(active directory)域故障解決實(shí)例(二)

1、Q18、如何清理、如何清理AD數(shù)據(jù)庫中的垃圾對(duì)象。數(shù)據(jù)庫中的垃圾對(duì)象。如果我們非正常卸載如果我們非正常卸載AD子域、子域、DC等，就會(huì)在等，就會(huì)在AD元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD卸載就把卸載就把DC計(jì)算機(jī)的系統(tǒng)重做了。這些垃圾對(duì)象一般來講無礙大局，但如果我們想優(yōu)化計(jì)算機(jī)的系統(tǒng)重做了。這些垃圾對(duì)象一般來講無礙大局，但如果我們想優(yōu)化AD的性能，不想給的性能，不想給用戶帶來不

2、必要的麻煩（比如用戶選擇登錄到已經(jīng)不存在的子域）用戶帶來不必要的麻煩（比如用戶選擇登錄到已經(jīng)不存在的子域），就可以利用，就可以利用ntdsutil工具進(jìn)行元數(shù)據(jù)庫清工具進(jìn)行元數(shù)據(jù)庫清理（理（metadatacleanup），來刪除垃圾對(duì)象。具體操作如下：，來刪除垃圾對(duì)象。具體操作如下：1、開始、開始運(yùn)行：運(yùn)行：cmd，在命令行下鍵入，在命令行下鍵入ntdsutil。說明：說明：（1）直接，開始）直接，開始運(yùn)行：運(yùn)行：ntdsutil，也

3、可以。，也可以。（2）進(jìn)行元數(shù)據(jù)庫清理，不要進(jìn)到目錄恢復(fù)模式下。）進(jìn)行元數(shù)據(jù)庫清理，不要進(jìn)到目錄恢復(fù)模式下。（3）進(jìn)行元數(shù)據(jù)庫清理，可以在非）進(jìn)行元數(shù)據(jù)庫清理，可以在非DC的2000XP03計(jì)算機(jī)上進(jìn)行。但有些操作（如使用計(jì)算機(jī)上進(jìn)行。但有些操作（如使用ntdsutil工具工具進(jìn)行授權(quán)恢復(fù)、整理移動(dòng)進(jìn)行授權(quán)恢復(fù)、整理移動(dòng)AD庫文件）必須在庫文件）必須在DC上進(jìn)行。上進(jìn)行。（4）在）在ntdsutil的每級(jí)菜單下都可以通過鍵入：？或的每級(jí)

4、菜單下都可以通過鍵入：？或HELP，查看本級(jí)菜單下可用的命令。，查看本級(jí)菜單下可用的命令。2、在、在ntdsutil:提示符下，鍵入提示符下，鍵入metadatacleanup，然后按，然后按ENTER。說明：說明：ntdsutil是個(gè)分層的多級(jí)命令行工具，用戶在鍵入名字時(shí)，可簡(jiǎn)寫，只要不同于本級(jí)命令中的其它命是個(gè)分層的多級(jí)命令行工具，用戶在鍵入名字時(shí)，可簡(jiǎn)寫，只要不同于本級(jí)命令中的其它命令即可。比如上面的命令令即可。比如上面的命令me

5、tadatacleanup可簡(jiǎn)寫為可簡(jiǎn)寫為mc。3、在、在metadatacleanup:提示符下，鍵入提示符下，鍵入connections，然后按，然后按ENTER。4、在、在serverconnections:提示符下，鍵入提示符下，鍵入connecttoserverservername，然后按，然后按ENTER。說明：說明：（1）其中）其中servername是指域控制器的是指域控制器的DNS名稱，用主機(jī)名或名稱，用主機(jī)名或FQD

6、N均可。注意：雖然聯(lián)機(jī)說明中提到均可。注意：雖然聯(lián)機(jī)說明中提到了可以用了可以用IP去連，但實(shí)際上發(fā)現(xiàn)用去連，但實(shí)際上發(fā)現(xiàn)用IP去連接，會(huì)出現(xiàn)參數(shù)不正確的出錯(cuò)提示。去連接，會(huì)出現(xiàn)參數(shù)不正確的出錯(cuò)提示。（2）在這里要連接的）在這里要連接的DC，應(yīng)是一個(gè)正常工作的、可操作的，應(yīng)是一個(gè)正常工作的、可操作的DC，而不是你要清理的那個(gè)，而不是你要清理的那個(gè)DC對(duì)象。對(duì)象。5、鍵入、鍵入quit，然后按，然后按ENTER回到回到metadatacle

