张琦 的BLOG
用户名:张琦
文章数:54
评论数:481
访问量:294714
注册日期:
阅读量:5863
阅读量:12276
阅读量:330975
阅读量:1037692
51CTO推荐博文
域控制器安装过程中断电!与Windows Server 2008 林功能级别提升之“冬夜”分享
&&&&&&& 记得上一次删除脱线域控制器的时间还是在11个月前,在一台老掉牙的机器上操作着那个几乎改变我职业命运的Windows Server 2000,一个系统管理员的未来。引用新同事blog上的记忆:“可是回忆像他老掉牙的机器播放的老电影,好多细节已经无从找寻。可是故事的内容永远是那么的熟悉然而又那么的遥远,毕竟原来还是原来,我们已经不是我们,无论如何,他已经刻进了胶片,成了一个你主演的真实故事片。”
老手了,还“断电”&&&&& 好了,那就言归正传!删除域中的错误对象,清理或者转移域控制器角色的操作,想必你在网络KB上已经掌握的如火纯青。那么我的这个经历是真实过程的一个重放,这个故事发生在一个准备合并的传媒公司,地点在通州,有兴趣的朋友可以“人肉”一下。可能在技术上操作很简单,但我相信对于一些初学者和马虎大意之人来说可以搞清楚所谓的技术逻辑顺序。&&&& 首先呢,我们已经建立好的.cn下再建了一个名称为MIS的子域,如图1所示。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/342599.png" border="0" />
图1 MIS作为.cn的子域&&&&&&&& 然后为吞并的多媒体制作公司建立.cn的域,让他们可以在这个林中享受一番。事情来得突然,我们知道在安装Windows 系统的时候是需要将UPS断开的,至于为什么,请您多看看Windows那枯燥的安装建议,或者本blog最后得小结部分。&&&&& 怎么突然了呢?安装完成后,来建立ADDS这个服务,然后做了DCPROMO的操作,也选择了图2的这个选项,在现有林中新建域,新建域树。可当马上就要出现“安全完成,请重新启动”这个对话框的时候,旁边的一个哥们手机准备充电,插向连接这台新服务器的电源插板时碰了按钮,“断电了”。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/364370.png" border="0" />
图2 建立新域的过程
&& 匪夷所思的后果&&&&& 那么这造成了什么后果呢?新域也建立起来了,但域控制器就是不正常,错误日志多多多!我交待了一下,明天等我过来再处理吧,毕竟现在是“冬天的夜晚”,走夜路很怕的,楼下速吃,回家。公司网管员说不跟着我去腐败了,自己再研究一下。&&&& 转日,我来时,管理员告诉我,他折腾了一夜,最后气愤地重新安装了已经成为.cn的域控制器,我傻了。看来会出现很多问题,下面就已提升林和域级别为例吧。提升林的功能级别时,系统长时间的让我等待,最后出现如图3所示的提示,徒劳无功。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/376673.jpg" border="0" />
图 3 提升林功能级别出错&&&& 别瞎猜了,看日志吧。点击“另存为”,出现在图4的位置中选择日志的保留地点。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/388976.jpg" border="0" />
图 4 提升失败后的日志&&&& 接下来,打开日志一看究竟,我们看到图5中的内容已经告诉我们了答案,原来提升林级别前要保证所有的子域和林中的域都必须提升到需要的功能级别,如Windows Server 2008。因为只有这样,我们才能用到NAP、AD RMS等等新鲜的事物。
接下来,打开日志一看究竟,我们看到图5中的内容已经告诉我们了答案,原来提升林级别前要保证所有的子域和林中的域都必须提升到需要的功能级别,如Windows Server 2008。因为只有这样,我们才能用到NAP、AD RMS等等新鲜的事物。&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/403229.jpg" border="0" />图 5 其中.cn还处于2000混合模式知道问题所在了,我们来提升.cn不就可以了吗?NO,看看图6、图7、图8吧。&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/417700.jpg" border="0" />图 6 提升.cn功能级别&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/429378.jpg" border="0" />图 7 由于断电,林中的信息其实是不完整的&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/443225.jpg" border="0" />图 8 再次证明了管理员直接重新安装DC的后果
&&& 打开AD的站点与服务,我们会发现如果要管理这个被摧残得域,那么你将得不到任何的信息,而当你查看属性的时候,会看见图9中的提示。&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/454420.jpg" border="0" />图 9 无法联系到需要删除的域
&&&& 解决办法依然是命令行
