Oefening baart kunst - deel 2



Vergelijkbare documenten
WHITE PAPER. by Default Reasoning

Deel 4 Active Directory inleiding

DHCP Scope overzetten van Windows Server 2003 R2 naar Windows Server 2012

10/5 Integratie met Windows

Oefening baart kunst

Windows server Wesley de Marie. Wesley

Configureren van een VPN L2TP/IPSEC verbinding

IAAS BACKUPS MAKEN MET IASO

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows

Praktijk opdrachten VMware

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Installatie Domein Windows 2000

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

Installatie Avalanche Windows

Handleiding Inloggen met SSL VPN

Installeren van het programma:

Deze procedure beschrijft de handelingen die verricht moeten worden voor het verbinden van uw laptop met het wireless netwerk van de HU

Aandachtspunten voor installatie suse in vmware server

INSTALLATIE EXCHANGE CONNECTOR

Voor op afstand os installatie moeten de volgende onderdelen geïnstalleerd zijn op de Windows 2000 server.

Router configuratie. Vervolgens pak je een werkplek (het liefst win 98 + ie 6.1 ) Start de pc op en zorg dat Illusion wordt gedeactiveerd.

1) Domeinconfiguratie van Windows 9x clients & Windows Millennium

Stappenplan bij het gebruik van SQL Express 2005 Versie 2.0,

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Instellen en gebruiken van LDAP met Active Directory

Boutronic. MSSQL Express server voor Log functie. >> Installatie handleiding << 2 april 2012, versie 1.0d

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

ZIVVER Installatiehandleiding

Windows Deployment Services. Deze opdracht maakt gebruik van de VApp _JVN_Deployment. De opdracht is werkend getest in de cloud ( vwb Windows7)

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Handleiding voor het installeren van Tomcat7

Installatie Avalanche Webview

Inhoud 0 Inleiding 1 Algemene netwerkbegrippen De installatie van Windows Server 2003

Installatie King Task Centre

Technische documentatie Klankie 2010 voor systeembeheerders/installateurs

Op de Virtual Appliance is MySQL voorgeïnstalleerd. MySQL is momenteel de meest gebruikte database op het internet.

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Installatie stappen Microsoft SQL Server 2008 R2 Express With Tools:

Alleen boek op tafel

Les 3, di : De Installatie van Windows Server Windows Server De installatie van Windows Server 2012

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Quickstart ewon Cosy 131

VERA Softkey Teleworker. Installatieprocedure

Installatie van WerkMeester

Installatie SQL Server 2014

VU POINT Camera Toevoegen

Installatie stappen Microsoft SQL Server 2012 Express With Tools:

Les 2, do : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

NW06 Installatie van Active Directory

Sick Beard installeren en configureren voor gebruik in combinatie met SABnzbd+...

Lesplan: Schooljaar versie: 1.0. HICMBO4P MS Server 2012 Planning

Handleiding Microsoft SQL Server configuratie

MySQL Server Installatie Handleiding RETSOFT ARCHIEF EXPERT VERSIE Versie: v

Installatie SQL Server 2012

Standard Parts Installatie Solid Edge ST3

IAAS - QUICK START GUIDE

Optifile Server Installatie

Orbis Software. Portal4U. Installatie Handleiding. Dit document bevat de Installatie Handleiding voor Portal4U

Les 2, ma : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Installatie Handleiding - Multispectraal V.W1.0

Handleiding Job voor gebruikers

2 Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Netwerkbeheer Examennummer: Datum: 17 november 2012 Tijd: 10:00 uur - 11:30 uur

Logicworks CRM en Microsoft SQL Server 2005 (Express) Introductie

Installatiehandleiding TiC Narrow Casting Manager

Technote. EnGenius Senao EOM Mesh Layer 2 configuratie Transparant netwerk

Solcon Online Backup. Aan de slag handleiding voor Linux

Installatiehandleiding. Facto minifmis

Portal4U 1.4 Installatie

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Inrichting Windows XP Pro werkstation in schoollan

Getting Started. AOX-319 PBX Versie 2.0

Central Station. Handleiding configuratie Exchange / Central Station

Installatie en configuratie documentatie

Installatie Accowin (versie 2)