7、anup:提示符。提示符。6、鍵入、鍵入operationtarget，然后按，然后按ENTER。7、鍵入、鍵入listdomains，然后按，然后按ENTER。說明：此操作將列出林中的所有域，每一域附帶與其相關(guān)聯(lián)的一個(gè)數(shù)字。說明：此操作將列出林中的所有域，每一域附帶與其相關(guān)聯(lián)的一個(gè)數(shù)字。8、鍵入、鍵入domainnumber，然后按，然后按ENTER。說明：其中說明：其中number是與故障服務(wù)器所在的域相關(guān)的數(shù)字。是與故障服務(wù)器所在

8、的域相關(guān)的數(shù)字。9、鍵入、鍵入listsites，然后按，然后按ENTER。10、鍵入、鍵入sitenumber，然后按，然后按ENTER。說明：其中說明：其中number是指域控制器所屬的站點(diǎn)號(hào)碼。是指域控制器所屬的站點(diǎn)號(hào)碼。11、鍵入、鍵入listserversinsite，然后按，然后按ENTER。說明：這將列出站點(diǎn)上所有服務(wù)器，每一服務(wù)器附帶一個(gè)相關(guān)的數(shù)字。說明：這將列出站點(diǎn)上所有服務(wù)器，每一服務(wù)器附帶一個(gè)相關(guān)的數(shù)字。12、鍵入

9、、鍵入servernumber，然后按，然后按ENTER。說明：其中說明：其中number是指要?jiǎng)h除的域控制器。是指要?jiǎng)h除的域控制器。13、鍵入、鍵入quit，然后按，然后按ENTER，退回到，退回到Metadatacleanup菜單。菜單。接下來，根據(jù)需要，刪除相應(yīng)的垃圾對(duì)象：接下來，根據(jù)需要，刪除相應(yīng)的垃圾對(duì)象：14、鍵入、鍵入removeedserver，然后按，然后按ENTER。此時(shí)，此時(shí)，ActiveDirecty確認(rèn)域控制器

10、已成功刪除。若收到無法找到對(duì)象的錯(cuò)誤報(bào)告，確認(rèn)域控制器已成功刪除。若收到無法找到對(duì)象的錯(cuò)誤報(bào)告，ActiveDirecty可能已刪除了域控制器。能已刪除了域控制器。15、或者鍵入、或者鍵入removeeddomain，然后按，然后按ENTER。說明：要想刪除域，必須得先刪除這個(gè)域的說明：要想刪除域，必須得先刪除這個(gè)域的server對(duì)象（實(shí)質(zhì)是對(duì)象（實(shí)質(zhì)是DC）才行。）才行。16、鍵入、鍵入quit然后按然后按ENTER直至回到命令符。直

11、至回到命令符。如果清理的是如果清理的是Server對(duì)象，還需要：對(duì)象，還需要：1、到、到ActiveDirecty站點(diǎn)和服務(wù)上，展開適當(dāng)站點(diǎn)，刪除相應(yīng)站點(diǎn)和服務(wù)上，展開適當(dāng)站點(diǎn)，刪除相應(yīng)Server對(duì)象。對(duì)象。2、到、到ActiveDirecty用戶和計(jì)算機(jī)上，雙擊打開用戶和計(jì)算機(jī)上，雙擊打開DomainControllers這個(gè)這個(gè)OU，刪除相，刪除相最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用

12、200003自帶的備份工具來進(jìn)行備份自帶的備份工具來進(jìn)行備份恢復(fù)。備份工具位于：恢復(fù)。備份工具位于：開始開始程序程序附件附件系統(tǒng)工具下。利用備份系統(tǒng)工具下。利用備份恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復(fù)之前的域用戶帳戶數(shù)據(jù)和恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復(fù)之前的域用戶帳戶數(shù)據(jù)和DNS，以及，以及安全設(shè)置、組策略設(shè)置、還有配置等等。但安全設(shè)置、組策略設(shè)置、還有配置等等。但DHCP、WINS等需要單獨(dú)備份。等需要單獨(dú)備份。說明：說明：1、DNS區(qū)域必須為區(qū)域

