주 도메인 컨트롤러가 고장났습니다. 어떻게 해야 합니까?
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Active Directory 운영 호스트 역할 개요
환경 분석
AD 에서 주 도메인 컨트롤러 DC-0 1.test.com 개체를 지웁니다.
Ntdsutil.exe 툴을 통해 추가 도메인 컨트롤러에서 5 개의 FMSO 작업 캡처를 수행합니다.
추가 도메인 컨트롤러를 GC (global catalog) 로 설정합니다
손상된 마스터 도메인 컨트롤러를 다시 설치하고 복원합니다.
첨부: AD 에서 5 가지 운영 주체 역할을 감지하는 스크립트입니다.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
I. Active Directory 운영 호스트 역할 개요
Active Directory 는 FSMO 라고도 하는 5 가지 운영 호스트 역할을 정의합니다.
아키텍처 호스트,
도메인 이름 호스트
상대 식별 번호 (RID) 호스트 RID 호스트
주 도메인 컨트롤러 시뮬레이터 (PDCE)
기반 구조 호스트 기반 구조 호스트
각 운영 호스트 역할은 서로 다른 작업을 수행하며 서로 다른 기능을 가지고 있습니다.
아키텍처 호스트
스키마 호스트 역할을 가진 DC 만이 디렉터리 스키마를 업데이트할 수 있는 유일한 DC 입니다. 이러한 스키마 업데이트는 스키마 호스트에서 포리스트에 있는 다른 모든 도메인 컨트롤러로 복사됩니다. 스키마 호스트는 포리스트를 기반으로 하며 전체 포리스트에 하나의 스키마 호스트만 있습니다.
도메인 이름 호스트
도메인 이름 지정 호스트 역할을 가진 DC 만이 다음 작업을 수행할 수 있는 유일한 DC 입니다.
포리스트에 새 도메인을 추가합니다.
포리스트에서 기존 도메인을 제거합니다.
외부 디렉토리를 설명하는 상호 참조 객체를 추가하거나 제거합니다.
상대 식별 번호 (RID) 호스트
이 운영 호스트는 RID 풀을 다른 DC 에 할당할 책임이 있습니다. 이 작업을 수행하는 서버는 한 대뿐입니다. 보안 주체를 생성할 때 (예: 사용자,
그룹 또는 컴퓨터), RID 는 고유한 보안 식별자 (SID) 를 만들기 위해 도메인 전체 식별자와 결합되어야 합니다. 각각
Windows 2000 DC 는 개체 생성을 위한 RID 풀 (기본값 5 12) 을 받게 됩니다. RID 호스트는 서로 다른 풀을 할당하여 이를 보장합니다.
일부 id 는 각 DC 에서 고유합니다. 또한 RID 호스트는 동일한 포리스트에 있는 여러 도메인 간에 모든 개체를 이동할 수 있습니다.
도메인 이름 호스트는 포리스트를 기반으로 하며, 전체 포리스트에는 하나의 도메인 이름 호스트만 있습니다. 상대 식별 번호 (RID) 호스트는 도메인 기반이며 포리스트의 각 도메인에는 자체 RID 호스트가 있습니다.
PDCE
마스터 도메인 컨트롤러 시뮬레이터는 다음과 같은 주요 기능을 제공합니다.
하위 수준 클라이언트 및 서버와의 이전 버전과의 호환성을 통해 Windows NT4.0 BDC (backup domain controller) 가 새로운 Windows 2000 환경에 참여할 수 있습니다. 네이티브 Windows 2000 환경은 암호 변경 사항을 PDCE 에 전달합니다. DC 는 암호 확인이 실패할 때마다 PDCE 에 연락하여 암호를 확인할 수 있는지 확인합니다. 암호 변경 사항이 인증 DC 에 복사되지 않았기 때문일 수 있습니다.
시간 동기화—포리스트 내의 각 도메인에 있는 PDCE 가 포리스트 루트 도메인에 있는 PDCE 와 동기화됩니다.
PDCE 는 도메인 기반이며 포리스트의 각 도메인에는 자체 PDCE 가 있습니다.
인프라 호스트
인프라 호스트는 모든 도메인 간에 운영 객체의 일관성을 보장합니다. 다른 도메인의 객체를 참조할 때 참조는 다음을 포함합니다.
