在前面的文章中老王反復(fù)的和大家強(qiáng)調(diào)過CNO����,VCO起到的作用
10年積累的網(wǎng)站建設(shè)����、網(wǎng)站制作經(jīng)驗(yàn)��,可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求��。提供各種問題對應(yīng)的解決方案�����。讓選擇我們的客戶得到更好���、更有力的網(wǎng)絡(luò)服務(wù)����。我雖然不認(rèn)識你��,你也不認(rèn)識我����。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程���,更有突泉免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。
基本上�����,CNO和VCO����,主要負(fù)責(zé)提供群集的Kerberos驗(yàn)證,作為管理訪問點(diǎn)的一部分�,提供用戶訪問
CNO VCO每次啟動聯(lián)機(jī)時需要聯(lián)系到域控制器,CNO會與AD同步自己的計(jì)算機(jī)密碼����,也會幫助VCO同步密碼,CNO負(fù)責(zé)維護(hù)與VCO的關(guān)聯(lián)關(guān)系
可以說���,如果我們的群集模型部署為傳統(tǒng)AD架構(gòu)����,那么CNO和VCO將是非常重要的�����,一旦我們不小心刪除了CNO或VCO對象,就會導(dǎo)致群集無法正常聯(lián)機(jī)�����,應(yīng)用無法和群集進(jìn)行Kerberos驗(yàn)證��。
在2008R2之后��,AD域推出了回收站的功能�,開啟回收站功能后�����,允許AD對象在墓碑時間之內(nèi)��,可以被恢復(fù)回來�,但恢復(fù)回來后的計(jì)算機(jī)對象,大多情況需要重新同步密碼
本文老王將為大家介紹��,一旦誤刪了CNO對象應(yīng)該如何進(jìn)行恢復(fù)
實(shí)驗(yàn)環(huán)境
DC&iscsi
lan:10.0.0.2 255.0.0.0
iscsi:30.0.0.2 255.0.0.0
HV03
MGMET:10.0.0.11 255.0.0.0 DNS 10.0.0.2
ISCSI:30.0.0.11 255.0.0.0
CLUS:18.0.0.11 255.0.0.0
HV04
MGMET:10.0.0.12 255.0.0.0 DNS 10.0.0.2
ISCSI:30.0.0.12 255.0.0.0
CLUS:18.0.0.12 255.0.0.0
當(dāng)前域控制器為2008R2���,已開啟回收站功能�,2012之后可通過GUI界面啟動回收站功能
群集名稱當(dāng)前為BJcluster����,上面跑了一個DTC�,名稱為hello
AD中CNO/VCO信息如下
在2008之后的AD中����,默認(rèn)情況下,當(dāng)我們創(chuàng)建AD對象時�,可以選擇是否要使用防止意外刪除功能
默認(rèn)情況下,當(dāng)我們創(chuàng)建OU時���,該功能被默認(rèn)啟用�����,除非我們手動修改它��,勾選了防止意外刪除選項(xiàng)后����,該OU將不能被隨便刪除�,除非取消放置意外刪除選項(xiàng)
但是對于用戶對象和計(jì)算機(jī)對象,默認(rèn)情況下并未啟動該功能��,即是說,只要對于AD有權(quán)限的管理員���,就可以刪除我們的計(jì)算機(jī)對象
要規(guī)避誤刪計(jì)算機(jī)對象���,有兩種方案可以選擇
針對于CNO,VCO計(jì)算機(jī)對象,勾選防止被意外刪除
2. 統(tǒng)一設(shè)定群集計(jì)算機(jī)OU層面��,拒絕Everyone刪除計(jì)算機(jī)對象
兩者區(qū)別在于���,一個是OU級����,一個是對象級別�����,一旦設(shè)置了該功能之后���,那么普通管理員將不能隨便刪除計(jì)算機(jī)對象
這是預(yù)防措施,那么我們就來看下��,如果沒有做這些預(yù)防措施���,就是某個管理員不小心刪除了CNO的情況����,應(yīng)該如何處理