&&& “也许图形界面下,我们能解决这个问题呢?”:我假想到。算了,还是老实的进入到命令行模式修理吧。(看老电影还是比较熟悉的)步骤抓图简单一些,后面正是的总结一下,希望对我和看到这篇blog的同行都有帮助。步骤1:使用Ntdsutil&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/472276.jpg" border="0" />图 10 使用metadata cleanup 清理废弃对象步骤2:怪异情况是,不要怀疑,你需要连续执行两次删除动作,如图11所示。
&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/485749.jpg" border="0" />图 11 匪夷所思步骤3:OK,下面将出现一些对话框,有兴趣的朋友可以用放大镜看看图12、13、14所示,记住选 Y 就可以。
&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/505742.jpg" border="0" />图 12 删除选定对象&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/521367.jpg" border="0" />图 13 因为需要删除 AD DC FRS状态所弹出的对话框&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/532593.jpg" border="0" />图 14 应该可以删除服务器对象了步骤4: 进入到“站点和服务”中,删除存在的复制拓扑,如图15和16。&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/546878.jpg" border="0" />图 15 展开默认的站点&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/559274.jpg" border="0" />图 16 删除那个怪异字符的服务器步骤 5:重新回到域信任关系管理界面中,提升域和林的级别,成功!如图17、18、19所示。&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/571592.jpg" border="0" />图17 提升MIS子域级别&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/581133.jpg" border="0" />图 18 提升林功能级别&650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/590908.jpg" border="0" />图 19 确定可以成功了
知识连接1:Windows Server 2008域功能等级与林功能等级
&&&&&& 在Windows Server 2008的AD DS环境中,“功能级别”是用来决定域或林要启动哪些AD DS所属功能的依据。不过,“功能级别”不会影响哪些Windows版本的操作系统能够加入域或林。但是,“功能级别”会限制哪些Windows Server版本的操作系统能够被安装成为域或林中的域控制器。 &&&& &当在建立新域或新林时,应该将域及林功能等级设置为符合企业网络环境所能支持的最高值,这样就可以使用到最多的AD DS功能。例如,当域管理人员在安装Windows Server 2008域控制器时,如果确定域或林中没有Windows Server 2003 (或更前版的Windows Server操作系统) 版本的域控制器存在,则可选取Windows Server 2008功能等级。反之,则应该选取Windows Server 2003或Window 2000纯功能等级。另外,当确定Windows Server 2008的域或林内不会新增旧版本的Windows Server域控制器,或已没有这类域控制器正在使用中,则可以在安装完成AD DS后提升功能等级。但是,功能等级只能升级无法降级。 &&&&& 当管理人员在安装新林时,会先提示设置林功能级别,然后再设置域功能级别。你无法将域功能级别设置为低于林功能级别的值。例如,如果将林功能级别设置为Windows Server 2008,那么你只能将域功能级别设置为Windows Server 2008。此外,往后管理人员新增至该林的所有域的域功能级别都会默认为Windows Server 2008。
&&&&& 如果在域中,所有的域控制器都执行Windows Server 2008,则域功能级别可设置为Windows Server 2008。如果域控制器都执行Windows Server 2003,则域功能级别可设置为Windows Server 2003。而域中如果包含有Windows 2000域控制器时,则Active Directory功能会受到很多限制。&&&& 因此,当域内的域控制器符合升级条件时域管理员可以通过“Active Directory域和信任关系”工具执行。此外,如果要执行提升域功能级别程序,则至少需要拥有Domain Admins或Enterprise Admins等组的成员资格才行。升级步骤如下:&step01:使用具备有Domain Admins或Enterprise Admins等组成员之一的资格用户帐户登录。step02:点击“开始”→“管理工具”→“Active Directory域和信任关系”。step03:在“Active Directory域和信任关系”操作界面中,点击要提升域功能级别的域,本范例点击“.cn”,然后按“右键”点击“提升域功能级别”。step04:在“提升域功能级别”界面中的“选择一个可用的域功能级别”字段,点击合适的域功能级别,再点击“提升”按钮,系统显示提示信息对话框,点击“确定”。step05:系统显示“已顺利提高功能级别”的对话框,点击”确定”,完成域功能级别的提升。
