none
如何作Windows 2003 DC(AD)災難復原? RRS feed

  • 問題

  • 請教各位好朋友與專家:

     

    假設有三台Windows 2003 AD , 然後每天都有用NTBackup的AD備份時(含System State)時,

     

    若要以一台新的Server來做復原第一台AD, 要如何做?

     

    ie.這一台新的Server安裝好Win2003 後, 可以直接做NTBackup Restore嗎?

        還是要先dcpromo後才做NTBackup Restore嗎?

     

    做完Restore重開就可以了嗎? 還有什麼要做的嗎?

     

    謝謝...

    2007年9月6日 上午 08:52

解答

  • AD 中五大角色並不是誰都可以使用 Seize (奪取) 的方式, 轉由其他 DC 擔任的

    任意的奪取是會導致嚴重的AD損毀的喔!!

    其中 PDC Emulator 及 Infrastructure Master 可以在損壞時使用 奪取 方式給其他 DC 擔任

    Schema, Domain Naming, 以及 RID 這三個 Master 則務必使用還原的方式解救

    否則AD有可能需要重做了!!

     

    2007年11月21日 上午 08:09

所有回覆

  • 如Domain 中有3台AD
    理論上只需要在另外2 台取回角色....AD 就會正常吧....
    我認為新的AD 再join 上現有Domain 中就可以了 Big Smile

    2007年9月6日 上午 09:05
  •  

    感恩大大的回答...

    另兩台如何取回角色?要取回什麼角色?只取一台即可嗎?

     

    另一個假設: 3台都壞掉...這又要怎麼處理?

     

    感謝各位專家的幫忙...

    2007年9月6日 下午 02:50
  • 你好

     

    在 AD 樹系中的 5 種特殊 FSMO 角色, 分別為

    架構主機 (Schema Master)

    網域命名主機 (Domain Name Master)

    RID 主機 (RID Master)

    PDC 模擬器  (PDC Master)
    基礎結構主機 (Infrastructure Master)

     

    每個角色都有不同用途, 你必須有這五個角色才可正常運作.

    要轉移 FSMO 角色, 可使用 ntdsutil.exe.

     

    如果3台都壞掉了, 你先用System State來復原AD, 再取回FSMO角色更可. 

    當然是使用最近期的 system state 來作AD復原.

     

     

    2007年9月6日 下午 04:40
  •  BTSIU 寫信:

    你好

     

    在 AD 樹系中的 5 種特殊 FSMO 角色, 分別為

    架構主機 (Schema Master)

    網域命名主機 (Domain Name Master)

    RID 主機 (RID Master)

    PDC 模擬器  (PDC Master)
    基礎結構主機 (Infrastructure Master)

     

    每個角色都有不同用途, 你必須有這五個角色才可正常運作.

    要轉移 FSMO 角色, 可使用 ntdsutil.exe.

     

    如果3台都壞掉了, 你先用System State來復原AD, 再取回FSMO角色更可. 

    當然是使用最近期的 system state 來作AD復原.

     

     

    那請問這一台將復原的AD的Win2003, 要先作dcpromo嗎?

    取回FSMO角色可以先都在這一台新的Win2003嗎?

    Thank you very much...

     

    2007年9月6日 下午 11:25
  • Dear All

    小弟早些日也曾問了類似的問題...

    http://forums.microsoft.com/TechNet-CHT/ShowPost.aspx?PostID=2058120&SiteID=23&mode=1

    其中摘要...
    BTSIU 提供連結 --> http://support.microsoft.com/kb/249694/zh-tw

    Jammy-MVP  建議使用VPC 作獨立SITE 以備份AD資訊.
    ---------------------------------------------------------------------

    一般DC上如果有DNS DHCP 及WINS 都必需要在倒之前先安裝好

    另外OS的Service pack及語系版本& Install Path(%systemroot%)也要一致

    然後開機F8到AD目錄還原模式下去倒

    倒之前我還會把網卡以及顯示卡都先移除(經驗中這兩個最容易造成還原失敗)

    倒完之後重開機時要立即按F8進入到安全模式

    然後用AD Administrator帳號登入,此時Windows 2003 就會自動偵測重抓硬體

    等抓完後就會提示重新開機,此時再按F8再選安全模式With network

    同樣登進去就會自動抓到網卡,最後設好IP(基本上要重設新的IP)

    重新開機即可正常進入到Windows 2003

    如果你連第一步的安全模式都進不去就不用再試了

    那通常是代表RAID card是比較機車的

    --------------------------------------------------------------------------------

    目前小弟在使用的是BESR +NTBACKUP.