13、必須為AD集成區(qū)域，如果不是，在備份之前，將標(biāo)準(zhǔn)主區(qū)域轉(zhuǎn)成集成區(qū)域，如果不是，在備份之前，將標(biāo)準(zhǔn)主區(qū)域轉(zhuǎn)成AD集成區(qū)域即可。因?yàn)榧蓞^(qū)域即可。因?yàn)锳D集成的意思就是：將集成的意思就是：將DNS區(qū)域信息，作為區(qū)域信息，作為AD的一部分進(jìn)行存儲(chǔ)、復(fù)制。的一部分進(jìn)行存儲(chǔ)、復(fù)制。2、管理工具下有關(guān)管理工具下有關(guān)AD和域的管理工具的快捷方式不會(huì)被恢復(fù)和域的管理工具的快捷方式不會(huì)被恢復(fù)(03仍未解決這個(gè)問題）仍未解決這個(gè)問題），可以運(yùn)行，可以運(yùn)行2

14、000S光盤光盤I386adminpak.msi，將所有的域管理工具追加上。也可手動(dòng)開始，將所有的域管理工具追加上。也可手動(dòng)開始運(yùn)行運(yùn)行MMC，添加相應(yīng)的管理工具，如，添加相應(yīng)的管理工具，如DNS、AD用戶和計(jì)算機(jī)等。用戶和計(jì)算機(jī)等。3、重裝的重裝的200003系統(tǒng)，不必安裝系統(tǒng)，不必安裝AD，直接恢復(fù)就行。開機(jī)，，直接恢復(fù)就行。開機(jī)，F(xiàn)8，目錄恢復(fù)模式，恢復(fù)大約需要，目錄恢復(fù)模式，恢復(fù)大約需要45分鐘。分鐘。（實(shí)際當(dāng)中我也試了，新裝的

15、系統(tǒng)，沒有安裝（實(shí)際當(dāng)中我也試了，新裝的系統(tǒng)，沒有安裝AD，在正常啟動(dòng)模式下恢復(fù)也可以，因?yàn)樗緵]有，在正常啟動(dòng)模式下恢復(fù)也可以，因?yàn)樗緵]有AD，不，不涉及到涉及到AD正在工作，不允許替換的問題，只不過時(shí)間會(huì)稍長(zhǎng)一些，約正在工作，不允許替換的問題，只不過時(shí)間會(huì)稍長(zhǎng)一些，約78分鐘）分鐘）4、2000下利用備份工具恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)時(shí)，需要手動(dòng)將下利用備份工具恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)時(shí)，需要手動(dòng)將“如果文件已存在：不替換如果文件已存在：不替換

16、”改為改為“如果文件已存如果文件已存在，總是替換在，總是替換”。具體操作：工具具體操作：工具選項(xiàng)選項(xiàng)還原：選擇還原：選擇“無條件替換本地上的文件無條件替換本地上的文件”。否則。否則2000在恢復(fù)時(shí)，可能不會(huì)把在恢復(fù)時(shí)，可能不會(huì)把winntsysvolsysvol（里面是組策略具體的設(shè)置值，被稱為（里面是組策略具體的設(shè)置值，被稱為GPT）給恢復(fù)回來。）給恢復(fù)回來。03DC上沒有這個(gè)問題，上沒有這個(gè)問題，系統(tǒng)會(huì)自動(dòng)提示是否替換，選擇系統(tǒng)會(huì)自

17、動(dòng)提示是否替換，選擇“是”即可。即可。5、具體備份、具體備份恢復(fù)的步驟，參考下例。恢復(fù)的步驟，參考下例。Q21、如何進(jìn)行授權(quán)恢復(fù)、如何進(jìn)行授權(quán)恢復(fù)首先我們通過一個(gè)例子，來說明一下什么是授權(quán)恢復(fù)。首先我們通過一個(gè)例子，來說明一下什么是授權(quán)恢復(fù)。設(shè)域內(nèi)有不止一臺(tái)設(shè)域內(nèi)有不止一臺(tái)DC，管理員誤刪除了一個(gè)，管理員誤刪除了一個(gè)OU，然后用以前的，然后用以前的AD備份進(jìn)行了恢復(fù)操作。如果不做什么特備份進(jìn)行了恢復(fù)操作。如果不做什么特別的設(shè)置（即授權(quán)恢