KeyLink B.V. KeyLink CTI Client Installation Manual - Dutch

Pervasive Server V9 Installatiegids

Installatie SQL: Server 2008R2

Quick Start Guide for Mxstream. In de Nederlandse taal

HANDLEIDING WINDOWS INTUNE

Handleiding installatie iphone en ipad

Gebruikershandleiding Plato3

ipact Installatiehandleiding CopperJet 816-2P / P Router

Instellen back up Microsoft SQL database Bronboek Professional

Een Windows XP-netwerk maken

Configuration software van de Agility installeren op een Windows 64 bits

Installatie Handleiding voor: TiC Narrow Casting Certified. System Integrators

Linux Server Back-up Online

Upgrade Accowin van versie 1 naar versie 2

Installatie van sqlserver

Computer vanop afstand overnemen via Extern Bureaublad.

Denit Backup instellen op een Linux server

WHITE PAPER. by Default Reasoning

Transcriptie:

Windows Server 2008 Active Directory Forest Recovery Oefening baart kunst - deel 2 Richard Schiks, Marcel Bakx In dit deel worden de stappen in het Active Directory Forest Recovery plan beschreven. Er zijn drie stappen: Pre-Recovery, Recovery en Post-Recovery. Eerst aandacht voor de stappen die worden uitgevoerd voordat u met de daadwerkelijke Active Directory Forest Recovery kunt beginnen: Administrator account en DSRM wachtwoorden gegevens ophalen Er wordt de aanname gedaan dat geen enkele Domain Controller in het forest functioneert. Voor elk domein dat zich in het forest bevindt is een Administrator account benodigd. Het Administrator account is het enige account dat zonder de beschikbaarheid van een Global Catalog in het forest kan inloggen. Daarnaast is voor elke Domain Controller die van de backup wordt teruggezet het DSRM password nodig. Domain Controllers kiezen Kies de Domain Controllers uit het forest waarvan de backup wordt vertrouwd. Van elk domein moet één Domain Controller worden gekozen. Domain Controllers uitzetten De overige Domain Controllers die niet worden teruggezet van de backup, moeten worden uitgezet. Dit garandeert dat mogelijke verkeerde data niet terug wordt gerepliceerd in het nieuwe forest. In een grote omgeving met meerdere locaties kan dit een probleem zijn. In het Active Directory Forest Recovery proces worden echter verdere maatregelen genomen om replicatie te voorkomen, zoals: Computeraccount wachtwoorden resetten. Krbtgt wachtwoord resetten, trust wachtwoorden resetten, de metadata van de overige Domain Controllers opruimen. Read-Only Domain Controllers hoeven niet te worden uitgezet omdat deze geen Active Directory wijzigingen kunnen wegsturen naar andere Domain Controllers. Netwerkverbinding verbreken Wanneer de eerste Domain Controller van de backup wordt teruggezet mag er geen netwerkverbinding zijn. Hiermee wordt voorkomen dat corrupte data kan worden teruggerepliceerd. Voor de zekerheid moet van alle Domain Controllers in het forest de netwerkverbinding worden verbroken. Recovery stappen Wanneer de Domain Controllers zijn geselecteerd om terug te zetten van de backup, de overige Domain Controllers zijn uitgezet, kan worden begonnen met de daadwerkelijke Active Directory Forest Recovery. De volgende stappen dienen te worden uitgevoerd: In het forest root de eerste Domain Controller terugzetten van backup De opbouw van het nieuwe forest begint met het terugzetten van de Domain Controller in het forest root. DDNS installeren en configureren Active Directory is afhankelijk van een goed werkende DNS infrastructuur. Omdat er geen netwerk connectiviteit is, moet er in het forest root een DNS infrastructuur worden opgezet. De overige Domain Controllers die worden teruggezet van backup zullen later naar deze DNS infrastructuur gaan verwijzen. In de overige domeinen de eerste Domain Controller terugzetten van backup Als het forest root correct functioneert, kunnen van de overige domeinen de Domain Controllers worden teruggezet van de backup. Een Global Catalog toevoegen Er moet een Global Catalog worden toegevoegd aan het forest. Een Global Catalog is vereist voor o.a.: De mogelijkheid dat gebruikers kunnen inloggen. Het registeren van de DNS records door de Net Logon service op elke Domain Controller. Na de installatie van een Global Catalog is er een gezond mini forest. Van dit mini forest kan nu een backup worden gemaakt. De overige Domain Controllers installeren De laatste stap is het gehele forest uitbreiden met de overige Domain Controllers. Post-Recovery stappen Voer de volgende stappen uit indien nodig: Nadat het forest opnieuw is opgebouwd, kan er weer worden teruggevallen op de originele DNS configuratie. Overbodige DNS records moeten worden opgeruimd, verwijder overbodige WINS records, verplaatst de FSMO rollen, voeg additionele Global Catalog servers toe. Omdat het forest is teruggezet naar een bepaald punt in het verleden, zijn de wijzigingen hierna verloren gegaan. Deze moeten weer worden opgevoerd. Als de reden van het uitvoeren van de 64 mei 2010 TechNet Magazine

