修復域控制器故障

引言： 在管理AD DS域服務時，常遇到無法登錄域環境、軟件安裝失敗等情況。利用系統內置的“Ntdsutil”命令，可以有效解決上述問題。作為活動目錄數據庫管理的命令行工具，“Ntdsutil”命令主要用于維護Active Directory數據庫、管理和控制操作主機、清理Active Directory數據庫中的垃圾數據等功能。

創建額外域控制器

當域控制器出現故障但依然可用的情況下，可以先將出現故障的服務器設置為額外域控制器，而將額外域控制器升級為主域控制器。在域環境中，僅僅有一臺域控制器是不夠的，為此，可以創建一臺運行AD DS域服務，與域控制器并行的額外域控制器。在AD DS域服務器出現問題時，可以接管其Active Directory的管理工作。例如，可以在一臺Windows Server 2008獨立服務器上打開“系統屬性”窗口，在“計算機”面板中點擊“更改”按鈕，在彈出窗口中選擇“域”項，輸入域名，點擊“確定”按鈕，重啟系統，以域管理員身份登錄。

點 擊“Win+R” 鍵， 執行“Dcpromo.exe”程 序，在Directory域服務安裝向導界面中連續點擊“下一步”按鈕，在“選擇某一部署配置”窗口中選擇“向現有的域添加域控制器”項，在“下一步”窗口中的“鍵入位于計劃安裝此域控制器的林中任何域的名稱”欄中輸入域名，點擊“下一步”按鈕，在網絡憑據窗口中輸入該域的管理員和賬戶和密碼。連續點擊“下一步”按鈕，依次選擇目標域和站點項目，并根據需要選擇DNS服務器和全局編錄項目。

注意，如果部署的是只讀域控制器，則不要選擇全局編錄項目。對于部署額外控制器來說，最好選擇DNS服務器項。

根據實際的網絡規劃，來確定是否將額外控制器升級為全局編錄服務器。當部署完畢后，使用Active Directory站點和服務程序，將額外域控制器升級為全局編錄控制器。點擊“下一步”按鈕，將數據庫文件夾、日志文件、SYSVOL文件夾分別存儲到不同的磁盤中。在下一步窗口中輸入用于目錄還原模式的Administrator密碼。當然，該密碼必須符合密碼強制策略。之后連續點擊“下一步”按鈕，執行額外域控制器的安裝操作。完畢后重啟系統，完成額外控制器的部署。

將額外域控制器提升為全局邊路服務器

當發現上述故障時，以域管理員身份登錄額外域控制器，打開Active Directory站點和服務窗口，在左側點擊“Sites→Default-First-Site-Name→Servers→額外域控制器名稱”項，在右側的“NTDS Settings”項右鍵菜單上點擊“屬性”項，在“常規”面板（如圖1）的“查詢策略”列表中選擇“Default Query Policy”項，勾選“全局編錄”項。點擊“確定”按鈕保存配置信息。因為主域控制器處于可用狀態，因此打開Active Directory用戶和計算機窗口，在左側的“Active Directory用戶和計算機”項的右鍵菜單上點擊“更改域控制器”項，在彈出窗口中選擇“此域控制器或AD LDS實例”項，在列表中選擇所需的額外控制器，點擊“確定”按鈕，保存設置信息。

轉移操作主機角色

在CMD窗口中執行“ntdsutil”命令，依次執行“roles”，“connections”，“connect to server xxx.xxx.com” 命 令（如 圖 2）。連接到額外域控制器上，假 設“xxx.xxx.com”為 其名稱。執行“quit”命令，返回上級目錄。在“fsmo maintenance”提示符下執行“Transfer schema master”命令，在角色傳送確認對話框中點擊“是”按鈕，將架構主機角色轉移到額外域控制器中。執行分別執行“transfer infrastructure master”，“transfer naming master”，“transfer PDC”，“transfter RIP master”等命令，執行傳送架構主機角色、域命名主機角色、PDC主機角色、RID主機角色等操作。在CMD窗口中執行“netdom query fsmo”命令，可以查看操作主機角色部署在哪臺域控制器中。經過以上操作，原主域控制器自動降級為額外域控制器。

圖1 查看NTDS設置承諾書

圖2 運行ntdsutil命令

將原域控降為成員服務器

以管理員身份登錄該域控制器，在CMD窗口中執行“dcpromo.exe”程序，在Active Directory域服務安裝向導界面中點擊“下一步”按鈕，在彈出提示窗口中點擊“是”按鈕，在刪除域窗口中不選擇“刪除該域，因為此服務器是該域中最后一個域控制器”項，在下一步窗口中輸入該服務器上新的Administrator賬戶密碼，密碼必須包含大小寫字母和數字，長度大于7位。之后點擊“完成”按，重新啟動系統，該機將降級為成員服務器。