    BESR 是ON-LINE 版的GHOST...我把它當作快速還原OS 版本及軟體更新等等...讓OS環境是一樣的。。

    再以NTBACKUP來處理AD 的問題.

    那問了MS的人說..如果你有多台DC ..我BESR 還回來後..直接使用AD同步即可...

    這我驗証了,..是可以的..

    所以建議個位要不要試試...

    一個DOMAIN .二個SITE(JAMMY-MVP的建議),主要SITE 多個DC...

    故障時快還OS後...使用NTBACKUP還原..移除HW..REBOOT...AD同步...

     

    2007年9月7日 上午 12:40
  • 那請問這一台將復原的AD的Win2003, 要先作dcpromo嗎?

    如果你能夠復原所有AD, 幾本上是不用取回FSMO角色

    如果只有一台可以復原, 或時間問題短期不可原所有AD, 就需要取回FSMO角色.

     

    取回FSMO角色可以先都在這一台新的Win2003嗎?

     

    是.

     

     

     

     

    2007年9月7日 上午 01:41
  • 感謝各位專家的熱心幫忙, 小弟直至昨日才有時間測試實驗(Lab獨立Lan) -- 照Jammy-MVP  建議使用VPC 作獨立SITE 以備份AD資訊.來作這一部份...報告結果與問題如下:

     

    原來的環境有dc1, dc2, dc3 (FSMO roles在dc3上) --> 將dc3上的NTBackup System State 還原至新的機器也取名為DC3.

    然後IP也已經換掉了(不是原來舊的dc3的ip).

     

    很感謝各位的幫忙, 讓小弟能夠作到正常還原後, 開機將dc1, dc2用ntdsutil手動將之退出網域-->這部份OK也順利退出dc1,dc2.

     

    問題如下:

    1.但是:當我把一台以前曾加入此網域的WinXP Client Notebook接入此Lab的LAN作登入測試時, 它竟然出現:

    "XXX網域不存在的訊息" , 真是令人擔心.

     

    2. 檢查新的DC3的sysvol發現有點奇怪:

    C:\WINDOWS\SYSVOL\domain\NtFrs_PreExisting___See_EventLog\Policies

    C:\WINDOWS\SYSVOL\sysvol\xxx.com.tw\NtFrs_PreExisting___See_EventLog\Polices

    正確的應是:

    C:\WINDOWS\SYSVOL\domain\Policies

    C:\WINDOWS\SYSVOL\sysvol\xxx.com.tw\Polices

     

     

    3. 在新DC3執行net share命令出來的結果, 少了兩項:
    NETLOGON
    SYSVOL

     

    4.在Event log上的錯誤與警告訊息如下:

    事件類型: 錯誤
    事件來源: Userenv
    事件類別目錄: 無
    事件識別碼: 1054
    日期:  2007/11/15
    時間:  下午 04:51:33
    使用者:  NT AUTHORITY\SYSTEM
    電腦: DC3
    描述:
    Windows 無法取得電腦所屬網域的網域控制站名稱。(指定的網域可能不存在或無法連線。 )。群組原則處理已中止。

     

     

    事件類型: 錯誤
    事件來源: NTDS General
    事件類別目錄: 通用類別目錄
    事件識別碼: 1126
    日期:  2007/11/15
    時間:  下午 06:10:14
    使用者:  NT AUTHORITY\ANONYMOUS LOGON
    電腦: DC3
    描述:
    Active Directory 無法建立與通用類別目錄的連線。
     