知识连接2:删除废弃的域元数据
step01:打开“命令提示符”,键入: ntdsutilstep02:在 ntdsutil 命令下,键入: metadata cleanupstep03:在 metadata cleanup 命令下,键入: connectionstep04:在 connection 命令下,键入: connect to serverServerstep05:在 connection 命令下,键入: quitstep06:在 metadata cleanup 命令下,键入: select operation targetstep07:在 select operation target 命令下,键入: list sitesstep08:将显示一个按编号排列的站点列表,键入: select siteSiteNumber (注意,从0开始计算的)step09:在 select operation target 命令下,键入: list domains in sitestep10:将显示选定站点中按编号排列的一个域的列表,键入: select domainDomainNumberstep11:quitstep12:在 metadata cleanup 命令下,键入: remove selected domain&说明:&Server=域控制器的 DNS 名称&SiteNumber=在显示的列表中对应于要连接到的站点的编号&DomainNumber=在显示的列表中对应于要清理的域的编号
工作小结:
<font color="#.机房电源管理要严格,手机充电要小心。
2. 根据微软的提示,如果服务器与不间断电源 (UPS) 相连,那么在运行安装程序之前,请断开串行电缆。安装程序将自动尝试检测连接到串行端口的设备,而且 UPS 设备可能导致在检测过程中出现问题。因此我在安装之后,就断开了连接,但安装完毕后,在安装例如ADDS这样的服务时,应该将UPS连接上,以防万一,万不可懒。
<font color="#.使用metadata cleanup清理对象时,有时需要执行两次最后的命令,这个问题我从Windows Server 2000时好像就发表过这个问题,但未提交给微软。不过,也可能是我的操作还不规范,需要再深入,深入研究之。
4.要清除元数据,必须首先选择操作目标。在选择服务器的操作目标时,必须首先选择站点,然后选择域。
<font color="#.想起来一个问题,域大?林大?站点大?7年前面试微软护航工程时的时候,好像回答对了,站点大吧。这个问题同时也在“八百年前”同WinMag论坛上争论过,也希望拿到51cto上继续和大家抬杠一下。
&本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)
01:12:14 08:05:28 10:01:34 11:23:30 11:56:33 12:25:06 13:49:04 15:03:58 12:32:42 21:47:50 &&1&
&&页数 ( 1/2 ) &一、域控制器安装步骤:
1、装 Windows Server 2008 R2并配置计算机名称和IP地址(见 )
2、点击“开始”,在“搜索程序和文件”中输入Dcpromo.exe后按回车键;
3、如下图进入域控制器安装的准备;
4、进入AD DS安装向导,点击“下一步”;
5、在操作系统兼容性,点击“下一步”;
6、选择“在新林中创建域”后点击“下一步”;
7、输入域名“”后点击“下一步”;
8、选择合适的林功能级别级别(建议使用Windows Server 2008 R2),之后点击“下一步”;
9、在其他域控制器选项,点击“下一步”;
10、点击“是”,继续安装;
11、在指定数据库、日志文件及SYSVOL位置,点击“下一步”;
12、输入目录服务还原模式密码后,点击“下一步”;
13、回顾AD DS相关配置,点击“下一步”后进入活动目录安装进程;
14、安装完成后,点击“确定”后点击“立即重新启动”,如下图;
15、重新启动后,使用域管理员帐号登陆域控制器。
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:6819次
排名:千里之外
原创:21篇
(1)(1)(1)(1)(1)(5)(5)(1)(1)(1)(6)(6)<div class="toubu"
& Windows Server 2008 执行活动目录授权还原
执行活动目录授权还原
上一篇文章写了“”,今天来写一下“Windows Server 2008 执行活动目录授权还原”,由于年底比较忙所以文章更新的比较慢,这篇文章写完之后windows server 2008的系统管理与网络服务的所有文章就都结束了,等过完年回来,跟大家分享一下关于服务器方面的知识吧。
实验名称:Windows Server 2008 执行活动目录授权还原
所属课程:Windows 系统管理
实验目的:掌握windows2008 执行活动目录授权还原的方法
实验拓扑:2台虚拟机
实验步骤概述:
1在1个2K8上安装dc,然后在另一个2k8上添加一个现有域的域控制器,在主域控制器中,添加2个UA,然后备份系统状态,然后在删除2个UA.
