Active Directory災(zāi)難恢復(fù)詳解二
繼上文Active Directory災(zāi)難恢復(fù)詳解一之后,本文接著介紹有關(guān)Active Directory進行災(zāi)難恢復(fù)的相關(guān)內(nèi)容。
執(zhí)行非權(quán)威還原
從備份還原已刪除的 Active Directory 對象分為兩步:首先,重新啟動 DC 進入目錄服務(wù)還原模式 (DSRM),然后使用 Windows NTBACKUP 實用程序或同等的第三方產(chǎn)品從系統(tǒng)狀態(tài)備份還原整個 Active Directory DIT。此過程將覆蓋整個 DIT。
有兩種方法可以啟動 DC 進入 DSRM:如果對 DC 的系統(tǒng)控制臺有訪問權(quán)限,關(guān)閉并重新啟動 DC,當提示時按 F8 引出 Windows 啟動菜單。從菜單中選擇“目錄服務(wù)還原”然后輸入 DSRM 密碼。
如果遠程管理該服務(wù)器,則不能訪問 Windows 啟動菜單。替代方法是,通過從“我的電腦”選擇“屬性”,單擊“高級”選項卡,然后按“啟動和恢復(fù)”下方的“設(shè)置”按鈕,更改系統(tǒng)啟動選項。按“系統(tǒng)”啟動區(qū)中的“編輯”按鈕編輯 boot.ini 文件,然后添加開關(guān) /SAFEBOOT:DSREPAIR 到行尾,如圖 3 所示。(有關(guān) boot.ini 開關(guān)的詳細信息,請參閱 microsoft.com/technet/ sysinternals/information/bootini.mspx。)
圖 3設(shè)置 DSRM 的啟動選項 (單擊該圖像獲得較大視圖)
重新啟動服務(wù)器時,它將在 DSRM 中出現(xiàn)。請記住,當您要以正常模式重新啟動 DC 時,必須從 boot.ini 刪除 /SAFEBOOT 開關(guān)。
一旦使用 DSRM 密碼登錄后,就可以再次使用 NTBACKUP 命令還原系統(tǒng)狀態(tài)備份而無需指定任何參數(shù)。(不能從命令行使用 NTBACKUP 還原。)當向?qū)С霈F(xiàn)時,選擇“還原文件和設(shè)置”,然后單擊“下一步”。然后選擇備份文件并選中“系統(tǒng)狀態(tài)”框,如圖 4 所示。
圖 4使用“備份或還原向?qū)?rdquo;還原系統(tǒng)狀態(tài) (單擊該圖像獲得較大視圖)
如果想在此時啟動 DC 返回正常模式,Active Directory 復(fù)制進程將把還原的域控制器帶回與域中其他 DC 的同步當中,所有還原的數(shù)據(jù)也將被當前數(shù)據(jù)覆蓋。顯然,這不是您的目標。相反地,您需要一種方法將被還原的對象強制復(fù)制到域中的其他域控制器。
執(zhí)行權(quán)威還原
NTDSUTIL 還會在備份日期和還原日期之間的每天將每個屬性的版本號增加 100,000。除非屬性在一天內(nèi)更新的次數(shù)超過 100,000 次(極不可能出現(xiàn)的情形),還原屬性的版本號將遠大于其他 DC 所持有的版本號,而權(quán)威還原的對象將復(fù)制到其他 DC。其他從備份非權(quán)威還原的對象將最終被其他域控制器的現(xiàn)有數(shù)據(jù)覆蓋。
當完成非權(quán)威還原后,但重新啟動進入正常模式之前,使用 NTDSUTIL 程序執(zhí)行要恢復(fù)對象的權(quán)威還原。無論名稱如何,權(quán)威還原一個對象并不會“還原”該對象,它只是確保 Active Directory 將對象復(fù)制到其他 DC。要做到這一點,NTDSUTIL 將下一個可用的 USN 分配給對象屬性的本地 USN。這導(dǎo)致在下一次同步時將對象發(fā)送到復(fù)制伙伴。要還原單個對象,請確保 DC 以 DSRM 模式啟動,并按照如下步驟操作:
打開命令窗口,鍵入:
在 ntdsutil 提示符下鍵入:
在權(quán)威還原提示符下鍵入:
restore object “<DN of object to be restored>”
例如,如果想從 DRNET 域中的 Eng OU 還原 Molly Clark 帳戶,需要輸入:
restore object “CN=Molly Clark,OU=Eng,DC=DRNET,DC=com&rdquo
如果想權(quán)威還原整個目錄子樹(例如一個 OU),則需要如下輸入:
restore subtree “OU=Eng,DC=DRNET,DC=com”
(NTDSUTIL 還提供了一個還原數(shù)據(jù)庫命令用于權(quán)威還原整個域以及配置 NC 和架構(gòu) NC。還原整個域充滿了危險,并且我不建議您使用該選項。如果需要還原整個域,應(yīng)該還原一個域控制器,然后再次提升域中的其他 DC,如“規(guī)劃 Active Directory 林恢復(fù)”中所述。
當提示時,確認權(quán)威還原應(yīng)增加各對象及其屬性的版本號。
退出 ntdsutil(需要鍵入 quit 兩次)。
重新啟動 DC 進入正常 Active Directory 模式。
下一次當 DC 與其伙伴進行復(fù)制時,將復(fù)制您還原的用戶。但是還原用戶對象只解決了問題的一半。當引入諸如組及其成員之間的對象鏈接時,情況變得更復(fù)雜。在還原期間和還原后可能要面對一些基礎(chǔ)問題,在下面的幾節(jié)我將繼續(xù)介紹。
首先讓我們回顧一下當刪除具有后向鏈接的對象時發(fā)生的情形。假設(shè)您刪除了一個用戶對象,它是一個組或多個組的成員。每個具有該用戶對象副本的域控制器會將其轉(zhuǎn)換為一個 tombstone 并從鏈接表中刪除所有引用,因而也從用戶域中的所有組成員身份刪除了該用戶對象。(請記住,從組成員身份刪除用戶不是復(fù)制的更改,因為每個 DC 都在本地更新了組成員身份。組成員屬性的版本號和本地 USN 保持不變。)短時間之后,將從其他域的鏈接表中刪除幻影對象,再一次不更新組成員屬性的復(fù)制元數(shù)據(jù)。
當非權(quán)威還原用戶域中域控制器上的 DIT 時,將恢復(fù)用戶對象以及域中組內(nèi)的所有組成員身份,因此還原的 DC 是本身一致的。當使用 NTDSUTIL 實用程序權(quán)威還原用戶時,用戶對象復(fù)制到域中所有其他 DC。
但是因為域中當前組的復(fù)制元數(shù)據(jù)未改變,還原的 DC 上組的成員屬性與其他 DC 上組的成員屬性不一致。通常情況下沒有可以使之聚合的方法。因此,將不會在域中其他 DC 上還原用戶的成員身份。
更多內(nèi)容請點擊Active Directory災(zāi)難恢復(fù)詳解三。
【編輯推薦】