恢復域控制器

當登錄后按照上述方法，在系統屬性窗口中選擇“工作組”項，輸入工作組名稱（例如“WORKGROUP”），點擊確定按鈕，輸入對應的賬號名和密碼，其必須擁有從域中刪除此計算機的權限。點擊“確定”按鈕，然后重啟系統，就可以脫離域環境。之后在該機上執行重裝Windows Server 2008，并按照上述方法，提升為額外域控制器，根據需要升級為主域控制器，并利用Windows Server Backup組件來恢復之前備份的Active Directory數據庫，這樣，就可以將AD域控制器恢復到正常狀態了。

域控徹底損壞的修復方法

如果域控制器已經徹底損壞無法恢復，可以將額外域控制器直接升級為域控制器。以域管理員身份登錄到額外域控制器上，在CMD窗口執行以上命令，連接到目標域，在“fsmo maintenance：”提示符下執行“seize schema master”命令，在彈出的角色占用確認窗口中點擊“是”按鈕，執行占用架構主機角色操作。完畢后依次執行“seize infrastructure master”，“seize naming master”，“seize PDC”，“seize RIP master”命令，分別執行占用架構主機角色、域命名主機角色、PDC主機角色、RID主機角色等操作。之后按照上述方法，將額外控制器提升為全局編錄服務器，恢復管理活動目錄數據庫的功能。

清理域控制器的垃圾數據

在維護和管理Active Directory數據庫時，有時會遇到誤操作、系統故障或者硬件受損的情況，可能在Active Directory數據庫中產生垃圾數據，當在多臺域控制器之間復制數據時，將會產生一些錯誤的信息。因此，及時將Active Directory數據庫中垃圾數據清理掉，對于維護其運作是很重要的。

例如，當某臺域控制器出現損壞時，就需要從Active Directory數據庫中清除由此產生的錯誤信息。在CMD窗口中執行“Ntdsutil”命令，在“ntdsutil：”提 示符下依次執行“metadata cleanup”、“ select operation target”、“connections” 命 令，在“server connections：”提示符下執行“connect to server xx.xxx.com”命令。連接到名為“xx.xxx.com”的域控制器中。

為了順利實現連接操作，不要使用IP連接，因為這可能出現連接參數不正常的問題。在“server connections：”提示符下執 行“metadata cleanup:quit”命令，執行完畢后，在“metadata cleanup：”提示符下執行“list site”命令，顯示所有可用的站點項目。根據需要選擇發生故障的域控制器所在站點的索引號。

例 如， 執 行“select site 0”命令，表示選擇索引號為0的站點。執行“list domains”命令，顯示所有可用的域。選擇發生故障的域控制器所在域。例如執行“select domain 0”命 令，選擇索引號為0的域。執行“list servers for domain in site”命令，列出該域中所有的域控制器。

從中選擇需要清理垃圾數據的域控制器對應的索引號，例如執行“select server 1”命令，選擇索引號為1的目標域控制器。執行“quit”命令，返回上級目錄。在“metadata cleanup：”提示符下執行“remove select server”命令，在服務器刪除確認對話框中點擊“是”按鈕，對選定的發生故障的域控制器執行垃圾數據清理操作。如果清除的是Server對象，需要在Active Directory站點和服務窗口中打開目標站點，刪除對應的Server對象。在Active Directory用戶和計算機窗口中打開名為“Doamin Control”的組織單元，在其中刪除對應的域控制器對象。如果清理的是Domain對象，需要打開Active Directory域和信任關系程序，刪除對應的已經失效的信任關系。

清理安全標識符

當系統出現故障時，使用實現準備的備份文件，可以快速恢復系統。不過，這也會造成系統使用的安全標識符SID與之前的系統相同，在Active Directiry數據庫中會出現重復的SID，造成相關主機登錄失敗的情況。

SID（Securoty Identifiers，安全標識符）是系統標識用戶，組和計算機賬戶的惟一號碼。 在Windows內 部，每個賬號具有一個惟一的SID。打開注冊表編輯器，選中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList”分支，在其下可以看到所有賬戶的SID號。

清除活動目錄數據庫中重復SID的方法是，打開CMD窗口，執行“ntdsutil”命令，之后執行“security account management”命令，在“安全策略賬戶維護：”提示符下執行“connect to server xx.xxx.com”命令，連接到目標域中。依次執行“check duplicate sid”，“clean duplicate sid”命令，可以將當前活動目錄數據庫中重復的SID清理掉完。完畢后連續執行“quit”命令，退出“ntsdutil”操作界面。