none
windows server 2008 R2 裸机恢复后还要进行什么操作呢?? RRS feed

  • 问题

  • 请教各位,我有两台DC本来是做了冗余的,但由于某种原因,两台都同时崩溃了!

    比较幸运的是两台都做了裸机备份:

    1、主DC最新备份在7月;

    2、备DC最新备份在5月;

    (两台都是 Windows server 2008 R2)

    在两台都同时崩溃之后,我将两台DC都断网,分别进行了各自的裸机恢复(用安装盘进行恢复),然后同时重新接入网络。

    这时候问题出现了,首先是两台DC都不能互相复制,日志内容如下:

    /// 主 DC 的 AD 日志 --开始--///

    日志名称:          Directory Service

    来源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            2012/8/1 15:21:57
    事件 ID:         2092
    任务类别:          复制
    级别:            警告
    关键字:           经典
    用户:            ANONYMOUS LOGON
    计算机:           CTFGZS1.CTFCENTRE.COM
    描述:

    此服务器是以下 FSMO 角色的所有者,但是并不认为此角色有效。 对于包含 FSMO 的分区,自从此服务器重新启动之后,此服务器尚未与 其任何伙伴成功复制。复制错误使此角色 无法进行验证。 

    在更正此情况之前,要求与 FSMO 操作主机联系的操作 均会失败。 

    FSMO 角色: CN=RID Manager$,CN=System,DC=CTFCENTRE,DC=COM 

    用户操作: 

    1. 初始同步是系统在启动时首次完成的早期复制。初始同步失败可以解释无法验证 FSMO 角色的原因。此过程在知识库文章 305476 中介绍。 
    2. 此服务器拥有一个或多个复制伙伴,所有伙伴的复制 均失败。使用命令 repadmin /showrepl 显示复制错误。更正未决的 错误。例如,可能存在 IP 连接、DNS 名称解析或安全身份验证 等问题,导致无法成功复制。 
    3. 如果所有复制伙伴均关闭(这种情况很少见,可能是因为维护或灾难恢复),可以强制验证该角色。可以通过使用 NTDSUTIL.EXE 将角色捕获到相同服务器来实现此目的。可以按照 http://support.microsoft.com 中的知识库文章 255504 和 324801 中介绍的步骤完成此操作。 

    下列操作可能会受到影响: 
    架构: 将无法再修改此林的架构。 
    域命名: 将无法再从此林添加或删除域。 
    PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。 
    RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。 
    结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。

         

    日志名称:          Directory Service
    来源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            2012/8/1 15:21:34
    事件 ID:         2092
    任务类别:          复制
    级别:            警告
    关键字:           经典
    用户:            ANONYMOUS LOGON
    计算机:           CTFGZS1.CTFCENTRE.COM
    描述:

    此服务器是以下 FSMO 角色的所有者,但是并不认为此角色有效。 对于包含 FSMO 的分区,自从此服务器重新启动之后,此服务器尚未与 其任何伙伴成功复制。复制错误使此角色 无法进行验证。 

    在更正此情况之前,要求与 FSMO 操作主机联系的操作 均会失败。 

    FSMO 角色: DC=CTFCENTRE,DC=COM 

    用户操作: 

    1. 初始同步是系统在启动时首次完成的早期复制。初始同步失败可以解释无法验证 FSMO 角色的原因。此过程在知识库文章 305476 中介绍。 
    2. 此服务器拥有一个或多个复制伙伴,所有伙伴的复制 均失败。使用命令 repadmin /showrepl 显示复制错误。更正未决的 错误。例如,可能存在 IP 连接、DNS 名称解析或安全身份验证 等问题,导致无法成功复制。 
    3. 如果所有复制伙伴均关闭(这种情况很少见,可能是因为维护或灾难恢复),可以强制验证该角色。可以通过使用 NTDSUTIL.EXE 将角色捕获到相同服务器来实现此目的。可以按照 http://support.microsoft.com 中的知识库文章 255504 和 324801 中介绍的步骤完成此操作。 

    下列操作可能会受到影响: 
    架构: 将无法再修改此林的架构。 
    域命名: 将无法再从此林添加或删除域。 
    PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。 
    RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。 
    结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。

    /// 主 DC 的 AD 日志 --结束--///

    /// 备 DC 的 AD 日志 --开始--///

         

    日志名称:          Directory Service
    来源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            2012/8/1 15:24:25
    事件 ID:         1864
    任务类别:          复制
    级别:            错误
    关键字:           经典
    用户:            ANONYMOUS LOGON
    计算机:           CTFGZS2.CTFCENTRE.COM
    描述:
    此为该目录服务器上下列目录分区的复制状态。 

    目录分区:
    DC=ForestDnsZones,DC=CTFCENTRE,DC=COM 

    此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 

    超过 24 小时:

    超过一周:

    超过一个月:

    超过两个月:

    超过 tombstone 生存时间:

    Tombstone 生存时间(天):
    180 

    没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。 

    若要使用名称识别目录服务器,请使用 dcdiag.exe 工具。 
    也可以使用支持工具 repadmin.exe 来显示目录服务器的 复制延迟。命令是 "repadmin /showvector /latency <partition-dn>"。

