(active directory)域故障解決實例(二)

1、Q18、如何清理、如何清理AD數(shù)據(jù)庫中的垃圾對象。數(shù)據(jù)庫中的垃圾對象。如果我們非正常卸載如果我們非正常卸載AD子域、子域、DC等，就會在等，就會在AD元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經AD卸載就把卸載就把DC計算機的系統(tǒng)重做了。這些垃圾對象一般來講無礙大局，但如果我們想優(yōu)化計算機的系統(tǒng)重做了。這些垃圾對象一般來講無礙大局，但如果我們想優(yōu)化AD的性能，不想給的性能，不想給用戶帶來不

2、必要的麻煩（比如用戶選擇登錄到已經不存在的子域）用戶帶來不必要的麻煩（比如用戶選擇登錄到已經不存在的子域），就可以利用，就可以利用ntdsutil工具進行元數(shù)據(jù)庫清工具進行元數(shù)據(jù)庫清理（理（metadatacleanup），來刪除垃圾對象。具體操作如下：，來刪除垃圾對象。具體操作如下：1、開始、開始運行：運行：cmd，在命令行下鍵入，在命令行下鍵入ntdsutil。說明：說明：（1）直接，開始）直接，開始運行：運行：ntdsutil，也

3、可以。，也可以。（2）進行元數(shù)據(jù)庫清理，不要進到目錄恢復模式下。）進行元數(shù)據(jù)庫清理，不要進到目錄恢復模式下。（3）進行元數(shù)據(jù)庫清理，可以在非）進行元數(shù)據(jù)庫清理，可以在非DC的2000XP03計算機上進行。但有些操作（如使用計算機上進行。但有些操作（如使用ntdsutil工具工具進行授權恢復、整理移動進行授權恢復、整理移動AD庫文件）必須在庫文件）必須在DC上進行。上進行。（4）在）在ntdsutil的每級菜單下都可以通過鍵入：？或的每級

4、菜單下都可以通過鍵入：？或HELP，查看本級菜單下可用的命令。，查看本級菜單下可用的命令。2、在、在ntdsutil:提示符下，鍵入提示符下，鍵入metadatacleanup，然后按，然后按ENTER。說明：說明：ntdsutil是個分層的多級命令行工具，用戶在鍵入名字時，可簡寫，只要不同于本級命令中的其它命是個分層的多級命令行工具，用戶在鍵入名字時，可簡寫，只要不同于本級命令中的其它命令即可。比如上面的命令令即可。比如上面的命令me

5、tadatacleanup可簡寫為可簡寫為mc。3、在、在metadatacleanup:提示符下，鍵入提示符下，鍵入connections，然后按，然后按ENTER。4、在、在serverconnections:提示符下，鍵入提示符下，鍵入connecttoserverservername，然后按，然后按ENTER。說明：說明：（1）其中）其中servername是指域控制器的是指域控制器的DNS名稱，用主機名或名稱，用主機名或FQD

6、N均可。注意：雖然聯(lián)機說明中提到均可。注意：雖然聯(lián)機說明中提到了可以用了可以用IP去連，但實際上發(fā)現(xiàn)用去連，但實際上發(fā)現(xiàn)用IP去連接，會出現(xiàn)參數(shù)不正確的出錯提示。去連接，會出現(xiàn)參數(shù)不正確的出錯提示。（2）在這里要連接的）在這里要連接的DC，應是一個正常工作的、可操作的，應是一個正常工作的、可操作的DC，而不是你要清理的那個，而不是你要清理的那個DC對象。對象。5、鍵入、鍵入quit，然后按，然后按ENTER回到回到metadatacle

7、anup:提示符。提示符。6、鍵入、鍵入operationtarget，然后按，然后按ENTER。7、鍵入、鍵入listdomains，然后按，然后按ENTER。說明：此操作將列出林中的所有域，每一域附帶與其相關聯(lián)的一個數(shù)字。說明：此操作將列出林中的所有域，每一域附帶與其相關聯(lián)的一個數(shù)字。8、鍵入、鍵入domainnumber，然后按，然后按ENTER。說明：其中說明：其中number是與故障服務器所在的域相關的數(shù)字。是與故障服務器所在

