如何进行Active Directory灾难恢复,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
执行非权威还原
从备份还原已删除的 Active Directory 对象分为两步:首先,重新启动 DC 进入目录服务还原模式 (DSRM),然后使用 Windows NTBACKUP 实用程序或同等的第三方产品从系统状态备份还原整个 Active Directory DIT。此过程将覆盖整个 DIT。
有两种方法可以启动 DC 进入 DSRM:如果对 DC 的系统控制台有访问权限,关闭并重新启动 DC,当提示时按 F8 引出 Windows 启动菜单。从菜单中选择“目录服务还原”然后输入 DSRM 密码。
如果远程管理该服务器,则不能访问 Windows 启动菜单。替代方法是,通过从“我的电脑”选择“属性”,单击“高级”选项卡,然后按“启动和恢复”下方的“设置”按钮,更改系统启动选项。按“系统”启动区中的“编辑”按钮编辑 boot.ini 文件,然后添加开关 /SAFEBOOT:DSREPAIR 到行尾,如图 3 所示。(有关 boot.ini 开关的详细信息,请参阅 microsoft.com/technet/ sysinternals/information/bootini.mspx。)
图 3设置 DSRM 的启动选项 (单击该图像获得较大视图)
重新启动服务器时,它将在 DSRM 中出现。请记住,当您要以正常模式重新启动 DC 时,必须从 boot.ini 删除 /SAFEBOOT 开关。
一旦使用 DSRM 密码登录后,就可以再次使用 NTBACKUP 命令还原系统状态备份而无需指定任何参数。(不能从命令行使用 NTBACKUP 还原。)当向导出现时,选择“还原文件和设置”,然后单击“下一步”。然后选择备份文件并选中“系统状态”框,如图 4 所示。
图 4使用“备份或还原向导”还原系统状态 (单击该图像获得较大视图)
如果想在此时启动 DC 返回正常模式,Active Directory 复制进程将把还原的域控制器带回与域中其他 DC 的同步当中,所有还原的数据也将被当前数据覆盖。显然,这不是您的目标。相反地,您需要一种方法将被还原的对象强制复制到域中的其他域控制器。
执行权威还原
NTDSUTIL 还会在备份日期和还原日期之间的每天将每个属性的版本号增加 100,000。除非属性在一天内更新的次数超过 100,000 次(极不可能出现的情形),还原属性的版本号将远大于其他 DC 所持有的版本号,而权威还原的对象将复制到其他 DC。其他从备份非权威还原的对象将最终被其他域控制器的现有数据覆盖。
当完成非权威还原后,但重新启动进入正常模式之前,使用 NTDSUTIL 程序执行要恢复对象的权威还原。无论名称如何,权威还原一个对象并不会“还原”该对象,它只是确保 Active Directory 将对象复制到其他 DC。要做到这一点,NTDSUTIL 将下一个可用的 USN 分配给对象属性的本地 USN。这导致在下一次同步时将对象发送到复制伙伴。要还原单个对象,请确保 DC 以 DSRM 模式启动,并按照如下步骤操作:
打开命令窗口,键入:
在 ntdsutil 提示符下键入:
在权威还原提示符下键入:
restore object “<DN of object to be restored>”
例如,如果想从 DRNET 域中的 Eng OU 还原 Molly Clark 帐户,需要输入:
restore object “CN=Molly Clark,OU=Eng,DC=DRNET,DC=com&rdquo
如果想权威还原整个目录子树(例如一个 OU),则需要如下输入:
restore subtree “OU=Eng,DC=DRNET,DC=com”
(NTDSUTIL 还提供了一个还原数据库命令用于权威还原整个域以及配置 NC 和架构 NC。还原整个域充满了危险,并且我不建议您使用该选项。如果需要还原整个域,应该还原一个域控制器,然后再次提升域中的其他 DC,如“规划 Active Directory 林恢复”中所述。
当提示时,确认权威还原应增加各对象及其属性的版本号。
退出 ntdsutil(需要键入 quit 两次)。
重新启动 DC 进入正常 Active Directory 模式。
下一次当 DC 与其伙伴进行复制时,将复制您还原的用户。但是还原用户对象只解决了问题的一半。当引入诸如组及其成员之间的对象链接时,情况变得更复杂。在还原期间和还原后可能要面对一些基础问题,在下面的几节我将继续介绍。
首先让我们回顾一下当删除具有后向链接的对象时发生的情形。假设您删除了一个用户对象,它是一个组或多个组的成员。每个具有该用户对象副本的域控制器会将其转换为一个 tombstone 并从链接表中删除所有引用,因而也从用户域中的所有组成员身份删除了该用户对象。(请记住,从组成员身份删除用户不是复制的更改,因为每个 DC 都在本地更新了组成员身份。组成员属性的版本号和本地 USN 保持不变。)短时间之后,将从其他域的链接表中删除幻影对象,再一次不更新组成员属性的复制元数据。
当非权威还原用户域中域控制器上的 DIT 时,将恢复用户对象以及域中组内的所有组成员身份,因此还原的 DC 是本身一致的。当使用 NTDSUTIL 实用程序权威还原用户时,用户对象复制到域中所有其他 DC。
但是因为域中当前组的复制元数据未改变,还原的 DC 上组的成员属性与其他 DC 上组的成员属性不一致。通常情况下没有可以使之聚合的方法。因此,将不会在域中其他 DC 上还原用户的成员身份。
看完上述内容,你们掌握如何进行Active Directory灾难恢复的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。