Những gì cần phải được thực hiện sau một sự cố Bộ điều khiển miền?

20

Giả sử rằng ít nhất hai bộ điều khiển miền đã có mặt trong miền để bắt đầu, cần thực hiện các bước nào để Active Directory khỏe mạnh sau khi gặp sự cố bộ điều khiển miền?

active-directory  domain-controller 
Nic
nguồn
Làm thế nào để bạn xác định "Sụp đổ"? Có phải nó chỉ là BSOD, hay nó đã hoàn toàn chết?
Mark Henderson
Hoàn toàn chết. Trong trường hợp của tôi, cả nguồn cung cấp điện và bo mạch chủ đều thất bại.
Nic
Tôi thấy bài viết này rất hữu ích. funkytechguy.blogspot.co.za/2016/06/ từ

Câu trả lời:

32

Bước 0: Có ít nhất hai bộ điều khiển miền .
Nếu bạn chỉ có một bộ điều khiển miền và nó bị lỗi theo cách mà bạn không thể khôi phục nó, thì tên miền của bạn không còn tồn tại; lựa chọn duy nhất của bạn là tạo một miền hoàn toàn mới. Đây là một quá trình đau đớn liên quan đến việc tạo lại người dùng, nối lại máy tính và máy chủ của khách hàng và thậm chí tạo lại mọi cài đặt bảo mật bạn từng sử dụng.

Nếu máy chủ hoàn toàn không thể phục hồi, chẳng hạn như do lỗi phần cứng không thể sửa chữa dễ dàng, thì đây là cách để hoàn thành việc thanh trừng nó khỏi miền hoàn toàn. Khi các vai trò FSMO đã bị tịch thu, điều quan trọng là máy chủ cũ không bao giờ được đưa trực tuyến trở lại. Nghiêm túc xem xét việc xóa các ổ cứng để đảm bảo rằng điều này không bao giờ có thể xảy ra.

  1. Xác định máy chủ nào đang giữ vai trò FSMO (Hoạt động chính đơn linh hoạt) cho miền và rừng. Microsoft có một bài viết tuyệt vời về việc tìm kiếm vai trò của FSMO .

  2. Bất kỳ vai trò FSMO nào được giữ bởi máy chủ bị sập phải được thu giữ trên bộ điều khiển miền lành mạnh. Một bài viết khác của Microsoft cho bài viết này.

  3. Vai trò FSMO "Cơ sở hạ tầng" là đặc biệt và thực sự được chỉ định cho từng phân vùng ứng dụng. Nếu máy chủ bị sập DNS, bạn sẽ cần xác minh rằng bản ghi trong mỗi phân vùng ứng dụng (DomainDnsZones, ForestDnsZones) đã được cập nhật. Giải thích tốt hơn ở đâysửa chữa chính thức ở đây .

  4. Thực hiện dọn dẹp siêu dữ liệu để loại bỏ tàn dư khỏi Active Directory. Xóa siêu dữ liệu máy chủ đã tuyệt chủng .

  5. Kiểm tra "Active Directory Users & Computer" và "Active Directory Site & Services" để đảm bảo rằng tất cả các mục cho máy chủ đã tuyệt chủng đã bị xóa.

  6. Kiểm tra DNS để tìm bất kỳ mục tĩnh nào có liên quan đến máy chủ đã tuyệt chủng và xóa chúng, gán lại hoặc đặt máy chủ mới ở cùng địa chỉ.

  7. Nếu máy chủ bị sập là máy chủ DHCP được ủy quyền, hãy kiểm tra xem liệu nó có còn được liệt kê là máy chủ được ủy quyền hay không. Nếu có, bạn có thể cần phải sử dụng Chỉnh sửa ADSI để xóa nó khỏi danh sách các gốc DHCP.

(Chỉnh sửa 2010-03-14: Đã thêm nhận xét của Graeme về bước 0)

Nic
nguồn
Tôi đã phải tìm ra tất cả những điều này một cách khó khăn, vì vậy hy vọng điều này có thể giúp đỡ người khác cuối cùng ở vị trí của tôi.
Nic
Nghe có vẻ như một cuối tuần nhảm nhí, nhưng cảm ơn vì đã chia sẻ danh sách kiểm tra tuyệt vời.
Gomibushi
Thật không may, tôi quá quen thuộc với các bước này ...
5
+1, đây là một câu trả lời tuyệt vời. Bạn đã bao gồm khá nhiều thứ. Tôi sẽ thêm "Bước 0" cho những người chưa phải đối phó với điều này .... "Luôn có ít nhất 2 DC". Thật đáng sợ khi có bao nhiêu môi trường ngoài kia chỉ có một.
ThatGraemeGuy
1
+1 cho câu trả lời, và cũng là một phản ứng cho nhận xét của Graeme - ngay cả khi đó là điều gì đó nên được chấp nhận thì nó vẫn nên được làm nổi bật.
Maximus Minimus
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.