GUID (global unique identifier), SID (보안 식별자) 및 DN (구별된 이름) 입니다. 참조된 객체가 이동하면 도메인에서 해당 객체를 가져옵니다.
인프라 호스트 역할의 DC 가 이 도메인의 도메인 간 개체 참조에서 SID 및 DN 업데이트를 담당할 때.
인프라 호스트는 도메인 기반이며 포리스트의 각 도메인에는 자체 인프라 호스트가 있습니다.
기본적으로 이들 5 개의 FMSO 는 포리스트 루트 도메인의 첫 번째 DC (기본 도메인 컨트롤러) 에 있고 하위 도메인의 상대 식별 번호 (RID) 호스트, PDCE 및 인프라 호스트는 하위 도메인의 첫 번째 DC 에 있습니다.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
둘째, 환경 분석
Test.com 회사 (가상) 에는 주 도메인 컨트롤러 DC-0 1.test.com 과 추가 도메인 컨트롤러 DC-02.test.com 이 있습니다. 현재 주 도메인 컨트롤러 (DC-0 1.test.com) 가 하드웨어 고장으로 갑자기 손상되어 DC-0 1.test.com 의 시스템 상태 백업이 미리 없어 백업을 통해 마스터를 복구할 수 없습니다 기본 도메인 컨트롤러 (DC-02.test.com) 를 교체하려면 어떻게 해야 합니까? Acitvie 디렉토리가 계속 정상적으로 작동하고 손상된 마스터 도메인 컨트롤러 하드웨어를 복구한 후 손상된 마스터 도메인 컨트롤러를 복구하는 방법.
첫 번째 DC 가 고장나고 추가 도메인 컨트롤러가 정상이면 추가 도메인 컨트롤러에서 5 개의 FMSO 를 사용하고 추가 도메인 컨트롤러를 GC 로 설정해야 합니다.
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
셋째, AD 에서 주 도메인 컨트롤러 DC-0 1.test.com 개체를 지웁니다.
3. 1 ntdsutil.exe 도구를 통해 추가 도메인 컨트롤러 (DC-02.test.com) 의 AD 에서 마스터 도메인 컨트롤러 (DC-01..
C: >; Ntdsutil
Ntdsutil: 메타데이터 정리
메타데이터 정리: 작업 대상 선택
작업 대상 선택: 접속
서버 연결: test.com 도메인에 연결
작업 대상 선택: 사이트 나열
1 개 사이트 찾기
0-CN = 기본 첫 번째 사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC=com
작업 대상 선택: 사이트 0 선택
사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC = 통신
현재 도메인이 없습니다
현재 서버가 없습니다
현재 이름 지정 컨텍스트가 없습니다
작업 대상 선택: 사이트의 도메인을 나열합니다
1 개의 도메인을 찾았습니다
0-DC = 테스트, DC = 통신
1 개의 도메인을 찾았습니다
0-DC = 테스트, DC = 통신
작업 대상 선택: 도메인 0 선택
사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC = 통신
도메인 이름 -DC = 테스트, DC=com
현재 서버가 없습니다
현재 이름 지정 컨텍스트가 없습니다
작업 대상 선택: 사이트의 도메인에 대한 서버를 나열합니다
서버 2 대를 찾았습니다
0-CN=DC-0 1, CN = 서버, CN = 기본 첫 번째 사이트 이름, CN = 사이트, CN = 구성, DC=te
세인트 DC=com
1-CN=DC-02, CN = 서버, CN = 기본 첫 번째 사이트 이름, CN = 사이트, CN = 구성, DC=te
세인트 DC=com
작업 대상 선택: 서버 0 을 선택합니다
작업 대상 선택: 종료
메타데이터 정리: 선택한 서버를 삭제합니다
대화 상자가 나타나면 확인을 눌러 DC-0 1 주 서버를 삭제합니다.