8、的域相關的數(shù)字。9、鍵入、鍵入listsites，然后按，然后按ENTER。10、鍵入、鍵入sitenumber，然后按，然后按ENTER。說明：其中說明：其中number是指域控制器所屬的站點號碼。是指域控制器所屬的站點號碼。11、鍵入、鍵入listserversinsite，然后按，然后按ENTER。說明：這將列出站點上所有服務器，每一服務器附帶一個相關的數(shù)字。說明：這將列出站點上所有服務器，每一服務器附帶一個相關的數(shù)字。12、鍵入

9、、鍵入servernumber，然后按，然后按ENTER。說明：其中說明：其中number是指要刪除的域控制器。是指要刪除的域控制器。13、鍵入、鍵入quit，然后按，然后按ENTER，退回到，退回到Metadatacleanup菜單。菜單。接下來，根據(jù)需要，刪除相應的垃圾對象：接下來，根據(jù)需要，刪除相應的垃圾對象：14、鍵入、鍵入removeedserver，然后按，然后按ENTER。此時，此時，ActiveDirecty確認域控制器

10、已成功刪除。若收到無法找到對象的錯誤報告，確認域控制器已成功刪除。若收到無法找到對象的錯誤報告，ActiveDirecty可能已刪除了域控制器。能已刪除了域控制器。15、或者鍵入、或者鍵入removeeddomain，然后按，然后按ENTER。說明：要想刪除域，必須得先刪除這個域的說明：要想刪除域，必須得先刪除這個域的server對象（實質是對象（實質是DC）才行。）才行。16、鍵入、鍵入quit然后按然后按ENTER直至回到命令符。直

11、至回到命令符。如果清理的是如果清理的是Server對象，還需要：對象，還需要：1、到、到ActiveDirecty站點和服務上，展開適當站點，刪除相應站點和服務上，展開適當站點，刪除相應Server對象。對象。2、到、到ActiveDirecty用戶和計算機上，雙擊打開用戶和計算機上，雙擊打開DomainControllers這個這個OU，刪除相，刪除相最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用

12、200003自帶的備份工具來進行備份自帶的備份工具來進行備份恢復。備份工具位于：恢復。備份工具位于：開始開始程序程序附件附件系統(tǒng)工具下。利用備份系統(tǒng)工具下。利用備份恢復系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復之前的域用戶帳戶數(shù)據(jù)和恢復系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復之前的域用戶帳戶數(shù)據(jù)和DNS，以及，以及安全設置、組策略設置、還有配置等等。但安全設置、組策略設置、還有配置等等。但DHCP、WINS等需要單獨備份。等需要單獨備份。說明：說明：1、DNS區(qū)域必須為區(qū)域

13、必須為AD集成區(qū)域，如果不是，在備份之前，將標準主區(qū)域轉成集成區(qū)域，如果不是，在備份之前，將標準主區(qū)域轉成AD集成區(qū)域即可。因為集成區(qū)域即可。因為AD集成的意思就是：將集成的意思就是：將DNS區(qū)域信息，作為區(qū)域信息，作為AD的一部分進行存儲、復制。的一部分進行存儲、復制。2、管理工具下有關管理工具下有關AD和域的管理工具的快捷方式不會被恢復和域的管理工具的快捷方式不會被恢復(03仍未解決這個問題）仍未解決這個問題），可以運行，可以運行2

14、000S光盤光盤I386adminpak.msi，將所有的域管理工具追加上。也可手動開始，將所有的域管理工具追加上。也可手動開始運行運行MMC，添加相應的管理工具，如，添加相應的管理工具，如DNS、AD用戶和計算機等。用戶和計算機等。3、重裝的重裝的200003系統(tǒng)，不必安裝系統(tǒng)，不必安裝AD，直接恢復就行。開機，，直接恢復就行。開機，F(xiàn)8，目錄恢復模式，恢復大約需要，目錄恢復模式，恢復大約需要45分鐘。分鐘。（實際當中我也試了，新裝的

15、系統(tǒng)，沒有安裝（實際當中我也試了，新裝的系統(tǒng)，沒有安裝AD，在正常啟動模式下恢復也可以，因為它根本沒有，在正常啟動模式下恢復也可以，因為它根本沒有AD，不，不涉及到涉及到AD正在工作，不允許替換的問題，只不過時間會稍長一些，約正在工作，不允許替換的問題，只不過時間會稍長一些，約78分鐘）分鐘）4、2000下利用備份工具恢復系統(tǒng)狀態(tài)數(shù)據(jù)時，需要手動將下利用備份工具恢復系統(tǒng)狀態(tài)數(shù)據(jù)時，需要手動將“如果文件已存在：不替換如果文件已存在：不替換

