iT邦幫忙

0

Windows 2008 std RODC 異機還原問題請益.

kant 1 周前1618 瀏覽

小弟負責分公司的 RODC AD 主機維護(OS 為 Windows 2008 Std版 ,無R2),
因舊主機老舊, 小弟使用 Acronis backup advanced 備份軟體做異機環原到新主機,
新主機不動軟體設定(未改SID,相同IP及電腦名稱),只做硬體驅動掛載及網卡IP設定,服務可正常運作及連線上網,
現在出現一個問題,
舊機原本可以做分公司的 AD 站台「立即複寫」,在只接新主機取代舊主機網路連線情況下,
新主機 做 立即複寫 會出現 [嘗試從網域控制站 AAA-DC1 到 網域控制站 LOCB-DC1 同步命名內容 domain_name.ad 時發生下列錯誤:命名內容已放在移除處理的程序中,或是並未從指定的伺服器複寫過來。此操作將不會繼續。]
小弟進行了一些嘗試性的操作,都無效,
現測試「立即複寫」作業,改出現 [一個或多個 Active Directory 網域服務連線是發生在不同站台的網域控制站之間。AD DS 會嘗試在這些連線之間進行複寫。如何確認複寫的詳細資訊,請參閱[說明及支援]。]

因工作職掌分工的問題,小弟並無最高管理權限,也無法操作 ROOT DC,
現在這種情形下,小弟應如何排除問題?
方案一、多等幾天等複寫完成?
方案二、請總公司管理 DC 人員遠端協助處理?
還請高手給予指導,
謝謝您。

kant iT邦新手 4 級 ‧ 6 天前 檢舉
不管做何種處置,都會用到DC管理者權限,因此我向總公司詢問. 工程師告知出現 [一個或多個 Active Directory 網域服務連線是發生在不同站台的網域控制站之間。AD DS 會嘗試在這些連線之間進行複寫。如何確認複寫的詳細資訊,請參閱[說明及支援]。是正常的!是正常的!!是正常的!!!(很重要,講三次). 小弟進行新帳號新增,用小弟電腦內的檔案夾安全性套用到剛剛增加的新帳號,安全性可加入該新帳號,工程師說RODC這樣就沒有問題了(說有問題,則會套用不到該新帳號). 所以,用 Acronis 異機還原, 舊機關掉, 只開新機,不用做什麼調整或修正,它自己就會跟別的DC連上抄寫複本了.

2 個回答

0
raytracy
iT邦大神 1 級 ‧ 1 周前
最佳解答

DC 不能隨便還原的....

正確的作法 (前提是你主要的 FSMO 那台 DC 還是正常的):

  1. 假設舊 DC 還活著的話, 請先新建一台 DC 加入網域之後, 再把舊的 DC 退網域.

  2. 假設舊 DC 已經掛掉的話, 新建一台 DC 直接加入網域 (名稱/IP都不要跟舊的相同), 再從 FSMO 那邊把舊的 DC 物件砍乾淨.

以上兩種方法都用不到還原功能, 只要 FSMO 的 DC 一直活著就可以.

但是, 如果你單單將 DC 從備份還原回來, NTDS 資料庫會進入一個自我保護的模式, 禁止任何資料被變更/同步, 這是為了避免有人拿了備份, 去別的主機上還原之後, 複製出跟原來相同的環境, 竊取 DC 內的重要帳密.

所以, 當你將 DC 還原出來之後, 還要再做第二次的處理: 開機按 F8 進入「目錄還原模式」(DSRM), 然後再手動覆蓋一次跟 DC 有關的系統檔案, 詳情請參考此篇的 4.3 步驟:
https://www.google.com.tw/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0ahUKEwi_zpzV9KfTAhVGppQKHe5jCs0QFggxMAI&url=http%3A%2F%2Fwww.acronis.com%2Fdownload%2Fdocs%2Fabr11as%2Fad_backup%2F&usg=AFQjCNEit0sp2el2raJq4vuF92vClsxiUQ&sig2=JhdqA5L1jyoBMDDdWlOZiw

但是目錄還原之後, 你可能還會遭遇到三種不同的情境問題, 這裡有不同情境的障礙排除方法:
https://support.microsoft.com/zh-tw/help/263532/how-to-perform-a-disaster-recovery-restoration-of-active-directory-on-a-computer-with-a-different-hardware-configuration

然後你的同步複寫會失敗, 很可能是 USN Rollback 的問題, 請參考此篇修正:
https://support.microsoft.com/zh-tw/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-2003,-windows-server-2008,-and-windows-server-2008-r2

操作 DC 要注意一件事: DC 內有非常敏感的帳密, 所以微軟設計了一套機制, 防止有人竊取備份之後, 去別處還原出一台相同的 DC, 進而盜取帳密. 因此, 一般的還原步驟, 是無法讓 DC 正常上線的.

kant iT邦新手 4 級 ‧ 1 周前 檢舉

果然是大神級的,待小弟慢慢消化它.感謝.

kant iT邦新手 4 級 ‧ 1 周前 檢舉

經 r大神的提示,小弟找到中文版參考,在第 11.4.3 章中, PDF檔在
http://www.acronis.com/zh-tw/download/docs/abws11.7/userguide/

1
hsiang11
iT邦新手 4 級 ‧ 1 周前

我怎麼覺得你出包了
我猜想SID的綁定跟硬體有關
因為硬體的變更導致SID被改寫了 就出現奇奇怪怪的問題
一般這種大變動我想比較穩的做法都是加一台主機進Domain
再做角色的轉移
沒辦法處理還是快回報狀況給總公司IT 看他們有沒有辦法解決
而且你也權限不足
你的複寫應該已經斷了 就先不要亂動看看後續狀況
如果沒有微軟專家就找SI進來解了

kant iT邦新手 4 級 ‧ 1 周前 檢舉

有這麼嚴重嗎? 我把新主機網路線拔掉,接回舊主機,一樣做 立即複寫 會出現 [嘗試從網域控制站 AAA-DC1 到 網域控制站 LOCB-DC1 同步命名內容 domain_name.ad 時發生下列錯誤:命名內容已放在移除處理的程序中,或是並未從指定的伺服器複寫過來。此操作將不會繼續。]

我要發表回答

立即登入回答