AD灾难恢复

情况一：主域控完全当机，不可能回来了，在额域控上使用seize 强制夺取过来。

  情况二：主域控和额域控都是好的，想更新主控服务器，在额域控上使用transfer转移角色（GUI界面操作也可）

  注意，情况一的主域控（如果运气好回来了）要重装系统，且在额域控上要删除主域控的信息（后面有介绍）

 

  首先的了解的知识（基本知识）：

 

FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:

　　单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。

　　多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

　　既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:

　　1、 森林级别(即一个森林只存在一台DC有这个角色):

　　(1)、Schema Master中文翻译成:  架构主控

　　(2)、Domain Naming Master中文翻译成:  域命名主控

　　2、 域级别(即一个域里面只存一台DC有这个角色):

　　(1)、PDC Emulator 中文翻译成:  PDC仿真器

　　(2)、RID Master 中文翻译成:  RID主控

　　(3)、Infrastructure Master 中文翻译成:  基础架构主控

 

 

 

 

 

一、接下来就来说明一下这五种角色空间有什么作用:

　　1、 Schema Maste

　　用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

　　2、 建议:在占有Schema Maste的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchnage或LCS之类的软件时会出错。

　　3、 Domain Naming Master

　　这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。

　　4、 建议:对占有Domain Naming Master的域控制器同样不需要高性能，我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的，否则就没有办法添加删除森里的域了。

　　5、 PDC Emulator

　　在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是以下操作:

　　⑴、处理密码验证要求;

　　在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。

　　⑵、统一域内的时间;

　　微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

　　⑶、向域内的NT4 BDC提供复制数据源;

　　对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。

　　⑷、统一修改组策略的模板;

　　⑸、对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持;

　　对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象!

　　建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。

 

 

 

4、RID Master

　　在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

　　建议:对于占有RID Master的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了，当然高可用性是必不可少的，否则就没有办法添加用户了。

　　5、 Infrastructure Master

　　FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

　　建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下，Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。

　　

 

 

 

 

 

二、在说完FSMO五种角色的作用以后，我们如何知道这五种角色在网络中的分布情况呢?

　　对于新建的网络，这五种角色都集中在森林中的第一台域控制器上，但是如果是别人已经建好的网络，比如我们去接手一些网络的时候，很可能这五种角色已经被转移到其它的域控制器上了。这时我们可以通过三种方法来知道，分别是GUI介面，命令行及脚本:

　　1、 GUI介面:

　　GUI介面下不能一次性获得五种角色的分布，

　　⑴、Schema Maste

　　点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车: 然后点击“确定”。

再点击“开始-运行”，输入:“MMC”，回车，进入控制台，. 点击“文件-添加删除管理单元” 点击“添加”:  选中图中有“Active Directory架构”，点击“添加”，然后点“关闭”:

 

然后点击“确定”，在控制台上选中“Active Directory架构”击“右键”，选择“操作主机”  就可以看到当前的架构主控了，

 

⑵、RID Master、Infrastructure Master、PDC Emulator

　　点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”  在域名上单击右键:  在出来的菜单中选择“操作主机”:  在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。

 

⑶、Domain Naming Master

　　点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:   在“Active Directory域和信任关系”上击右键:   选择“操作主机”:   这就是“Domain Naming Master”所在的域控制器。

 

以上就是用GUI来查看FSMO五种角色的分布情况，用GUI介面不但可以查看，还可以随意的改变这五种角色的分布情况，但缺点是比较麻烦，需要较多的操作项目，如果仅仅是查看就比较的浪费时间。

 

2、 命令行工具:

　　首先你要安装Support Tools，在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后，点击“开始-程序-Windows Support Tools-Command Prompt”:  然后运行“netdom”命令，在这里，运行的是:“netdom query fsmo”:

马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。

 

 

3、 脚本。(略)。

 

三、最后来看一下FSMO的规划，在规划时，请大家按以下原则进行:

　　1、占有Domain Naming Master角色的域控制器必须同时也是GC;

　　2、不能把Infrastructure Master和GC放在同一台DC上;

　　3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

　　4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

　　5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

　　6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

 

 

                                                      FSMO

 

首先：要清楚什么样的情况下，我们需要强夺FSMO，只有当操作主机不能用的时候才考虑强占，比如：在一个域环境中有一台主DC和一台额外DC，当主DC坏掉了，但几乎所有的角色都在这台主DC上的时候，那么只有使用额外DC去强占主DC担当的角色。如果当2台DC都是可用的情况下，只是为了分担，减轻主DC的负荷，想把某些FSMO放到额外DC上的话，那么可以使用转移。（当然，在你使用强夺的时候，它会自动去尝试使用转移的方法，只有当转移操作失败后，才进行抢夺。所以，你这时候用强夺，其实会自动使用转移操作，一样可以成功）

 

下面我就使用命令的方式来演示：FSMO的抢夺

（例：一台主DC，一台额外DC）

第一步：查看FSMO角色所在的位置（即.FSMO的角色在那台DC上），有3中方法查看FSMO，这里我使用命令去查看（要使用命令查看，必须去装supper tools 这个工具，在安装光盘上有）

 >netdom query fsmo

 

第二步：连接到想要强占的DC上，使用如下的命令！

>ntdsutil

Ntdsutil: roles

Fsmo maintenance: con

Server connections: con to ser 主机名

 

>

第三步：强占master

Server connections :  quit

Fsmo maintenance :  seize pdc

Fsmo maintenance :  seize domain naming master

Fsmo maintenance :  seize  infrastructure master

Fsmo maintenance :  seize  rid master

Fsmo maintenance :  seize   schema master

 