16、”改為改為“如果文件已存如果文件已存在，總是替換在，總是替換”。具體操作：工具具體操作：工具選項選項還原：選擇還原：選擇“無條件替換本地上的文件無條件替換本地上的文件”。否則。否則2000在恢復時，可能不會把在恢復時，可能不會把winntsysvolsysvol（里面是組策略具體的設置值，被稱為（里面是組策略具體的設置值，被稱為GPT）給恢復回來。）給恢復回來。03DC上沒有這個問題，上沒有這個問題，系統(tǒng)會自動提示是否替換，選擇系統(tǒng)會自

17、動提示是否替換，選擇“是”即可。即可。5、具體備份、具體備份恢復的步驟，參考下例?；謴偷牟襟E，參考下例。Q21、如何進行授權恢復、如何進行授權恢復首先我們通過一個例子，來說明一下什么是授權恢復。首先我們通過一個例子，來說明一下什么是授權恢復。設域內有不止一臺設域內有不止一臺DC，管理員誤刪除了一個，管理員誤刪除了一個OU，然后用以前的，然后用以前的AD備份進行了恢復操作。如果不做什么特備份進行了恢復操作。如果不做什么特別的設置（即授權恢

18、復）別的設置（即授權恢復），當，當DC間進行間進行AD同步時，由被恢復的數(shù)據(jù)是以前的，同步時，由被恢復的數(shù)據(jù)是以前的，AD的版本號低，將被其它的版本號低，將被其它DC的高版本內容所覆蓋。這樣剛被恢復的的高版本內容所覆蓋。這樣剛被恢復的OU就又被刪掉了。就又被刪掉了。所以我們需要手動通過所以我們需要手動通過ntdsutil工具指定對這個工具指定對這個OU對象進行授權恢復，系統(tǒng)將按距備份時間每隔一天對象進行授權恢復，系統(tǒng)將按距備份時間每隔一

19、天100000的標準來增加其的標準來增加其AD版本號，確保一定高于其它版本號，確保一定高于其它DC上的版本號。上的版本號。具體操作如下：具體操作如下：1、重啟、重啟DC，按，按F8，選擇目錄恢復模式，選擇目錄恢復模式2、用目錄恢復模式下的管理員、用目錄恢復模式下的管理員SAM帳號登錄帳號登錄3、開始、開始程序程序附件附件系統(tǒng)工具系統(tǒng)工具備份，在恢復標簽下進行備份，在恢復標簽下進行“系統(tǒng)狀態(tài)數(shù)據(jù)系統(tǒng)狀態(tài)數(shù)據(jù)”的恢復的恢復4、若此時重新啟動

20、、若此時重新啟動DC，則以上為正?；謴?，即非授權恢復。，則以上為正?；謴停捶鞘跈嗷謴汀Ｈ粢M行授權恢復，則此時一定不要重啟若要進行授權恢復，則此時一定不要重啟DC4、開始、開始運行：運行：ntdsutil5、鍵入、鍵入authitativereste，到授權恢復提示符，到授權恢復提示符6、鍵入、鍵入restesubtree對象對象DN（也可以是子樹，甚至是整個（也可以是子樹，甚至是整個AD）7、退出、退出Ntdsutil8、重新正常啟

21、動、重新正常啟動DC。說明：若要進行系統(tǒng)卷說明：若要進行系統(tǒng)卷SYSVOL（主要是組策略設置）的授權恢復，即將組策略恢復到以前的狀態(tài)，但（主要是組策略設置）的授權恢復，即將組策略恢復到以前的狀態(tài)，但AD庫要保留當前。不必使用庫要保留當前。不必使用Ntdsutil，直接將，直接將AD庫恢復到其它位置即可，這是因為系統(tǒng)狀態(tài)數(shù)據(jù)在備份庫恢復到其它位置即可，這是因為系統(tǒng)狀態(tài)數(shù)據(jù)在備份恢復恢復時，不能進行細化的選擇。時，不能進行細化的選擇。Q22