首先介绍一些背景知识:我有两个域控制器(dc1 和 dc2),分别运行 32 位和 64 位的 Server 2003。自 2012 年某个时候以来,它们一直无法复制,而当我开始在这家公司工作时,我并没有意识到这一点。员工仍然能够登录托管在两个域控制器上的文件共享,所以我被告知不要碰它们。我添加了一个运行 Server 2003 的 VM 作为另一个域控制器,与拥有 FSMO 角色的 dc1 进行复制。
该虚拟机最近死机了,我从 dc1 中删除了该虚拟机的 AD 角色。现在我无法使用管理员帐户登录 dc1。我也无法将任何机器添加到域中。一些用户可以访问 dc1 上的文件共享,但大多数人无法访问。我在 dc1 和 dc2 上运行了 dcdiag,可以看到结果这里。
所以,我的问题是,我能做些什么来恢复 dc1?我甚至不知道从哪里开始,除了互联网,我没有其他人可以寻求帮助。我知道我应该从 dc2 中删除 AD 并重新添加它,但我不想在 dc1 处于当前不稳定状态时这样做。
答案1
您能否创建另一个 2003 VM 并向其中添加 AD,复制我们的 DC1,转移角色,然后修复 dc2?这听起来就像巫术。如果 AD 中没有有效的管理员帐户,您需要做的任何事情都会成为问题。
看起来您的 DC2 和 DC1 可能已分离,然后继续运行,无法通信,并且您的用户帐户分散在两台服务器上。这可能是他们仍然可以登录的原因,但我敢打赌,两个机器上的管理员帐户密码是不同的(尝试最后一个已知密码,看看是否有效)。(您的 bass un 和 pw 错误似乎表明它们是不同的)。
每台机器上的时间是否相同?我查看了您的 dcdiag 转储,但不够熟悉,无法帮助您解决收到的错误。
如果是我(而你不是),我会抛弃 DC1,让 dc2 接管 FSMO 角色,然后从那里进行分类。但是,如果不了解你的设置,你很可能会丢失一些数据。
答案2
我可能会建议以下方法,但实施起来会很耗时:
- 对你的两台 DC 进行镜像备份,如果出现任何问题,你都可以使用镜像进行恢复
- 在 DC1 上重置您的管理员密码,Google 是您的朋友,但如果您在结果中迷失,您可以使用这个有用的链接:http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
- 一旦您可以访问 DC1,请尝试查看两台服务器在创建的 AD 对象(如用户、组、计算机)方面的差异
- 如果 DC1 中没有创建大量对象,并且大多数对象都在 DC2 上,那么我建议像我之前的答案一样杀死 DC1,集中精力使 DC2 进入健康状态,掌握 FSMO 规则,然后尽快安装副本 DC。
- 如果 DC1 上有许多不在 DC2 上的对象,则尝试安装新的 DC 并将其与 DC1 连接,方法是重置 DC 密码、复制、获取 FSMO 规则,确保新服务器已启动并正在运行,然后 BAM!杀死 DC1(不管怎样它都必须死掉),确保在杀死 DC1 后安装新的 DC 副本
我有一种感觉,无论你做什么,你都会失去一些账户,但这是一个衡量哪种方法会让你的损失比其他方法更少的问题。
希望这可以帮助。