iT邦幫忙

0

還原DC主機(虛擬化)問題

各位先進好,
公司前輩之前架了2台DC主機,DC1為主要,DC2為備援,兩台DC是虛擬機,分別架在不同的實體主機上(皆VMware esxi),VMSR1、VMSR2,備份是用veeam,無HA機制。

上週因為公司停電維護,我透過VEEAM把DC1的備份,還原到VMSR2上運行,原本VMSR1的DC1沒有開機、也沒有刪除,結果出現許多問題,DC1和DC2似乎斷了連結,DC1的資訊,不會複寫到DC2。

USER CLIENT,網域帳號不能登入NAS的網路資料夾,權限設定無誤,同一群組的人可以連入該資料夾。事件檢視器,有錯誤訊息,顯非「這台電腦無法通過 DC1 (網域XXX)WINDOWS網域控制站 的驗證」,後來我將該電腦退出網域再加入,下gpresult,發現他是連到DC2,而不是DC1,我自己的電腦和別的幾台電腦則還是DC1。

請問,這樣的遷移出問題的可能原因是什麼呢?
我目前想到的是網卡不一樣,那是否需要重新做DC1、DC2的鏈結?
謝謝各位解惑。

James iT邦大師 6 級 ‧ 2019-09-19 15:38:53 檢舉
你是用舊備份還原,還是DC1關機後備份最新狀態再還原。
是前一天的DC備份來還原的。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
Ray
iT邦大神 1 級 ‧ 2019-09-19 14:56:57

DC 這樣還原當然會死掉.....

所有 DC 之間都會同步一個 USN 記號, 用來記載誰的資料才是 Master? 誰可以被複寫? 如果你的 DC1 原本是 FSMO, 且主要資料是他發出去複寫的話, 那麼他應該會隨時維持 USN 是領先其他 DC 的狀態...這個 USN 數字每次複寫都會更新, 所以他可能每天會向前進版好幾次....

當你一還原 DC1 的時候, 會把存在備份當時的 USN 又寫回來, 但是因為其他 DC 的 USN 數字已經往前走很遠了, 還原後 DC1 舊的 USN 一定落後其他人, 於是其他 DC 就不會接受他的 master 宣告, 把他排除在外....

此時如果你沒有奪取 fsmo 的話, 雖然原本負責 fsmo 的 DC1 回來了, 但因 USN 不合規被擋在門外, 無法執行 fsmo 角色, 而其他的 DC 也沒有接手 fsmo 角色來執行, 整個 AD 就爛掉了....

正確的還原方法請參考:
How to recover a Domain Controller: Best practices for AD protection (Part 2)
(不是只有 Part.2 喔, 後面還有 3 和 4 要處理)

整個過程你必須做一些判斷, 才能決定過程中要如何還原? 通常是要按 F8 進目錄還原模式才正確; 但 Veeam 有他自己的方法, 你要依照他的方法去做才行....

你只要還原正確, dcdiag/a 和 repadmin /showrepl 都正常的話, 就不需要作任何其他的處置....要不然, 像你現在這樣就變成要人工進去修復 NTDS 或 ADSI, 最糟狀況是全部砍掉重練....

你可以再做一次 DC1 還原, 但是依照 Veeam 的方式試試看...(反正現在 DC1 也不是正常的, 再還原一次也沒差), 不行的話, 請用其他 DC 奪取 fsmo, 然後把 dc1 下架....

看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2019-09-19 19:28:05 檢舉

我的話就直接搶fsmo了,然後DC1重建再轉移回去。

https://ithelp.ithome.com.tw/upload/images/20200218/20115619xFXg246jQK.jpg
請問我將DC2搶FSMO後(netdom -query fsmo是DC2.xxx.com.tw),將DC1降級、刪除AD角色、改名後關機。現在發現,DC2沒有建dns,DNS新增區域時,會顯示「無法建立區域。發生伺服器失敗」,請問該往哪個方向下手?
另外AD中,若無任一台DC安裝DNS(包含AD整合區),是否就無法加入網域、透過網域帳號登入NAS資料夾(SGO登入)?
謝謝各位

Ray iT邦大神 1 級 ‧ 2020-02-19 01:45:40 檢舉

剛奪取 fsmo 之後, 隔天有做 dcdiag/a 檢查是否正常嗎? 當時若有錯誤就要馬上修正掉喔....

照理說, 你的 DC 若無 DNS Server 應該無法執行 fsmo 任務的 (但是他不會因為無法執行就馬上跳出錯誤警告你, 畫面上甚麼事都不會出現, 當下要主動去 Event log 裡面翻找錯誤, 或是用 dcdiag 指令檢查)...因為 AD 的底層就是從 DNS 開始往上蓋的, 沒有 DNS 等於所有功能都沒有....

感謝回覆。
手動把DC2的DNS資料建回來…目前已可以透過網域的帳號來登入NAS資料夾。
另外請教,目前AD只有一台DC(DC2),是否要取消「AD站台服務/Sites/Default-First-Site-Name/DC2/NTDS Settings」下的通用類別目錄(GC)?因為一直出現複寫失敗的log。
謝謝

Ray iT邦大神 1 級 ‧ 2020-02-19 17:43:01 檢舉

GC不能取消喔, 那樣 AD 會壞掉...

但是其他不存在的 Server 複寫連線可以刪掉沒關係...

我要發表回答

立即登入回答