Active Directory Forest Recovery is veroorzaakt door misbruik, moeten de wachtwoorden van alle leden in de Enterprise Admins en Domain Admins groepen opnieuw worden gezet. Read-Only Domain Controllers moeten opnieuw worden opgebouwd. De Active Directory Forest Recovery Procedure Deze procedure gaat uit van een leeg forest root (Domein1) en een nieuwe domain tree met daarin Domein2 (parent) en Domein3 (child). Uiteraard geldt in iedere andere situatie een aangepaste procedure. Voordat wordt begonnen aan de daadwerkelijke Active Directory Forest Recovery moeten als eerst de volgende stappen worden gedaan: Pre-Recovery stappen Identificeer de vertrouwde backup. Voor elk domein in het forest moet een Domain Controller worden geselecteerd die een betrouwbare backup van de Active Directory heeft van dat domein. De voorkeur gaat uit naar een backup van dezelfde datum. Het is belangrijk dat de Domain Controller die wordt teruggezet van de backup betrouwbare data bevat. Als de dag van de geïntroduceerde problemen bekend is wordt aanbevolen om een backup te selecteren die een paar dagen daarvoor is gemaakt. Een backup van een aantal dagen geleden terugzetten betekent verlies van data. Accounts Het administrator account en de DSRM wachtwoorden voor elk domein en Domain Controller in het forest zijn benodigd. Het Administrator account (Well-known SID 500) is het enige account dat zonder Global Catalog op een Domain Controller kan inloggen. Wanneer een Enterprise FSMO rol (zoals de Schema Master) moet worden overgenomen is een account met Enterprise rechten benodigd. Wanneer er geen Global Catalog beschikbaar is, krijgt het account evengoed een Access is denied melding. Het is niet direct noodzakelijk om deze FSMO rol beschikbaar te hebben vanwege het feit dat tijdens de Active Directory Forest Recovery er geen schema gerelateerde zaken worden uitgevoerd. Nadien kan deze FSMO rol alsnog worden toegekend. Domain Controllers uitzetten Alle Domain Controllers moeten worden uitgezet zodat, wanneer de teruggezette Domain Controllers van de backup weer worden aangezet en zijn verbonden met het netwerk, er geen corrupte data in het nieuwe forest terug kan repliceren. In het geval er Domain Controllers verspreid zijn over meerdere locaties, en er niet van uit kan worden gegaan dat deze uitstaan, worden in deze procedure andere maatregelen genomen om eventuele replicatie van corrupte data tegen te gaan. Onder alle omstandigheden dient de maximale inspanning geleverd te worden om Domain Controllers fysiek uit te zetten. Netwerkverbinding verbreken Van alle Domain Controllers in het forest moet de netwerkverbinding worden verbroken. Wanneer de eerste Domain Controller van de backup wordt teruggezet mag er geen netwerkverbinding zijn. Hiermee wordt voorkomen dat corrupte data kan worden teruggerepliceerd. Recovery stappen Voer de stappen uit wanneer de machine niet verbonden is met het netwerk. De machine moet volledig zijn geïsoleerd. Plaats in de actieve netwerkkaart een fysieke loopback-adapter of installeer een softwarematige. Dit wordt gedaan vanwege het feit dat de DNS rol niet kan worden geïnstalleerd zonder een actieve netwerkverbinding (KB975654). Wijk niet af van de beschreven stappen. Gebruik altijd het Administrator account. Zet de eerste Domain Controller in het forest root terug van backup Zet de backup terug. Backup van een Domain Controller terugzetten. Wanneer de server is opgestart ziet Active Directory automatisch dat de database van een backup is teruggezet. De integriteit van de database wordt gecontroleerd en daarnaast worden nieuwe indices gemaakt. Deze processen kosten tijd en hebben invloed op de opstarttijd van de Domain Controller. Ook na het beschikbaar hebben van de console is de server nog ongeveer 15 minuten bezig met nabewerkingen. Indien nodig, installeer de softwarematige loopback-adapter. Nadat de server is opgestart dient een loopback-adapter te worden geïnstalleerd. Installeren softwarematige loopbackadapter. Zet de SYSVOL authoritief terug. DFS-R: In het geval van een SYSVOL die m.b.v. DFS-R wordt gerepliceerd (Active Directory 2008 Domain Functional Level is vereist) moet deze met wbadmin authoritief worden teruggezet. Voer hiervoor de volgende stappen uit: Start de server in DSRM mode. Log in met het lokale DSRM Administrator account. Wanneer een Domain Controller in DSRM mode wordt gestart, en de Domain Controller is verbonden met het netwerk, zal authenticatie met elk domein account mogelijk zijn. De Domain Controller gedraagt zich als normale member server wanneer andere Domain Controllers van hetzelfde domein beschikbaar zijn. Wanneer de Domain Controller niet is verbonden met het netwerk kan dus alleen worden ingelogd met het lokale DSRM Administrator account. Open een command prompt ( Run as Voer in: wbadmin get versions TechNet Magazine mei 2010 65