刪除CNO對象
這時如果群集當(dāng)前名稱在線,則并不會立即提示報(bào)錯�,但是當(dāng)下一次群集故障轉(zhuǎn)移或冷啟動時,就會出現(xiàn)報(bào)錯��,打開事件查看器����,可以看到1685錯誤
查看Cluster Log可以看到,群集名稱�����,CNO當(dāng)前無法進(jìn)行驗(yàn)證
使用ADRecycleBin工具恢復(fù)誤刪除對象(2012開始可通過自帶AD管理中心恢復(fù))
恢復(fù)完成后可以在AD中看到被恢復(fù)的CNO對象
恢復(fù)完成計(jì)算機(jī)對象后���,通常我們需要重置計(jì)算機(jī)對象的密碼���,讓CNO計(jì)算機(jī)對象可以重新正常工作
WSFC2008時×××始,群集幫我們內(nèi)置了重置計(jì)算機(jī)密碼的修復(fù)機(jī)制�����,我們可以在群集中,通過修復(fù)來對CNO�,或VCO執(zhí)行重置計(jì)算機(jī)密碼操作
針對CNO執(zhí)行修復(fù),需要對于CNO具備管理權(quán)限的賬戶�����,因?yàn)槲覀冃枰B接到AD中����,重置該計(jì)算機(jī)賬戶的密碼
針對于VCO執(zhí)行修復(fù),需要對于VCO賬戶具備權(quán)限CNO賬戶來執(zhí)行�����,因此需要確保CNO賬戶對VCO賬戶具備重置密碼權(quán)限
打開故障轉(zhuǎn)移群集管理工具->群集核心資源->群集名稱->更多操作->修復(fù)
點(diǎn)擊修復(fù)之后��,可以看到群集正在處理��,處理完成后��,群集計(jì)算機(jī)對象會變成正常聯(lián)機(jī)狀態(tài)
查看日志中可以看到����,修復(fù)過程群集使用我們的賬戶���,連接到AD�����,重新幫我們設(shè)置CNO的密碼及身份
現(xiàn)在群集CNO已經(jīng)被恢復(fù)�,可以正常工作,正常接受Kerberos驗(yàn)證
對于VCO的誤刪恢復(fù)操作��,其實(shí)和CNO差不多�,假設(shè)我們不小心誤刪除了VCO對象,如果事先VCO名稱是聯(lián)機(jī)的���,那么可能短時間內(nèi)�,不會在事件管理器中看到報(bào)錯��,但是如果對VCO對象進(jìn)行Kerberos驗(yàn)證��,則會立刻發(fā)現(xiàn)無法驗(yàn)證�����,所以VCO對象的誤刪除��,通常會是應(yīng)用開發(fā)人員報(bào)告身份驗(yàn)證無法進(jìn)行才會被發(fā)現(xiàn)���,或者管理員查看Cluster Log也能夠看到VCO計(jì)算機(jī)對象無法找到����,無法執(zhí)行身份驗(yàn)證的報(bào)錯
針對于VCO對象的恢復(fù)過程,誤刪之后����,首先使用恢復(fù)工具,恢復(fù)VCO計(jì)算機(jī)對象
恢復(fù)完成后����,在故障轉(zhuǎn)移群集管理工具中,首先對于VCO名稱脫機(jī)
右鍵點(diǎn)擊服務(wù)器名稱->更多操作->修復(fù)
注意���,這里的修復(fù)�����,實(shí)際上是拿著CNO計(jì)算機(jī)賬號�,去幫助我們重置同步VCO的計(jì)算機(jī)密碼��,因此需要確保CNO對象對于VCO計(jì)算機(jī)對象具備重置密碼權(quán)限����,默認(rèn)創(chuàng)建VCO之后是有的
修復(fù)完成后,群集角色正常聯(lián)機(jī)
查看Cluster Log可以看到 hello VCO對象已經(jīng)被CNO重置計(jì)算機(jī)密碼�,現(xiàn)在可以正常進(jìn)行Kerberos身份驗(yàn)證了
如上,為誤刪除CNO,VCO對象后的修復(fù)方式��,希望大家看到后可以有所收獲����,雖然WSFC 2008之后有了很好的修復(fù)機(jī)制,但還是建議大家做好防止誤刪的操作�,可以做在計(jì)算機(jī)級別或OU級別。
文章題目:WSFCCNO與VCO誤刪恢復(fù)
URL地址:
http://weahome.cn/article/pjhsds.html
重慶分公司
重慶分公司