2.删除了2个UA发现误删一个需要恢复,我们选择授权恢复
3.然后查看是否恢复
实验详细步骤:
1.在1个2K8上安装dc,然后在另一个2k8上添加一个现有域的域控制器,在主域控制器中,添加2个UA,然后备份系统状态,然后在删除2个UA
我们首先在一个2k8上安装DC,域名为,然后在另一个2k8上添加一个现有林的域控制器,如图1-1
在2k8上添加一个现有林的域控制器
这里我们选择的是现有林-向现有域中添加域控制器,然后点击下一步,如图1-2
域的名称我们填入,然后备用凭据输入域控制器的管理员帐号跟密码
域的名称我们填入,然后备用凭据我们输入域控制器的管理员帐号跟密码,然后点击下一步,如图1-3
选择林根域不要选择子域
这里我们一定要选择林根域不要选择子域,然后完成。然后我们新建2个UA,sales,project,然后添加一些用户,如图1-4
新建2个UA,sales,project,添加一些用户
我们打开另一个域控制器,发现我们新建UA已经同步到了另一个域控制器中,如图1-5
打开另一个域控制器,发现新建UA已经同步过来了
我们可以看到跟主域控制器是一模一样的,然后我们回到主域控制器,备份系统状态,我们需要安装windows server backup这个功能,把命令行一定安装上,如图1-6
安装windows server backup这个功能,把命令行一定安装上,然后执行备份
我们备份完成之后,删掉新建的那2个UA,sales,project,如图1-7
删掉新建的那2个UA,sales,project
2.删除了2个UA发现误删一个需要恢复,我们选择授权恢复
删除之后我们发现,我们需要保留sales,我们只能恢复,然后我们重启域控制器,开机按F8进入目录还原模式,然后我们进入cmd输入wbadmin get versions获取备份的versions版本号,然后执行还原,wbadmin start systemstaterecovery -version:01/09/ 如图1-8
重启域控制器,开机按F8进入目录还原模式,然后进入cmd输入wbadmin get versions获取备份的versions版本号,然后执行还原,wbadmin start systemstaterecovery -version:01/09/
然后我们重启dc进入目录还原模式,然后执行授权还原进入模式之后进入cmd
然后键入ntdsutil
键入“activate instance ntds”
键入“authoritative restore”
还原sales OU
输入restore object “ou=sales,dc=cninfo,dc=com”
然后还原如图1-9
重启dc进入目录还原模式,然后执行授权还原进入模式
授权恢复完成,我们到2个域控制器上看一下效果。
3.然后查看是否恢复
我们重启一下2个DC,让同步一下,然后我们打开主域控制器如图2-0
重启一下2个DC,打开主域控制器
我们看到,就只有sales这个OU了,我们在到另一个域控制器上看如图2-1
登录到另一个域控制器
我们发现这里也只有sales说明已经同步了。试验完成
实验结论:在试验完成之后我们需要多次重启2个DC以保证数据能同步,试验成功。
到此关于windows server 2008的所有文章就结束了,大家如果有什么建议和意见可以给我留言。
查看更多文章请到”“,这是目录,里面列出了windows server 2008 服务器学习所有文章的列表。
windows server 2008 服务器学习PPT 到”“这篇文章下载。
文章作者:本文地址:版权所有 & 转载时必须以链接形式注明作者和原始出处!