    日志名称:          Directory Service
    来源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            2012/8/1 15:24:25
    事件 ID:         2093
    任务类别:          复制
    级别:            警告
    关键字:           经典
    用户:            ANONYMOUS LOGON
    计算机:           CTFGZS2.CTFCENTRE.COM
    描述:

    作为 FSMO 角色所有者的远程服务器没有响应。此服务器最近未与 FSMO 角色所有者 进行复制。 
     
    在更正此情况之前,要求与 FSMO 操作主机联系的操作 均会失败。 
     
    FSMO 角色: CN=Schema,CN=Configuration,DC=CTFCENTRE,DC=COM 
    FSMO 服务器 DN: CN=NTDS Settings,CN=CTFGZS1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=CTFCENTRE,DC=COM 
    延迟阈值(小时): 24 
    上次成功复制后已过去的时间(小时): 1694 
     
    用户操作: 
     
    此服务器尚未与拥有 FSMO 角色的服务器成功进行复制。 
    1. 拥有 FSMO 角色的服务器可能已关闭或没有响应。请解决此服务器 的问题。 
    2. 确定是否已在拥有 FSMO 角色的服务器上正确设置该角色。如果需要调整该角色,请使用 NTDSUTIL.EXE 转移或获取角色。可以按照 http://support.microsoft.com 中的知识库文章 255504 和 324801 中提供的步骤完成此操作。 
    3. 如果拥有 FSMO 角色的服务器曾作为域控制器使用,但是未成功降级, 则代表该服务器 的对象将仍处于林中。如果域控制器重新安装了操作系统  或强制执行删除,则可能会发生这种情况。这些延迟状态对象 应使用 NTDSUTIL.EXE 元数据清理功能删除。 
    4. FSMO 角色拥有者可能不是直接复制伙伴。如果是间接或 可传递的伙伴,则复制数据必须经过一个或多个 中间复制伙伴。端到端的总复制延迟应小于 复制延迟阈值,否则可能会提前报告此警告。 
    5. 在拥有 FSMO 角色的服务器到此服务器的服务器路径上,某个位置 阻止了复制。请参阅林拓扑计划,确定两台服务器之间 可能的复制路由。在每台服务器上使用 repadmin /showrepl  检查复制的状态。 
     
    下列操作可能会受到影响: 
    架构: 将无法再修改此林的架构。 
    域命名: 将无法再从此林添加或删除域。 
    PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。 
    RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。 
    结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。

    /// 备 DC 的 AD 日志 --结束--///

    正如日志所描述,现在的情况是:

    1、两台DC不能复制,不能新建用户,PC不能加入域、客户端组策略不能更新(gpupdate /force);

    2、两台DC能互相PING通,用计算机名称也能PING通,DHCP可用、共享打印可用、共享可用、WSUS可用。

    3、裸机恢复发现上述情况后不敢乱动,所以一直保持这个况态,未做任何操作。

    问题:

    这种情况应如何解决?是否裸机恢复后有什么操作未完成?接下来我可以怎么做?按日志所指示的方法操作行得通吗?

    最低期望值:

    由于备DC只作为冗余和文件共享,重要性较低,所以我盘算着如果确实不能两台都回复正常,能否至少恢复主DC,然后重做备DC冗余?具体流程应如何操作,请各位多多指导呀!谢谢!!


    • 已编辑 liang_19 2012年8月3日 18:05 标题打少了单词
    2012年8月3日 17:42

答案

  • 主DC用备份恢复,备DC就不用恢复了,直接重装系统然后dcpromo吧

    2012年8月4日 16:43
  • 已经基本解决了,大概过程写下来作备忘吧

    如“aandc”所说,断开两台机,还原主DC,首先用“ntdsutil”命令,将在主DC上的备DC数据清除,然后在主DC上进行捕获FSMO,

    最后重装备DC OS,dcpromo重做DC冗余。

    现在刚做好,还未发现问题,做法不确定是否正确,有待观查。

    • 已标记为答案 liang_19 2012年8月11日 6:39
    2012年8月11日 6:39

全部回复

  • 主DC用备份恢复,备DC就不用恢复了,直接重装系统然后dcpromo吧

    2012年8月4日 16:43
  • 我现在也是这样想,但问题是,主DC备份恢复后就不能添加域用户了,PC加入域也不行,请问是否在主DC恢复后要进行获取FSMO和删除备DC的数据操作呢?
    2012年8月5日 8:14
  • 已经基本解决了,大概过程写下来作备忘吧

    如“aandc”所说,断开两台机,还原主DC,首先用“ntdsutil”命令,将在主DC上的备DC数据清除,然后在主DC上进行捕获FSMO,

    最后重装备DC OS,dcpromo重做DC冗余。

    现在刚做好,还未发现问题,做法不确定是否正确,有待观查。

    • 已标记为答案 liang_19 2012年8月11日 6:39
    2012年8月11日 6:39