WSFC CNO与VCO误删恢复

时间  2019-11-11
标签 wsfc cno vco 恢复 繁體版
原文   原文链接


在前面的文章中老王反复的和你们强调过CNO,VCO起到的做用
服务器


基本上,CNO和VCO,主要负责提供群集的Kerberos验证,做为管理访问点的一部分,提供用户访问架构


CNO VCO每次启动联机时须要联系到域控制器,CNO会与AD同步本身的计算机密码,也会帮助VCO同步密码,CNO负责维护与VCO的关联关系ide


能够说,若是咱们的群集模型部署为传统AD架构,那么CNO和VCO将是很是重要的,一旦咱们不当心删除了CNO或VCO对象,就会致使群集没法正常联机,应用没法和群集进行Kerberos验证。工具


在2008R2以后,AD域推出了回收站的功能,开启回收站功能后,容许AD对象在墓碑时间以内,能够被恢复回来,但恢复回来后的计算机对象,大多状况须要从新同步密码ui


本文老王将为你们介绍,一旦误删了CNO对象应该如何进行恢复spa


实验环境3d


DC&iscsi日志

lan:10.0.0.2 255.0.0.0orm

iscsi:30.0.0.2 255.0.0.0对象


HV03

MGMET:10.0.0.11 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.11 255.0.0.0

CLUS:18.0.0.11 255.0.0.0


HV04

MGMET:10.0.0.12 255.0.0.0 DNS 10.0.0.2

ISCSI:30.0.0.12 255.0.0.0

CLUS:18.0.0.12 255.0.0.0


当前域控制器为2008R2,已开启回收站功能,2012以后可经过GUI界面启动回收站功能

wKioL1nLHyuBo0jjAAA_PMRuCFc765.png

群集名称当前为BJcluster,上面跑了一个DTC,名称为hello

wKioL1nLID_xSs2HAABUkILlwyY949.png

AD中CNO/VCO信息以下

wKiom1nLH9awlO6oAABfkeYr8EU050.png

在2008以后的AD中,默认状况下,当咱们建立AD对象时,能够选择是否要使用防止意外删除功能

默认状况下,当咱们建立OU时,该功能被默认启用,除非咱们手动修改它,勾选了防止意外删除选项后,该OU将不能被随便删除,除非取消放置意外删除选项

wKioL1nLIbqSJmnfAAAW4Fp8Vnw723.png

可是对于用户对象和计算机对象,默认状况下并未启动该功能,便是说,只要对于AD有权限的管理员,就能够删除咱们的计算机对象


要规避误删计算机对象,有两种方案能够选择


  1. 针对于CNO,VCO计算机对象,勾选防止被意外删除

wKioL1nLIkTjHyv9AAAj9PZnZFY363.png

2. 统一设定群集计算机OU层面,拒绝Everyone删除计算机对象

wKiom1nLItLQ3eA_AAAjQDJ1QV8249.png


二者区别在于,一个是OU级,一个是对象级别,一旦设置了该功能以后,那么普通管理员将不能随便删除计算机对象


这是预防措施,那么咱们就来看下,若是没有作这些预防措施,就是某个管理员不当心删除了CNO的状况,应该如何处理


删除CNO对象

wKioL1nLKRTi4pAkAAAXLp4t3Wg388.png

这时若是群集当前名称在线,则并不会当即提示报错,可是当下一次群集故障转移或冷启动时,就会出现报错,打开事件查看器,能够看到1685错误

wKiom1nLLTDhhdtkAAAvHvLyLVs569.png


查看Cluster Log能够看到,群集名称,CNO当前没法进行验证


wKioL1nLLQKg5e5FAAAey1yZiwI324.png


wKioL1nLLQKQVBlZAAAh_S_Tp9A886.png

使用ADRecycleBin工具恢复误删除对象(2012开始可经过自带AD管理中心恢复)

wKiom1nLLqjTSHV8AABWokOmZzc066.png

wKioL1nLLmnwAdF5AAAUIsry4jQ007.png

恢复完成后能够在AD中看到被恢复的CNO对象

wKiom1nLLt7DtUbrAAA8aSoGVmY234.png

恢复完成计算机对象后,一般咱们须要重置计算机对象的密码,让CNO计算机对象能够从新正常工做


WSFC2008时×××始,群集帮咱们内置了重置计算机密码的修复机制,咱们能够在群集中,经过修复来对CNO,或VCO执行重置计算机密码操做


针对CNO执行修复,须要对于CNO具有管理权限的帐户,由于咱们须要链接到AD中,重置该计算机帐户的密码

针对于VCO执行修复,须要对于VCO帐户具有权限CNO帐户来执行,所以须要确保CNO帐户对VCO帐户具有重置密码权限


打开故障转移群集管理工具->群集核心资源->群集名称->更多操做->修复

wKiom1nLL9CCqyEQAABGTC3NTWE065.png

点击修复以后,能够看到群集正在处理,处理完成后,群集计算机对象会变成正常联机状态

wKioL1nLL-bgvykqAAAP8KoinOU489.png

查看日志中能够看到,修复过程群集使用咱们的帐户,链接到AD,从新帮咱们设置CNO的密码及身份

如今群集CNO已经被恢复,能够正常工做,正常接受Kerberos验证

wKiom1nLMMCgud-bAAA_PC_we0c555.png

对于VCO的误删恢复操做,其实和CNO差很少,假设咱们不当心误删除了VCO对象,若是事先VCO名称是联机的,那么可能短期内,不会在事件管理器中看到报错,可是若是对VCO对象进行Kerberos验证,则会马上发现没法验证,因此VCO对象的误删除,一般会是应用开发人员报告身份验证没法进行才会被发现,或者管理员查看Cluster Log也可以看到VCO计算机对象没法找到,没法执行身份验证的报错


针对于VCO对象的恢复过程,误删以后,首先使用恢复工具,恢复VCO计算机对象

wKioL1nLMkahqgwyAABa2XCcVkg993.png


wKiom1nLMoXhZX-5AAAe1GKeAgU468.png


恢复完成后,在故障转移群集管理工具中,首先对于VCO名称脱机

wKiom1nLMuiC7z25AABdLgQSaUA341.png

右键点击服务器名称->更多操做->修复

wKiom1nLMv2j1MltAABBqA8GCFM616.png

注意,这里的修复,其实是拿着CNO计算机帐号,去帮助咱们重置同步VCO的计算机密码,所以须要确保CNO对象对于VCO计算机对象具有重置密码权限,默认建立VCO以后是有的

wKioL1nLMyvAGK5oAABT_yTP_tE788.png

修复完成后,群集角色正常联机

wKiom1nLM5qz3EweAABMjM0zjVE571.png

查看Cluster Log能够看到 hello VCO对象已经被CNO重置计算机密码,如今能够正常进行Kerberos身份验证了

wKioL1nLNE_RMYHaAACVPtjHXsc162.png

如上,为误删除CNO,VCO对象后的修复方式,但愿你们看到后能够有所收获,虽然WSFC 2008以后有了很好的修复机制,但仍是建议你们作好防止误删的操做,能够作在计算机级别或OU级别。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程