ต้องทำอะไรหลังจากที่ Domain Controller ขัดข้อง


20

สมมติว่ามีอย่างน้อยสองตัวควบคุมโดเมนอยู่ในโดเมนที่จะเริ่มต้นด้วยขั้นตอนใดที่จะต้องดำเนินการเพื่อให้ Active Directory แข็งแรงหลังจากที่ตัวควบคุมโดเมนล่ม


คุณกำหนด "Crashed" อย่างไร มันเป็นแค่ BSOD หรือมันตายไปหมดเลยเหรอ?
Mark Henderson

ตายโดยสิ้นเชิง ในกรณีของฉันทั้งแหล่งจ่ายไฟและแผงวงจรหลักล้มเหลว
Nic

ฉันพบว่าบทความนี้มีประโยชน์มากเช่นกัน funkytechguy.blogspot.co.za/2016/06/…

คำตอบ:


32

ขั้นตอนที่ 0: มีอย่างน้อยสองตัวควบคุมโดเมน
หากคุณมีตัวควบคุมโดเมนเดียวและมันล้มเหลวในลักษณะที่คุณไม่สามารถกู้คืนได้แสดงว่าโดเมนของคุณไม่มีอยู่อีกต่อไป ตัวเลือกเดียวของคุณคือการสร้างโดเมนใหม่อย่างสมบูรณ์ นี่เป็นกระบวนการที่เจ็บปวดที่เกี่ยวข้องกับการสร้างผู้ใช้ใหม่เข้าร่วมคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์และสร้างการตั้งค่าความปลอดภัยทุกครั้งที่คุณใช้


หากเซิร์ฟเวอร์นั้นไม่สามารถกู้คืนได้อย่างสมบูรณ์เช่นเนื่องจากความล้มเหลวของฮาร์ดแวร์ที่ไม่สามารถซ่อมแซมได้อย่างง่ายดายนี่คือวิธีกำจัดของเสียจากโดเมนอย่างสมบูรณ์ เมื่อมีการยึดบทบาท FSMO เป็นสิ่งสำคัญที่เซิร์ฟเวอร์เก่าจะไม่ถูกนำกลับมาออนไลน์ พิจารณาการเช็ดฮาร์ดไดรฟ์อย่างจริงจังเพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้น

  1. กำหนดว่าเซิร์ฟเวอร์ใดที่มีบทบาท FSMO (การดำเนินงานหลักเดียวที่ยืดหยุ่น) สำหรับโดเมนและฟอเรสต์ Microsoft มีบทความที่ดีในการหาบทบาท FSMO

  2. บทบาท FSMO ใด ๆ ที่จัดขึ้นโดยเซิร์ฟเวอร์ที่มีปัญหาควรได้รับการยึดไว้บนตัวควบคุมโดเมนที่สมบูรณ์ บทความอื่นของ Microsoftสำหรับบทความนี้

  3. บทบาท FSMO "โครงสร้างพื้นฐาน" เป็นพิเศษและมีการระบุจริงสำหรับแต่ละพาร์ติชันแอปพลิเคชัน หากเซิร์ฟเวอร์ที่มีปัญหาถือ DNS คุณจะต้องตรวจสอบว่าระเบียนในแต่ละพาร์ติชันแอปพลิเคชัน (DomainDnsZones, ForestDnsZones) ได้รับการอัปเดตแล้ว คำอธิบายที่ดีกว่าที่นี่และแก้ไขเป็นทางการที่นี่

  4. ดำเนินการล้างข้อมูลเมตาเพื่อลบเศษออกจาก Active Directory การลบข้อมูลเมตาเซิร์ฟเวอร์สูญพันธุ์

  5. ตรวจสอบ "ผู้ใช้ Active Directory & คอมพิวเตอร์" และ "Active Directory Sites & Services" เพื่อให้แน่ใจว่ารายการทั้งหมดสำหรับเซิร์ฟเวอร์ที่สูญพันธุ์ถูกลบออก

  6. ตรวจสอบ DNS เพื่อค้นหารายการคงที่ใด ๆ ที่เกี่ยวข้องกับเซิร์ฟเวอร์สูญพันธุ์แล้วลบลบกำหนดใหม่หรือวางเซิร์ฟเวอร์ใหม่ตามที่อยู่เดียวกัน

  7. หากเซิร์ฟเวอร์ที่เสียหายเป็นเซิร์ฟเวอร์ DHCP ที่ได้รับอนุญาตให้ตรวจสอบเพื่อดูว่ายังคงอยู่ในรายการเป็นเซิร์ฟเวอร์ที่ได้รับอนุญาตหรือไม่ ถ้าใช่คุณอาจต้องใช้ ADSI Edit เพื่อลบออกจากรายการราก DHCP

(แก้ไข 2010-03-14: เพิ่มความคิดเห็นของแกรมเกี่ยวกับขั้นตอนที่ 0)


ฉันต้องค้นหาทั้งหมดนี้อย่างยากลำบากดังนั้นหวังว่านี่จะช่วยคนอื่นที่อยู่ในตำแหน่งของฉัน
Nic

ฟังดูเป็นวันหยุดสุดสัปดาห์ แต่ขอบคุณสำหรับการแบ่งปันรายการตรวจสอบที่ยอดเยี่ยม
Gomibushi

น่าเสียดายที่ฉันคุ้นเคยกับขั้นตอนเหล่านี้มากเกินไป ...

5
+1 นี่คือคำตอบที่ดี คุณได้ครอบคลุมทุกอย่างสวยมาก ฉันจะเพิ่ม "ขั้นตอนที่ 0" สำหรับผู้ที่ไม่ต้องจัดการกับเรื่องนี้ .... "มี DC อย่างน้อย 2 เสมอ" มันน่ากลัวว่ามีสภาพแวดล้อมมากมายที่มีเพียงหนึ่งเดียว
ThatGraemeGuy

1
+1 สำหรับคำตอบและความเห็นของ Graeme ถึงแม้ว่ามันจะเป็นสิ่งที่ควรได้รับก็ตามมันก็ควรที่จะเน้นเช่นกัน
Maximus Minimus
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.