Windows Server 2008 Active Directory Forest Recovery Met version identifier wordt de backup geïdentificeerd. Voer in ( )wbadmin start systemstaterecovery version:<version identifier> -authsysvol FRS: Wanneer de SYSVOL wordt gerepliceerd met FRS, moet er een D4 worden geïnitieerd. Bij de eerste keer opstarten wordt er automatisch een D2 (niet-authoritieve restore) uitgevoerd. Het kan enige tijd duren voordat deze volledig is uitgevoerd. De volgende stappen moeten worden uitgevoerd: Ga naar de SYSVOL locatie. Open de Domain folder. Verifieer dat de folders Policies en Scripts zijn verplaatst naar de folder NTFRS_ Preexisting Verplaats deze folder (move) direct onder de folder Domain. Start Regedit ( Run as Ga naar de registrykey: HKLM\System\CurrentControlSet\Services\NTFRS\Parameters\Backup and Restore\Process at startup Wijzig de Burflags key met de waarde D4 (hex). Herstart de server. Het wbadmin commando detecteert wanneer de SYSVOL wordt gerepliceerd met FRS. Een authoritieve restore met wbadmin gaat dus ook. Hier zijn echter meer stappen voor nodig. Backup de IP configuratie. Voer in ( ): ipconfig /all > c:\ip.txt Installeer de DNS rol. In het geval dat de Domain Controller al de rol als DNS server heeft, moeten alle DNS zones worden opgeschoond. De Domain Controllers registeren automatisch weer de nieuwe DNS records. Wanneer de Domain Controller niet de rol als DNS heeft moet deze worden geïnstalleerd. Zie bijlage Procedures voor de procedure Installeren van de DNS rol. Bij de terug te zetten Domain Controllers van de overige domeinen zal deze DNS server worden gebruikt. Configureer de Domain Controller met de lokale DNS server. Wijzig de primaire DNS server in 127.0.0.1 in de TCP/IP configuratie. Voer eventuele DNS records op. Wanneer Domain Controllers hun DNS records niet dynamisch mogen registeren moeten deze handmatig worden opgevoerd. Dit kan met een registrykey zijn uitgezet. Mocht de Domain Controller wel zelf zijn DNS records registeren moeten de volgende commando s worden uitgevoerd: Voer in: net stop netlogon & net start netlogon Neem eventuele FSMO rollen over. Met behulp van netdom query FSMO op een command prompt wordt er een overzicht gegeven van de FSMO rollen en hun Domain Controller. Voer in ( ): ntdsutil roles connections connect to server <Server FQDN> Voer in ( ) quit seize <Operations Master> (zie onderstaand overzicht voor de rol en de benodigde rechten). Bij afwezigheid van een Global Catalog is het niet mogelijk de FSMO rol Schema Master over te nemen. Het overnemen zal een Access is denied melding geven. Verwijder de Global Catalog. Tools -> Active Directory Sites and Services. Open Sites. Open Servers. Open de betreffende Domain Controller. Klik rechts op NTDS Settings en selecteer Properties. Haal het vinkje weg bij Global Catalog. Negeer de berichten over het niet langer meer aanwezig zijn van Global Catalogs in het forest. Een event ID 1160 wordt gegeneerd dat de Global Catalog partitities niet meer aanwezig zijn. Pas de tijdconfiguratie aan. Omdat de Domain Controller niet meer aan het netwerk hangt, moet de tijd configuratie worden geconfigureerd als Domain based. Voer in ( ) de volgende commando s: net stop w32time w32tm /unregister w32tm /register net start w32time Verhoog de RID pool met 100.000. Nadat de backup is gemaakt, zijn er hoogstwaarschijnlijk nieuwe objecten in Active Directory aangemaakt. Door het terugzetten van de backup bestaan deze objecten niet meer, maar hebben mogelijk nog wel rechten gekregen. Als de RID pool niet wordt verhoogd, kunnen nieuw gemaakte objecten onterecht rechten verkrijgen doordat deze hetzelfde ID krijgen. Door de RID pool met 100.000 te verhogen is de kans hierop zeer klein. Verhogen RID pool met 100.000. Ruim de metadata op van de overige Domain Controllers in het forest root domein. De eigen Domain Controller mag niet worden verwijderd. Het opruimen van de metadata voorkomt dubbele NTDS-settings objecten als nieuwe Domain Controllers worden 66 mei 2010 TechNet Magazine