    其他資料
    錯誤值:
    1355 指定的網域可能不存在或無法連線。
    內部識別碼:
    3200cf3
     
    使用者動作:
    請確定樹系中是否有可用的通用類別目錄,並且可從這個網域控制站連線。 您可以使用 nltest 公用程式來診斷這個問題。

     


    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期:  2007/11/15
    時間:  下午 04:41:19
    使用者:  N/A
    電腦: DC3
    描述:
    安全性系統偵測出伺服器 ldap/dc3.xxx.com.tw 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "目前無可用的登入伺服器,無法對登入請求進行服務。
     (0xc000005e)"。

     


    事件類型: 警告
    事件來源: NtFrs
    事件類別目錄: 無
    事件識別碼: 13566
    日期:  2007/11/15
    時間:  下午 04:55:36
    使用者:  N/A
    電腦: DC3
    描述:
    檔案複寫服務正在掃描系統 磁碟區資料。除非這個處理程序完成,然後系統磁碟區 共用 SYSVOL,否則電腦 DC3 無法變成網域控制站。 
      
    如果要檢查 SYSVOL 共用,請在命令提示字元下,輸入:
    net share
     
    當檔案複寫服務完成初始程序,SYSVOL 共用將會出現。
     
    系統磁碟區初始會花費一些時間。 花費的時間視系統磁碟區資料量而定。

    ==================================================================

    感謝大家的幫忙...

     

     

     

     

     

     

    2007年11月15日 上午 09:39
  •  Kenneth Sung 寫信:

    感謝各位專家的熱心幫忙, 小弟直至昨日才有時間測試實驗(Lab獨立Lan) -- 照Jammy-MVP  建議使用VPC 作獨立SITE 以備份AD資訊.來作這一部份...報告結果與問題如下:

     

    原來的環境有dc1, dc2, dc3 (FSMO roles在dc3上) --> 將dc3上的NTBackup System State 還原至新的機器也取名為DC3.

    然後IP也已經換掉了(不是原來舊的dc3的ip).

     

    很感謝各位的幫忙, 讓小弟能夠作到正常還原後, 開機將dc1, dc2用ntdsutil手動將之退出網域-->這部份OK也順利退出dc1,dc2.

     

    問題如下:

    1.但是:當我把一台以前曾加入此網域的WinXP Client Notebook接入此Lab的LAN作登入測試時, 它竟然出現:

    "XXX網域不存在的訊息" , 真是令人擔心.

     

    2. 檢查新的DC3的sysvol發現有點奇怪:

    C:\WINDOWS\SYSVOL\domain\NtFrs_PreExisting___See_EventLog\Policies

    C:\WINDOWS\SYSVOL\sysvol\xxx.com.tw\NtFrs_PreExisting___See_EventLog\Polices

    正確的應是:

    C:\WINDOWS\SYSVOL\domain\Policies

    C:\WINDOWS\SYSVOL\sysvol\xxx.com.tw\Polices

     

    此部分是因為不正常的復原造成的, 可透過重建 SYSVOL 的方式來解決

    http://support.microsoft.com/kb/315457

     

    3. 在新DC3執行net share命令出來的結果, 少了兩項:
    NETLOGON
    SYSVOL

     

    重建 SYSVOL 應該會一併解決此問題

     

    4.在Event log上的錯誤與警告訊息如下:

    事件類型: 錯誤
    事件來源: Userenv
    事件類別目錄: 無
    事件識別碼: 1054
    日期:  2007/11/15
    時間:  下午 04:51:33
    使用者:  NT AUTHORITY\SYSTEM
    電腦: DC3
    描述:
    Windows 無法取得電腦所屬網域的網域控制站名稱。(指定的網域可能不存在或無法連線。 )。群組原則處理已中止。

     


    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期:  2007/11/15
    時間:  下午 04:41:19
    使用者:  N/A
    電腦: DC3
    描述:
    安全性系統偵測出伺服器 ldap/dc3.xxx.com.tw 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "目前無可用的登入伺服器,無法對登入請求進行服務。
     (0xc000005e)"。

     