敲入命令后都会弹出一个对话框，按确定就会执行强占

到此，FSMO的强占和转移操作完毕！！！

为了更好理解为什么要进行FSMO的强占和转移，我下面简单说几个东西：

如果 domain naming master角色的DC不可用，那么想在现有的森林中添加一个域是不可能的

SCHEMA MASTER上面已经提到啦

RID master 是负责安全值的一个角色，每一个被创建的用户都有一个不同于其他用户的安全码，如果RID不可用，就不能保证每个用户安全码的唯一性，那么有可能不用用户会拥有同样的权利和权限。

infrastructure master主要用来更新组和成员列表，上面也提到了，在这里也就不多说拉，

这里我只说了FSMO角色的某一些功能和作用，还有很多很多的方面没说到，我只想告诉大家的是FSMO角色的重要性，只要你知道FSMO是如此重要，就应该去保证它的可用对它有深的认识。

当你的DC宕机了，或者你在域中安装了新的DC，或买了新的服务器想转移DC，那么你就必须考虑到AD中的FSMO这些角色，如果不去转移DC的FSMO就把一台主DC卸载掉，那么在以后你做某些事情的时候就会出现很多问题

转移FSMO或强占FSMO，是当域控制器坏的时候你必须做的一个操作，是一个非常重要操作！

 

 

 

1．     用ntdsutil来清除无效的DC信息！

假如你的备份域为abc.mstc.com 主域为ctu.mstc.com,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令：

C:\>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服务器的对象

metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文

select operation target: connections - 连接到一个特定域控制器

server connections: connect to server ctu.mstc.com --绑定到 ctu.

用本登录的用户的凭证连接 ctu。

server connections: quit - 返回上一层目录

select operation target: list site - 在企业中列出站点(找到1个站点，标识为0)

找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

select operation target: select site 0 - 将标识为 0 的站点定为所选站点

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

没有当前域

没有当前服务器

当前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域

找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 将标识为 0 的域定为所选域

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

域 - DC= mstc,DC=com

没有当前服务器

当前的命名上下文

select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：0-abc.mstc.com；1-ctu. mstc.com)

找到 2 服务器

0-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

1-CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

select operation target: select server 0 - 将标识为 0 的服务器（abc）定为所选服务器——也就是要删除的DC

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC= mstc,DC=com

服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主机名称 - abc.mstc.com

计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

当前的命名上下文

select operation target: quit - 返回上一层目录

metadata cleanup: remove select server - 从所选服务器上删除 DS 对象

在弹出的对话提示框上选择“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了，从服务器“ctu”

现在，abc.mstc.com这个Dc对象就在你的AD里消失了.

2．用ntdsutil来转移fsmo五种角色。

当您运行Dcpromo.exe 程序并安装 AD 时，将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO角色是目录林范围的，另外三个是域范围的。如果创建了子域，两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个FSMO；其中两个是目录林范围的角色，每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机，Domainnaming master-域命名主机，Rid master-rid主机，pdc master-pdc防真器，InfrastructureMaster-结构主机。想要把这几种角色移动到另一台计算机上有2种方法，一种是转移，但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态只能用第二种方法，使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上，请在装有supporttools工具新的域控或备份域控上执行如下命令：首先在CMD下运行

netdom query /d:域名 fsmo

查看一下当前哪些角色在哪台服务器上，

然后在CMD下运行　

"ntdsutil"如果不知道命令怎么写，可以输入？得到帮助提示，

"roles"　

"connections"　

"connect to server 服务器名"　绑定一台当前在线的DC

当连接成功后输入 q　退出

回到上一层（roles）准备做角色迁移

"Seize schema master"

"Seize domain naming master"

"Seize RID master"

"Seize PDC"

"Seize infrastructure master"

以上五个命令，分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。

完成后再次回到CMD下执行"netdom query /d:域名 fsmo"，检查角色是否已被迁移

在“常规”选项卡上，找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。

 

 

 

 

http://blogs.itecn.net/blogs/haohan/default.aspx 很经典的FSMO AD解说

 

Seize AD Fsmo Test

在AD Fsmo 角色转变过程中，我们都建议尽量使用 transfer，而不是 seize 。

       但有时还是会在无法正常 transfer 时，而使用 seize 。

       我们知道在执行 seize 时，原承担Fsmo角色的那台Server，应该是处于宕机或离线状态，方能成功 seize。

       并且当 seize 之后，原承担Fsmo角色的Server，应该重装操作系统，彻底放弃原Server的任何身份角色，并在现有DC上删除原Fsmo角色Server的垃圾数据。

       如果，如果，我们不小心，将本该重装的那台Server，在没有重装的前提下又重新连入当前Domain，会是什么情况呢？我现在就呈现给大家－－－

实验环境介绍：

       两台DC，DC1为根DC ，承担着Fsmo角色；DC2为辅助DC。分别运行着Windows server 2003 sp2、DNS。

       虚机使用VPC2007。

实验步骤：

1、在虚机中将DC1暂停，那么此时DC2将无法联系DC1，开始使用 seize 进行抢夺Fsmo角色。

2、在DC2获得Fsmo角色后，重新启动DC2；DC2进入系统后，将虚机DC1从暂停状态改变为启动状态，DC1连入网络后并未报错，此时将DC1重新启动。

3、DC1进入系统后，分别从两台DC上查看Fsmo角色所属，均为DC2，目前判断 seize 操作结果正常。

4、停止操作，观察两台DC运行状况，2小时后一切正常，未报告事件错误。

5、对上述操作反向执行：将DC2暂停，操作DC1执行 seize 后，再观察DC运行情况，未发现报错。

实验总结：

       在虚拟环境中，如此操作并未造成ＡＤ失效，Ｆｓｍｏ角色的转变能够通知ＤＣ，并更新自身所属角色。

       生产环境中不建议如此操作。切记。