geïnstalleerd. Daarnaast is de Knowledge Consistency Checker minder tijd bezig met replicatielinks aanleggen met Domain Controllers die er niet meer zijn. Mocht een andere Domain Controller de rol van RID master hebben zal de Domain Controller deze rol niet op zich nemen totdat de metadata van die Domain Controller is opgeruimd. Er wordt dan een event ID 16650 gegenereerd. Bij het succesvol uitvoeren van de rol wordt een event ID 16648 gegenereerd. Voer in ( ) ntdsutil metadata cleanup connections connect to server <Server FQDN> Voer in ( ) quit select operation target list domains De lijst van domeinen wordt weergegeven. select domain <Nummer> <Nummer> is het nummer van het domein (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in ( ) list sites De lijst van alle sites wordt weergegeven. select site <Nummer> <Nummer> is het nummer van de site waarin zich de Domain Controller bevindt. Voer in ( ) list servers for domain in site De lijst van de Domain Controller in de site wordt weergegeven. select server <Nummer> <Nummer> is het nummer van het domein waarin zich de Domain Controller bevindt. quit remove selected server Bevestig met Yes om de metadata van de Domain Controller te wissen. Verwijder het server object van de overige Domain Controllers in het forest root domein. De eigen Domain Controller mag niet worden verwijderd. Dit object is niet meer nodig omdat bij de installatie van een nieuwe Domain Controller deze automatisch wordt aangemaakt. Start Adsiedit.msc ( Run as Klik rechts op ADSI edit en selecteer Connect to... Context de optie Configuration. Open Configuration. Open cn=configuration,dc=<domain>. Open cn=sites. Open cn=servers. Verwijder het server object. Indien nodig, verwijder het computer object van de overige Domain Controllers in het forest root domein. Belangrijk: De eigen Domain Controller mag niet worden verwijderd! Dit object is niet meer nodig omdat bij de installatie van een nieuwe Domain Controller deze automatisch wordt aangemaakt. Het kan zijn dat het computer object al is verwijderd. Start Adsiedit.msc ( Run as Klik rechts op ADSI edit en selecteer Connect to... Context de optie Default naming context. Open Default naming context. Open DC=<DOMAIN>. Open OU=Domain Controllers. Verwijder het computer object. Reset het wachtwoord van het computer account van de Domain Controller twee keer. De volgende drie stappen zorgen ervoor dat de Domain Controller niet gaat repliceren met de andere Domain Controllers in het domein. Zo wordt voorkomen dat corrupte data wordt terug gerepliceerd. Wanneer nieuwe Domain Controllers worden toegevoegd aan het domein krijgen deze automatisch het nieuwe wachtwoord. Voer in: netdom resetpwd /server:<server FQDN> /userd:administrator /passwordd:* Reset het krbtgt account wachtwoord twee keer. Tools -> Active Directory Users and Computers. Open het betreffende domein. Open de container Users. Klik met rechts op het krbtgt account. Selecteer Reset Password... en vul een willekeurig wachtwoord in. Zet het vinkje uit bij User must change Password at next logon. Reset het trust wachtwoord voor alle trusts tussen dit domein en alle andere domeinen. Voer in: netdom trust <parent domain> /domain:<child domain> /resetoneside /PasswordT:<password> / usero:administrator /passwordo:* PasswordT moet hetzelfde wachtwoord krijgen aan beide kanten van de trust. Deze stappen moeten worden uitgevoerd met elk domein die onder het forest root domein is geplaatst. Het commando hoeft maar één keer worden uitgevoerd omdat het automatisch twee keer het wachtwoord wijzigt. TechNet Magazine mei 2010 67