메타데이터 정리: 종료
Ntdsutil: 끝내기
3.2 ADSI 편집 도구를 사용하여 active directory 사용자 및 컴퓨터의 도메인 컨트롤러에서 DC-0 1 서버 개체를 제거합니다.
ADSI 편집은 windows 2000 지원 도구 중 하나입니다. Windows 2000 지원 도구를 설치해야 합니다. 설치 프로그램은 Windows 2000 CD 의 support\tools 디렉토리에 있습니다. ADSI 편집 도구를 열고 도메인 NC[DC-02.test.com], OU = domain controller, CN=DC-0 1 을 마우스 오른쪽 단추로 누른 다음 삭제, DC-0 제거 순으로 선택합니다
3.3 active directory 사이트 및 서비스에서 DC-0 1 서버 개체를 삭제합니다.
관리 도구에서 active directory 사이트 및 서비스 열기, 사이트 확장, 기본 첫 번째 사이트 이름 확장, 서버 확장, DC-0 1 마우스 오른쪽 버튼 클릭, 선택
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
넷째, ntdsutil.exe 툴을 통해 추가 도메인 컨트롤러에서 5 개의 FMSO 작업을 캡처합니다.
C: >; Ntdsutil
Ntdsutil: 캐릭터
Fsmo 유지 관리: 운영 목표 선택
작업 대상 선택: 접속
서버 연결: test.com 도메인에 연결
작업 대상 선택: 사이트 나열
1 개 사이트 찾기
0-CN = 기본 첫 번째 사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC=com
작업 대상 선택: 사이트 0 선택
사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC = 통신
현재 도메인이 없습니다
현재 서버가 없습니다
현재 이름 지정 컨텍스트가 없습니다
작업 대상 선택: 사이트의 도메인을 나열합니다
1 개의 도메인을 찾았습니다
0-DC = 테스트, DC = 통신
작업 대상 선택: 도메인 0 선택
사이트 이름, CN = 사이트, CN = 구성, DC = 테스트, DC = 통신
도메인 이름 -DC = 테스트, DC=com
현재 서버가 없습니다
현재 이름 지정 컨텍스트가 없습니다
작업 대상 선택: 사이트의 도메인에 대한 서버를 나열합니다
1 대의 서버를 찾았습니다
0-CN=DC-02, CN = 서버, CN = 기본 첫 번째 사이트 이름, CN = 사이트, CN = 구성, DC=te
세인트 DC=com
작업 대상 선택: 서버 0 을 선택합니다
작업 대상 선택: 종료
Fsmo 유지 관리: 도메인 명명 호스트 가져오기
대화 상자가 나타나면 확인을 누릅니다.
Fsmo 유지 관리: 인프라 호스트 가져오기
대화 상자가 나타나면 확인을 누릅니다.
Fsmo 유지 관리: PDC 캡처
대화 상자가 나타나면 확인을 누릅니다.
Fsmo 유지 관리: RID 호스트 가져오기
대화 상자가 나타나면 확인을 누릅니다.
Fsmo 유지 관리: 스키마 호스트 가져오기
대화 상자가 나타나면 확인을 누릅니다.
Fsmo 유지 관리: 종료
Ntdsutil: 끝내기
(참고: 원래 FSMO 가 온라인 상태가 아닐 때 잡혀서 조작됩니다. 원래 FSMO 가 온라인 상태이면 전송 작업을 사용해야 합니다. ) 을 참조하십시오
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
동사 (verb 의 약어) 는 추가 제어 (DC-02.test.com) 를 GC (글로벌 카탈로그) 로 설정합니다.
관리 도구에서 active directory 사이트 및 서비스를 열고, 사이트를 확장하고, 기본 첫 번째 사이트 이름, 서버를 확장한 다음 DC-02.test.com 을 확장합니다
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
6. 손상된 마스터 도메인 컨트롤러를 다시 설치하고 복원합니다.
DC-0 1.test.com 에서 손상된 하드웨어를 복구한 후 DC-0 1.test.com 서버에 Windows 2000 Server 를 다시 설치하고 DC 를 실행합니다 DC-0 1.test.com 에서 다섯 가지 FMSO 역할을 수행해야 하는 경우 ntdsutil 도구를 통한 역할 전환만 하면 됩니다 (참고: can 은 사용할 수 없음). Active directory 사이트 및 서비스를 통해 DC-0 1.test.com 을 GC 로 설정하고 DC-02.test.com 의 GC 기능을 취소합니다.
도메인 이름 호스트는 RID 호스트와 같은 DC 에 있지 않는 것이 좋습니다. 도메인 이름 호스트는 GC 여야 합니다.