WSFC CNO與VCO誤刪恢復

時間  2019-11-11
標籤 wsfc cno vco 恢復 简体版
原文   原文鏈接


在前面的文章中老王反覆的和你們強調過CNO,VCO起到的做用
服務器


基本上,CNO和VCO,主要負責提供羣集的Kerberos驗證,做爲管理訪問點的一部分,提供用戶訪問架構


CNO VCO每次啓動聯機時須要聯繫到域控制器,CNO會與AD同步本身的計算機密碼,也會幫助VCO同步密碼,CNO負責維護與VCO的關聯關係ide


能夠說,若是咱們的羣集模型部署爲傳統AD架構,那麼CNO和VCO將是很是重要的,一旦咱們不當心刪除了CNO或VCO對象,就會致使羣集沒法正常聯機,應用沒法和羣集進行Kerberos驗證。工具


在2008R2以後,AD域推出了回收站的功能,開啓回收站功能後,容許AD對象在墓碑時間以內,能夠被恢復回來,但恢復回來後的計算機對象,大多狀況須要從新同步密碼ui


本文老王將爲你們介紹,一旦誤刪了CNO對象應該如何進行恢復spa


實驗環境3d


DC&iscsi日誌

lan:10.0.0.2 255.0.0.0orm

iscsi:30.0.0.2 255.0.0.0對象


HV03

MGMET:10.0.0.11 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.11 255.0.0.0

CLUS:18.0.0.11 255.0.0.0


HV04

MGMET:10.0.0.12 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.12 255.0.0.0

CLUS:18.0.0.12 255.0.0.0


當前域控制器爲2008R2,已開啓回收站功能,2012以後可經過GUI界面啓動回收站功能

wKioL1nLHyuBo0jjAAA_PMRuCFc765.png

羣集名稱當前爲BJcluster,上面跑了一個DTC,名稱爲hello

wKioL1nLID_xSs2HAABUkILlwyY949.png

AD中CNO/VCO信息以下

wKiom1nLH9awlO6oAABfkeYr8EU050.png

在2008以後的AD中,默認狀況下,當咱們建立AD對象時,能夠選擇是否要使用防止意外刪除功能

默認狀況下,當咱們建立OU時,該功能被默認啓用,除非咱們手動修改它,勾選了防止意外刪除選項後,該OU將不能被隨便刪除,除非取消放置意外刪除選項

wKioL1nLIbqSJmnfAAAW4Fp8Vnw723.png

可是對於用戶對象和計算機對象,默認狀況下並未啓動該功能,便是說,只要對於AD有權限的管理員,就能夠刪除咱們的計算機對象


要規避誤刪計算機對象,有兩種方案能夠選擇


  1. 針對於CNO,VCO計算機對象,勾選防止被意外刪除

wKioL1nLIkTjHyv9AAAj9PZnZFY363.png

2. 統一設定羣集計算機OU層面,拒絕Everyone刪除計算機對象

wKiom1nLItLQ3eA_AAAjQDJ1QV8249.png


二者區別在於,一個是OU級,一個是對象級別,一旦設置了該功能以後,那麼普通管理員將不能隨便刪除計算機對象


這是預防措施,那麼咱們就來看下,若是沒有作這些預防措施,就是某個管理員不當心刪除了CNO的狀況,應該如何處理


刪除CNO對象

wKioL1nLKRTi4pAkAAAXLp4t3Wg388.png

這時若是羣集當前名稱在線,則並不會當即提示報錯,可是當下一次羣集故障轉移或冷啓動時,就會出現報錯,打開事件查看器,能夠看到1685錯誤

wKiom1nLLTDhhdtkAAAvHvLyLVs569.png


查看Cluster Log能夠看到,羣集名稱,CNO當前沒法進行驗證


wKioL1nLLQKg5e5FAAAey1yZiwI324.png


wKioL1nLLQKQVBlZAAAh_S_Tp9A886.png

使用ADRecycleBin工具恢復誤刪除對象(2012開始可經過自帶AD管理中心恢復)

wKiom1nLLqjTSHV8AABWokOmZzc066.png

wKioL1nLLmnwAdF5AAAUIsry4jQ007.png

恢復完成後能夠在AD中看到被恢復的CNO對象

wKiom1nLLt7DtUbrAAA8aSoGVmY234.png

恢復完成計算機對象後,一般咱們須要重置計算機對象的密碼,讓CNO計算機對象能夠從新正常工做


WSFC2008時×××始,羣集幫咱們內置了重置計算機密碼的修復機制,咱們能夠在羣集中,經過修復來對CNO,或VCO執行重置計算機密碼操做


針對CNO執行修復,須要對於CNO具有管理權限的帳戶,由於咱們須要鏈接到AD中,重置該計算機帳戶的密碼

針對於VCO執行修復,須要對於VCO帳戶具有權限CNO帳戶來執行,所以須要確保CNO帳戶對VCO帳戶具有重置密碼權限


打開故障轉移羣集管理工具->羣集核心資源->羣集名稱->更多操做->修復

wKiom1nLL9CCqyEQAABGTC3NTWE065.png

點擊修復以後,能夠看到羣集正在處理,處理完成後,羣集計算機對象會變成正常聯機狀態

wKioL1nLL-bgvykqAAAP8KoinOU489.png

查看日誌中能夠看到,修復過程羣集使用咱們的帳戶,鏈接到AD,從新幫咱們設置CNO的密碼及身份

如今羣集CNO已經被恢復,能夠正常工做,正常接受Kerberos驗證

wKiom1nLMMCgud-bAAA_PC_we0c555.png

對於VCO的誤刪恢復操做,其實和CNO差很少,假設咱們不當心誤刪除了VCO對象,若是事先VCO名稱是聯機的,那麼可能短期內,不會在事件管理器中看到報錯,可是若是對VCO對象進行Kerberos驗證,則會馬上發現沒法驗證,因此VCO對象的誤刪除,一般會是應用開發人員報告身份驗證沒法進行纔會被發現,或者管理員查看Cluster Log也可以看到VCO計算機對象沒法找到,沒法執行身份驗證的報錯


針對於VCO對象的恢復過程,誤刪以後,首先使用恢復工具,恢復VCO計算機對象

wKioL1nLMkahqgwyAABa2XCcVkg993.png


wKiom1nLMoXhZX-5AAAe1GKeAgU468.png


恢復完成後,在故障轉移羣集管理工具中,首先對於VCO名稱脫機

wKiom1nLMuiC7z25AABdLgQSaUA341.png

右鍵點擊服務器名稱->更多操做->修復

wKiom1nLMv2j1MltAABBqA8GCFM616.png

注意,這裏的修復,其實是拿着CNO計算機帳號,去幫助咱們重置同步VCO的計算機密碼,所以須要確保CNO對象對於VCO計算機對象具有重置密碼權限,默認建立VCO以後是有的

wKioL1nLMyvAGK5oAABT_yTP_tE788.png

修復完成後,羣集角色正常聯機

wKiom1nLM5qz3EweAABMjM0zjVE571.png

查看Cluster Log能夠看到 hello VCO對象已經被CNO重置計算機密碼,如今能夠正常進行Kerberos身份驗證了

wKioL1nLNE_RMYHaAACVPtjHXsc162.png

如上,爲誤刪除CNO,VCO對象後的修復方式,但願你們看到後能夠有所收穫,雖然WSFC 2008以後有了很好的修復機制,但仍是建議你們作好防止誤刪的操做,能夠作在計算機級別或OU級別。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程