Windows Server 2008 Active Directory Forest Recovery Zet de eerste Domain Controller van de overige domeinen terug van backup Zet de backup terug. Backup van een Domain Controller terugzetten. Indien nodig, installeer de software matige loopback-adapter. Nadat de server is opgestart dient een loopback-adapter te worden geïnstalleerd. Installeren softwarematige loopbackadapter. Zet de SYSVOL authoritief terug. DFS-R: In het geval van een SYSVOL die m.b.v. DFS-R wordt gerepliceerd (Active Directory 2008 Domain Funtional Level is vereist) moet deze m.b.v. wbadmin authoritief worden teruggezet. Voer hiervoor de volgende stappen uit: Start de server in DSRM mode. Log in met het lokale DSRM Administrator account. Voer in ( ) wbadmin get versions Met version identifier wordt de backup geïdentificeerd. wbadmin start systemstaterecovery version:< version identifier> -authsysvol FRS: Wanneer de SYSVOL wordt gerepliceerd met FRS moet er een D4 worden geïnitieerd. Bij de eerste keer opstarten wordt er automatisch een D2 (niet-authoritieve restore) uitgevoerd. Het kan enige tijd duren voordat deze volledig is uitgevoerd. De volgende stappen moeten worden uitgevoerd: Ga naar de SYSVOL lokatie. Open de Domain folder. Verifieer dat de folders Policies en Scripts zijn verplaatst naar de folder NTFRS_ Preexisting Verplaats deze folder (move) direct onder de folder Domain. Start Regedit ( Run as Ga naar de registrykey: HKLM\System\CurrentControlSet\Services\NTFRS\Parameters\Backup and Restore\Process at startup Wijzig de Burflags key met de waarde D4 (hex). Herstart de server. Backup de IP configuratie. Voer in ( ) ipconfig /all > c:\ip.txt Neem eventuele FSMO rollen over. Met netdom query FSMO op een command prompt wordt er een overzicht gegeven van de FSMO rollen en hun Domain Controller. Voer in: ntdsutil Voer in: roles Voer in: connections Voer in: connect to server <Server FQDN> Voer in: quit Voer in: seize <Operations Master> (zie onderstaand overzicht voor de rol en de benodigde rechten). Verwijder de Global Catalog. Tools -> Active Directory Sites and Services. Open Sites. Open Servers. Open de betreffende Domain Controller. Klik rechts op NTDS Settings en selecteer Properties. Haal het vinkje weg bij Global Catalog. Negeer de berichten over het niet langer meer aanwezig zijn van Global Catalogs in het forest. Een event ID 1160 wordt gegeneerd dat de Global Catalog partitities niet meer aanwezig zijn. Verifieer de W32Time service. Verifieer of de service w32time is gestart. Wanneer de service niet is gestart, doe dit dan alsnog. Configuur de server met de nieuwe DNS server. Wijzig de primaire DNS server in de TCP/ IP configuratie met het IP-adres van de Domain Controller in het forest root. Verhoog de RID pool met 100.000. Verhogen RID pool met 100.000. Ruim de metadata op van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Voer in ( ) ntdsutil metadata cleanup connections connect to server <Server FQDN> Voer in ( ) quit select operation target list domains De lijst van domeinen wordt weergegeven. select domain <Nummer> <Nummer> is het nummer van het domein (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in ( ) list sites De lijst van alle sites wordt weergegeven. select site <Nummer> <Nummer> is het nummer van de site (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in ( ) list servers for domain in site De lijst van de Domain Controller in de site wordt weergegeven. 68 mei 2010 TechNet Magazine

