Apa yang perlu dilakukan setelah kerusakan Domain Controller?

20

Dengan asumsi bahwa setidaknya ada dua pengontrol domain yang ada di domain untuk memulai, langkah-langkah apa yang perlu diambil untuk membuat Active Directory sehat setelah kerusakan pengontrol domain?

Nic
sumber
Bagaimana Anda mendefinisikan "Hancur"? Apakah hanya BSOD, atau benar-benar mati?
Mark Henderson
Mati total. Dalam kasus saya, catu daya dan motherboard gagal.
Nic
Saya menemukan artikel ini juga sangat berguna. funkytechguy.blogspot.co.za/2016/06/…

Jawaban:

32

Langkah 0: Miliki setidaknya dua pengontrol domain .
Jika Anda hanya memiliki satu pengontrol domain dan gagal sedemikian rupa sehingga Anda tidak dapat memulihkannya, maka domain Anda tidak ada lagi; satu-satunya pilihan Anda adalah membuat domain yang sama sekali baru. Ini adalah proses yang menyakitkan yang melibatkan menciptakan kembali pengguna, bergabung kembali dengan komputer dan server klien, dan bahkan menciptakan kembali setiap pengaturan keamanan yang pernah Anda gunakan.


Jika server benar-benar tidak dapat dipulihkan, seperti karena kegagalan perangkat keras yang tidak dapat dengan mudah diperbaiki, maka di sini adalah bagaimana cara membersihkannya dari domain sepenuhnya. Setelah peran FSMO disita, sangat penting bahwa server lama tidak pernah dibawa kembali online. Serius mempertimbangkan untuk menghapus harddisk untuk memastikan bahwa ini tidak akan pernah terjadi.

  1. Tentukan server mana yang memegang peran FSMO (Operasi Tunggal Master Fleksibel) untuk domain dan hutan. Microsoft memiliki artikel yang bagus untuk menemukan peran FSMO .

  2. Setiap peran FSMO yang dipegang oleh server macet harus diambil pada pengontrol domain yang sehat. Artikel Microsoft lainnya untuk yang ini.

  3. Peran "Infrastruktur" FSMO adalah khusus, dan sebenarnya ditentukan untuk setiap partisi aplikasi. Jika server macet menahan DNS, Anda harus memverifikasi bahwa catatan di setiap partisi aplikasi (DomainDnsZones, ForestDnsZones) telah diperbarui. Penjelasan yang lebih baik di sini dan perbaikan resmi di sini .

  4. Lakukan pembersihan metadata untuk menghapus sisa-sisa dari Active Directory. Menghapus metadata server yang punah .

  5. Periksa "Pengguna Direktori Aktif & Komputer" dan "Situs & Layanan Direktori Aktif" untuk memastikan bahwa semua entri untuk server yang punah telah dihapus.

  6. Periksa DNS untuk menemukan entri statis apa pun yang terkait dengan server yang punah, dan hapus itu, tetapkan kembali, atau letakkan server baru di alamat yang sama.

  7. Jika server macet adalah server DHCP resmi, periksa untuk melihat apakah masih terdaftar sebagai server resmi. Jika ya, Anda mungkin perlu menggunakan ADSI Edit untuk menghapusnya dari daftar root DHCP.

(Edit 2010-03-14: Menambahkan komentar Graeme tentang langkah 0)

Nic
sumber
Saya harus mencari tahu semua ini dengan cara yang sulit, jadi mudah-mudahan ini dapat membantu orang lain yang berakhir di posisi saya.
Nic
Kedengarannya seperti akhir pekan yang buruk, tetapi terima kasih telah berbagi daftar periksa yang hebat.
Gomibushi
Sayangnya saya terlalu terbiasa dengan langkah-langkah ini ...
5
+1, ini adalah jawaban yang bagus. Anda telah membahas hampir semua hal. Saya akan menambahkan "Langkah 0" bagi mereka yang tidak harus berurusan dengan ini .... "Selalu memiliki setidaknya 2 DC". Menakutkan berapa banyak lingkungan di luar sana dengan hanya satu.
ThatGraemeGuy
1
Memberi +1 untuk jawabannya, dan juga komentar positif terhadap Graeme - meskipun itu sesuatu yang harus diterima begitu saja juga harus disorot.
Maximus Minimus