保驾护航，嘉为蓝鲸助力某科技公司AD域故障恢复实记

01. AD是什么？

AD是指微软Active Directory活动目录系统，作为目前市面上主流的活动目录产品，AD在许多企业内部承担着基础架构核心系统的角色，维护这套系统的正常运行是企业内部基础运维的重要课题，需要IT人员拥有齐备的技术文档、丰富的社区案例知识以及企业长年的运维服务实践经验。

嘉为长期深耕于AD领域，对AD的规划、建设、升级、运维管理、灾难恢复、故障处理等均有实践经验，建立起了理念、技术、方案和人才的丰富储备，能够实现AD在企业内部的从无到有，从有到优。

然而并非所有企业都能成功建立起了合适的AD运维模式，其运维人员也不得不面对一个个“伤筋动骨”的AD故障。

本文将通过讲述某科技公司，以非良性AD运维模式为诱因，AD域内所有域控均发生故障，必须进行林恢复的真实案例，与大家共同分享嘉为在AD领域的实践经验。

02. 案例背景

1）故事的起点——常规恢复手段失效

2022年6月13日，该企业IT管理员突然发现，在企业内部的无线网络无法正常认证连接，部分服务器的DNS无法解析域名。

在经过简单排查后发现，出现异常的客户端，其DNS服务器均指向主域控（指PDC角色所有者，这台主域控同时也是提供内部证书服务的CA服务器），随后IT管理员临时将DNS服务、应用LDAP连接从主域控迁移到同站点同机房的另一台域控制器上，同时临时取消了无线网络的认证规则。

暂时恢复业务后，IT管理员按照日常方式，重新搭建了域控制器，以此来替代旧服务器，但将新服务器升级为域控时却出现了新的报错，报错中提到新服务器无法加入域，同时DNS注册异常。

在将常规手段全部尝试了一遍无果后，管理员开始寻求外部协助。

03. 雷厉风行，嘉为迅速介入

1）故障初步排查——提供常见恢复方案

2022年6月15日晚，该企业管理员通过集团总部联系到嘉为服务团队，嘉为立即提供了远程支持，通过远程连接到AD域环境后，发现以下问题：

• 主域控认证功能正常，但DNS服务异常，LDAP无法连接，可以通过AD远程管理工具访问目录数据。其他域控DNS服务正常，认证功能异常，LDAP可以连接，但无法通过AD远程管理工具访问目录数据，同时域控间已无法正常复制。
• 主域控的DNS日志有4000、4007事件，此时DNS管理器无法加载DNS区域，提示“拒绝访问”：<