Penghapusan kritis objek di Active Directory di Windows 2000 dan Windows Server 2003

Artikel ini menjelaskan masalah yang mungkin terjadi jika Anda menghapus kritis objek di Active Directory, dampak penghapusan tersebut, dan apa Microsoft lakukan untuk memecahkan masalah ini. Masalah ini dampak semua pelanggan yang menggunakan Windows 2000 dan Windows Server 2003 dan Active Directory. Layanan dukungan produk Microsoft (PSS) telah menerima banyak panggilan dari pelanggan yang telah baik sengaja atau sengaja dihapus kritis objek dalam Active Directory.

Pada Microsoft Windows NT versi 4.0, umum pemecahan masalah prosedur adalah untuk menghapus objek tertentu dalam Server Manager untuk mencoba untuk mensinkronkan kontroler backup domain (BDC) dengan domain utama Controller (PDC). Namun, prosedur ini memiliki efek yang merugikan pada Windows 2000 dan Windows Server 2003.

Deskripsi ini berfokus pada dua objek tertentu, mesin account, yang sebagian besar digunakan untuk otentikasi antara dua kontroler domain, dan objek NTDS pengaturan, yang digunakan untuk menemukan pengontrol domain lainnya dan menentukan perusahaan Topologi replikasi direktori aktif. Ini adalah objek yang paling umum menyebabkan masalah ketika dihapus, tetapi benda-benda penting lainnya hanya sebagai rentan. Objek ini termasuk Protokol Konfigurasi Host dinamis (DHCP) otorisasi objek, replikasi File (FRS) berlangganan objek, layanan dipercaya domain objek, apa pun dalam unit organisasi sistem, dan begitu pada.

Kecuali kontroler domain secara permanen offline, tidak secara manual menghapus kontroler domain mesin account (dalam Active Directory Pengguna dan komputer) atau objek NTDS pengaturan (di situs direktori aktif dan Layanan) itu terkait dengan pengontrol domain. Untuk melihat prosedur yang dapat Anda gunakan untuk menghapus NTDS pengaturan objek dengan menggunakan Ntdsutil utilitas jika komputer secara permanen secara offline, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: Setelah Anda menghapus objek NTDS pengaturan, Anda dapat aman menghapus account mesin.

Dampak

Jika Anda menghapus objek kritis, pengontrol domain mungkin yatim piatu dari perusahaan replikasi topologi. Because of this, perubahan Active Directory yatim bersama dengan pengontrol domain, yang menyebabkan klien logon kegagalan.

Perhatikan detail teknis ini: secara umum, jika Administrator mencoba untuk menghapus NTDS pengaturan objek pada domain controller yang objek NTDS pengaturan berlaku, komputer lokal menolak permintaan dan administrator menerima pesan. Namun, lainnya kontroler domain memungkinkan operasi ini. Jika server yang NTDS Pengaturan objek berlaku "hidup" pada jaringan saat ini berubah replicates server, server tidak memungkinkan objek untuk dihapus. Umumnya, proses harus membalikkan itu sendiri, dan objek harus re-animated. Namun, pengontrol domain lainnya mungkin tidak pernah lagi mengambil perubahan ini, yang menyebabkan KCC meninggalkan komputer dari topologi, dan akibatnya untuk yatim piatu komputer. Untuk account mesin, kegagalan mungkin datang dalam bentuk otentikasi kegagalan antara pengontrol domain dan antara kontroler domain dan klien. Saling otentikasi, sistem Nama Domain (DNS), dan domain-specific data disimpan di account mesin kontroler domain. Data ini diperlukan untuk operasi seperti replikasi Active Directory.

Jangka pendek

Jika Anda menghapus objek NTDS pengaturan, Anda dapat menggunakan prosedur dalam artikel Basis Pengetahuan berikut secara manual membuat link replikasi antara dua kontroler domain untuk memperkenalkan kembali kontroler domain kembali ke topologi: Prosedur dalam basis pengetahuan sebelumnya artikel secara manual menetapkan replikasi link antara domain yatim controller dan kontroler domain lain, yang memicu replikasi sehingga objek kritis dapat direplikasi ke setidaknya satu komputer lain; ini prosedur tergantung pada replikasi Active Directory untuk menyebarkan bahwa obyek untuk pengontrol domain lainnya. Setelah waktu berlalu, KCC pada setiap domain controller harus menentukan bahwa objek server baru hadir dan menyesuaikan replikasi topologi sesuai.

Jika rekening mesin untuk domain controller dihapus dalam direktori pengguna dan komputer Active, Anda tidak dapat dengan mudah memulihkan akun mesin. Otentikasi spesifik data ditulis untuk objek ini tidak dapat pulih tanpa memulihkan dari cadangan. The artikel Basis Pengetahuan berikut menjelaskan cara untuk pulih dari dihapus mesin account: Namun, dalam banyak kasus, untuk pulih dari dihapus mesin account yang Anda butuhkan untuk demote dan mempromosikan kembali server untuk memastikan bahwa semua data dengan benar ditulis kembali ke account.

Apakah cadangan tersedia, mungkin lebih baik untuk melakukan pemulihan otoritatif hanya objek yang Anda butuhkan. Informasi lebih lanjut tentang melakukan otoritatif pemulihan tersedia pada Resource Kit Windows 2000, Didistribusikan sistem panduanBab 9, halaman 451.

Jangka panjang

Alat-alat administratif (direktori pengguna dan komputer Active dan situs direktori aktif dan layanan) yang dimodifikasi sehingga Administrator diminta jika administrator upaya untuk menghapus mesin rekening objek yang mewakili pengontrol domain, atau jika pengaturan NTDS objek, yang mewakili server sebagai pengontrol domain ke domain lain controller, dihapus. Dalam kedua kasus, antarmuka pengguna akan baik langsung administrator untuk prosedur yang tepat jika server tidak offline, atau demote komputer jika server online dan administrator ingin menghapus server dari jaringan.

Namun, perlu diketahui bahwa ini modifikasi tidak membatasi alat-alat administratif lainnya seperti ADSI Edit dan LDP, dan modifikasi ini tidak membatasi Anda dari pemrograman menghapus objek ini.