї.

  3. Роль FSMO "Інфраструктура" є особливою і фактично вказана для кожного розділу додатків. Якщо збитий сервер, що містить DNS, вам потрібно буде перевірити, що запис у кожному розділі програми (DomainDnsZones, ForestDnsZones) був оновлений. Краще пояснення тут і офіційне виправлення тут .

  4. Виконайте очищення метаданих, щоб видалити залишки з Active Directory. Видалення вимерлих метаданих сервера .

  5. Перевірте "Користувачі та комп’ютери Active Directory" та "Сайти та послуги Active Directory", щоб переконатися, що всі записи на вимерлому сервері були видалені.

  6. Перевірте DNS, щоб знайти будь-які статичні записи, пов’язані з вимерлим сервером, і видалити їх, перепризначити їх або поставити новий сервер за тією ж адресою.

  7. Якщо сервер, який вийшов з ладу, був авторизованим сервером DHCP, перевірте, чи він все ще вказаний як авторизований сервер. Якщо так, вам може знадобитися скористатися редакцією ADSI, щоб видалити його зі списку коренів DHCP.

(Редагувати 2010-03-14: Додано коментар Graeme про крок 0)

Nic
джерело
Мені довелося з’ясувати все це важким шляхом, тому, сподіваюся, це може допомогти комусь іншому, хто опинився в моєму становищі.
Нік
Звучить як шалений вихідний, але дякую, що поділився чудовим контрольним списком.
Гомібуші
На жаль, я занадто знайомий з цими кроками ...
5
+1, це чудова відповідь. Ви майже все охопили. Я додав би "Крок 0" для тих, хто не мав справи з цим .... "Завжди мати принаймні 2 постійних струму". Страшно, скільки середовищ там тільки з одним.
ThatGraemeGuy
1
+1 для відповіді, а також відгук на коментар Graeme - навіть якщо це щось, що слід сприймати як належне, воно також повинно бути висвітлене.
Максим Мінімус
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.