18、復(fù)）別的設(shè)置（即授權(quán)恢復(fù)），當(dāng)，當(dāng)DC間進(jìn)行間進(jìn)行AD同步時(shí)，由被恢復(fù)的數(shù)據(jù)是以前的，同步時(shí)，由被恢復(fù)的數(shù)據(jù)是以前的，AD的版本號(hào)低，將被其它的版本號(hào)低，將被其它DC的高版本內(nèi)容所覆蓋。這樣剛被恢復(fù)的的高版本內(nèi)容所覆蓋。這樣剛被恢復(fù)的OU就又被刪掉了。就又被刪掉了。所以我們需要手動(dòng)通過所以我們需要手動(dòng)通過ntdsutil工具指定對(duì)這個(gè)工具指定對(duì)這個(gè)OU對(duì)象進(jìn)行授權(quán)恢復(fù)，系統(tǒng)將按距備份時(shí)間每隔一天對(duì)象進(jìn)行授權(quán)恢復(fù)，系統(tǒng)將按距備份時(shí)間每隔一

19、天100000的標(biāo)準(zhǔn)來增加其的標(biāo)準(zhǔn)來增加其AD版本號(hào)，確保一定高于其它版本號(hào)，確保一定高于其它DC上的版本號(hào)。上的版本號(hào)。具體操作如下：具體操作如下：1、重啟、重啟DC，按，按F8，選擇目錄恢復(fù)模式，選擇目錄恢復(fù)模式2、用目錄恢復(fù)模式下的管理員、用目錄恢復(fù)模式下的管理員SAM帳號(hào)登錄帳號(hào)登錄3、開始、開始程序程序附件附件系統(tǒng)工具系統(tǒng)工具備份，在恢復(fù)標(biāo)簽下進(jìn)行備份，在恢復(fù)標(biāo)簽下進(jìn)行“系統(tǒng)狀態(tài)數(shù)據(jù)系統(tǒng)狀態(tài)數(shù)據(jù)”的恢復(fù)的恢復(fù)4、若此時(shí)重新啟動(dòng)

20、、若此時(shí)重新啟動(dòng)DC，則以上為正?；謴?fù)，即非授權(quán)恢復(fù)。，則以上為正?；謴?fù)，即非授權(quán)恢復(fù)。若要進(jìn)行授權(quán)恢復(fù)，則此時(shí)一定不要重啟若要進(jìn)行授權(quán)恢復(fù)，則此時(shí)一定不要重啟DC4、開始、開始運(yùn)行：運(yùn)行：ntdsutil5、鍵入、鍵入authitativereste，到授權(quán)恢復(fù)提示符，到授權(quán)恢復(fù)提示符6、鍵入、鍵入restesubtree對(duì)象對(duì)象DN（也可以是子樹，甚至是整個(gè)（也可以是子樹，甚至是整個(gè)AD）7、退出、退出Ntdsutil8、重新正常啟

21、動(dòng)、重新正常啟動(dòng)DC。說明：若要進(jìn)行系統(tǒng)卷說明：若要進(jìn)行系統(tǒng)卷SYSVOL（主要是組策略設(shè)置）的授權(quán)恢復(fù)，即將組策略恢復(fù)到以前的狀態(tài)，但（主要是組策略設(shè)置）的授權(quán)恢復(fù)，即將組策略恢復(fù)到以前的狀態(tài)，但AD庫要保留當(dāng)前。不必使用庫要保留當(dāng)前。不必使用Ntdsutil，直接將，直接將AD庫恢復(fù)到其它位置即可，這是因?yàn)橄到y(tǒng)狀態(tài)數(shù)據(jù)在備份庫恢復(fù)到其它位置即可，這是因?yàn)橄到y(tǒng)狀態(tài)數(shù)據(jù)在備份恢復(fù)恢復(fù)時(shí)，不能進(jìn)行細(xì)化的選擇。時(shí)，不能進(jìn)行細(xì)化的選擇。Q22