关注我的微博
订阅我的博客
登录与注册您可以用合作网站帐号登录:
文章数:65
评论数:115
访问量:96,483angerfire 的BLOG
用户名:angerfire
文章数:145
评论数:1883
访问量:1199597
注册日期:
阅读量:5863
阅读量:12276
阅读量:330975
阅读量:1037692
51CTO推荐博文
一文中我们在完全安装模式的server 2008 中安装了域控制器,我们知道windows server 2008 还支持core模式(核心安装模式)。对于负载比较大的域控制器,为了增加他的性能,我们也可以在core模式下部署域控制器。这样我们的域控制器性能和稳定性都会大大增强。很多朋友害怕core模式下的命令,或者担心不好管理(毕竟core模式安装的系统是没有图形管理界面的)。那么,在这里给大家吃一颗定心丸,其实core模式是很好管理的因为我们有图形化的管理工具。那么如何在core模式下部署dc,又如何实现远程管理呢?请看下面的具体步骤(别眨眼哦^_^):
第一步:制作应答文件:
core模式安装的系统是没有dcpromo安装向导界面的,所以,我们需要在一台完全安装的windows server 2008上制作应答文件(考虑到要大家手写应答文件的难度较大,所以在图形的操作系统上通过dcpromo域安装向导 预先设定并生成应答文件比较好)。
a. 首先运行dcpromo域服务安装向导工具,更具自己的需求配置域环境(包括您要创建新域还是子域等等),具体配置配置可以参考上一篇 &
b. 在完全安装的server 2008上我们目的是为了生成应答文件,所以在完成配置后,选择导出配置,并关闭dcpromo安装向导工具(不要真装了哈^_^)。只要生成dcpromo.txt(名字可以自定义)应答文件就好了
///注释:生成的原始应答文件的内容如下:
; DCPROMO unattend file (automatically generated by dcpromo) ; Usage: ;&& dcpromo.exe /unattend:C:\Users\Administrator\Desktop\dcpromo.txt ; [DCInstall] ; New forest promotion ReplicaOrNewDomain=Domain NewDomain=Forest
ForestLevel=0 DomainNetbiosName=WGS DomainLevel=0 InstallDNS=Yes ConfirmGc=Yes CreateDNSDelegation=No DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword= ; Run-time flags (optional) ; RebootOnCompletion=Yes
///针对以上应答文件我们仅仅需要修改一处就可以给core模式安装的计算机使用
修改后的应答文件如下:
///注释:仅仅需要修改'’
; DCPROMO unattend file (automatically generated by dcpromo) ; Usage: ;&& dcpromo.exe /unattend:C:\Users\Administrator\Desktop\dcpromo.txt ; [DCInstall] ; New forest promotion ReplicaOrNewDomain=Domain NewDomain=Forest
ForestLevel=0 DomainNetbiosName=WGS DomainLevel=0 InstallDNS=Yes ConfirmGc=Yes CreateDNSDelegation=No DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword= ; Run-time flags (optional) ; RebootOnCompletion=Yes
///针对以上应答文件我们仅仅需要修改一处就可以给core模式安装的计算机使用
第二步:复制应答文件到core server(使用核心模式安装的2008),在设置IP dns信息后,安装域控制器。
a. 复制应答文件到core server的c盘:
b. 转到c盘,并准备ip和dns(配置core模式下的网络配置信息请见
),使用应答文件进行域控制器的安装。
使用在%systemroot%\system32 下运行 dcpromo /answer:c:\dcpromo.txt
开始验证应答文件的设置,并进入安装阶段。
安装完成后core server(DC)会自动重启。
第三步:远程管理core server (DC):
a. 要想实现对core server 的远程管理必须在core server 上启用远程管理(具体配置项请参考 一文中 “13&& 配置windows 防火墙和启用远程管理” );
b. 将一台完全模式安装的server 2008 加入域;
&&&& 1& 打开服务器管理器,点击更改系统属性:
&&&& 2& 点击更改,写入域名和验证信息后确定
&&&&& 3& 加入域后重新启动计算机。
&&&&&&&&&& &
c. 安装远程管理工具包并实现远程管理core server(DC) 。
&&&& 1& 用域管理员登陆并安装远程管理工具
&&&&&&&&&&
&&&&&&&&&& 打开服务器管理器,点击添加功能,并选择“远程服务器管理工具”,选取要用的管理工具:
&&&&&&&&&&
&&&&&&& 2& 点击开始-管理工具-Active Directory 用户和计算机 右键点击“Active Directory 用户和计算机”并选择“更改域控制器”大家可以看到当前的DC是(也就是core server):
&&&&&&&&&&&
ok,这样呢我们就实现了在 core模式下部署域控制器,并在完全安装模式下对core server(DC)实现远程管理。
2008还有那些神奇功能呢?对企业低成本高效率应用的实施还有哪些绝招呢?请听下回分解。本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)
10:58:53 21:29:58 23:20:39 15:46:32 20:35:20 17:26:00 20:30:40 22:54:17 07:49:59 07:51:38 &&1&
&&页数 ( 1/2 ) &