    事件類型: 警告
    事件來源: NtFrs
    事件類別目錄: 無
    事件識別碼: 13566
    日期:  2007/11/15
    時間:  下午 04:55:36
    使用者:  N/A
    電腦: DC3
    描述:
    檔案複寫服務正在掃描系統 磁碟區資料。除非這個處理程序完成,然後系統磁碟區 共用 SYSVOL,否則電腦 DC3 無法變成網域控制站。 
      
    如果要檢查 SYSVOL 共用,請在命令提示字元下,輸入:
    net share
     
    當檔案複寫服務完成初始程序,SYSVOL 共用將會出現。
     
    系統磁碟區初始會花費一些時間。 花費的時間視系統磁碟區資料量而定。

    ==================================================================

    感謝大家的幫忙...

     

     

     

     

     

     

    2007年11月15日 上午 10:16
  •  

    那請問掛掉的DC上面有CA Server的話,

    方式也是一樣嗎? 

    2007年11月16日 上午 03:32
  • 按照您的建議:

    http://support.microsoft.com/kb/315457

     

    目前只剩warning, 測了一陣子又冒出另一個error:

    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期:  2007/11/15
    時間:  下午 04:41:19
    使用者:  N/A
    電腦: DC3
    描述:
    安全性系統偵測出伺服器 ldap/dc3.xxx.com.tw 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "目前無可用的登入伺服器,無法對登入請求進行服務。
     (0xc000005e)"。

     

     

    事件類型: 錯誤
    事件來源: NTDS General
    事件類別目錄: 通用類別目錄
    事件識別碼: 1126
    日期:  2007/11/15
    時間:  下午 06:10:14
    使用者:  NT AUTHORITY\ANONYMOUS LOGON
    電腦: DC3
    描述:
    Active Directory 無法建立與通用類別目錄的連線。
     
    其他資料
    錯誤值:
    1355 指定的網域可能不存在或無法連線。
    內部識別碼:
    3200cf3
     
    使用者動作:
    請確定樹系中是否有可用的通用類別目錄,並且可從這個網域控制站連線。 您可以使用 nltest 公用程式來診斷這個問題。

     

     

    請問該怎麼辦?

    感謝各位好朋友!

     

     

    2007年11月16日 上午 04:22
  • AD 中五大角色並不是誰都可以使用 Seize (奪取) 的方式, 轉由其他 DC 擔任的

    任意的奪取是會導致嚴重的AD損毀的喔!!

    其中 PDC Emulator 及 Infrastructure Master 可以在損壞時使用 奪取 方式給其他 DC 擔任

    Schema, Domain Naming, 以及 RID 這三個 Master 則務必使用還原的方式解救

    否則AD有可能需要重做了!!

     

    2007年11月21日 上午 08:09
  •  MVP Taiwan 許俊龍 Andy Hsu 寫信:

    AD 中五大角色並不是誰都可以使用 Seize (奪取) 的方式, 轉由其他 DC 擔任的

    任意的奪取是會導致嚴重的AD損毀的喔!!

    其中 PDC Emulator 及 Infrastructure Master 可以在損壞時使用 奪取 方式給其他 DC 擔任

    Schema, Domain Naming, 以及 RID 這三個 Master 則務必使用還原的方式解救

    否則AD有可能需要重做了!!

     

     

    請問Andy大大:

     

    若在平時DC3 有做System State備份(且早已事先transfer 5 roles 至DC3了) (含Schema, Domain Naming, 以及 RID 這三個 Master ) :

     

    當DC3掛掉後, 拿一台新PC來做System State Restore後,

    還須要做transfer roles 或Seize roles 嗎? 會成功嗎? 會導致嚴重的AD損毀嗎?

     

    感謝大家的幫忙... 

     

     

     

    2007年11月22日 下午 03:36
  • Dear Sir,

            如果網域內有2台DC , 一台DC1 , 一台DC2 , Schema,Domain Naming,以及RID 這三個Master 可以用 奪取(seize)方式取回這三種角色嗎? 一定要用還原的方式嗎?

    Benson


    小何

    2013年12月7日 上午 05:20