select server <Nummer> quit remove selected server Bevestig met Yes om de metadata van de Domain Controller te wissen. Verwijder het serverobject van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Start Adsiedit.msc ( Run as Klik rechts op ADSI edit en selecteer Connect to... Context de optie Configuration. Open Configuration. Open cn=configuration,dc=<domain>. Open cn=sites. Open cn=servers. Verwijder het server object. Indien nodig, verwijder het computerobject van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Start Adsiedit.msc ( Run as Klik rechts op ADSI edit en selecteer Connect to... Context de optie Default naming context. Open Default naming context. Open DC=<DOMAIN>. Open OU=Domain Controllers. Verwijder het computerobject. Reset het wachtwoord van het computeraccount van de Domain Controller twee keer. De volgende drie stappen zorgen ervoor dat de Domain Controller niet gaat repliceren met de andere Domain Controllers in het domein. Zo wordt voorkomen dat corrupte data wordt terug gerepliceerd. Wanneer nieuwe Domain Controllers worden toegevoegd aan het domein krijgen deze automatisch het nieuwe wachtwoord. Voer in ( ): netdom resetpwd /server:<server FQDN> / userd:administrator /passwordd:* Reset het krbtgt account wachtwoord twee keer. Tools -> Active Directory Users and Computers. Open het betreffende domein. Open de container Users. Klik met rechts op het krbtgt account. Selecteer Reset Password... en vul een willekeurig wachtwoord in. Zet het vinkje uit bij User must change Password at next logon. Reset het trust wachtwoord voor alle trusts tussen dit domein en alle ander domeinen. Voer in ( ) netdom trust <parent domain> /domain:<child domain> / resetoneside /PasswordT:<password> / usero:administrator /passwordo:* PasswordT moet hetzelfde wachtwoord krijgen aan beide kanten van de trust. Deze stappen moeten worden uitgevoerd met elk domein die zich hier onder bevindt en daarboven. In het geval dat er een domein boven staat, is het huidige domein de parent. Verbind alle teruggezette Domain Controllers van de backup met het netwerk. Op dit moment is er één Domain Controller in het forest root en één Domain Controller in elk van de domeinen onder het forest root. De Domain Controllers moeten nu aan het netwerk worden gekoppeld. Verifieer of de replicatie onderling correct verloopt De replicatie moet er nu voor zorgen dat de gewiste Domain Controllers in elk domein kenbaar wordt gemaakt bij de Domain Controllers van de andere domeinen. Het result is te zien in Active Directory Sites and Services. De Knowledge Consistency Checker (KCC) zal enige tijd nodig hebben om de correcte Connection objecten aan te maken. Deze draait standaard ieder kwartier. Eerst zullen de overbodige Connection objecten als verwijderde items worden gemarkeerd. Vervolgens wordt de nieuwe topology actief gemaakt. Om het proces te versnellen kan de KCC handmatig worden gestart. Voeg de eerste Global Catalog toe aan het forest root domein. Wij adviseren om van elke Domain Controller een Global Catalog te maken, maar één enkele Global Catalog is voldoende. In een van de volgende edities volgt het derde en laatste deel van deze oefening. Ri c h a r d Sc h i k s is in het dagelijks leven druk met discussiëren. In zijn vrije tijd kijkt hij veel films, verder houdt hij heel veel van zijn vrouw Bettina en is bereikbaar op r.schiks@ rn.rabobank.nl. Mar c e l Ba k x is in het dagelijks leven ICT Specialist bij Rabobank Nederland. In zijn vrije tijd laadt hij zich op met de ATB in de bossen, en gaat hij visjes kijken onder water. Hij wordt blij als dingen pragmatisch en doelgericht geregeld kunnen worden. Marcel is bereikbaar op w.p.a.m.bakx@rn.rabobank.nl. TechNet Magazine mei 2010 69

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback