2024年1月24日发(作者:)
升腾终端
专业打造
AD备份与恢复
1
AD的备份
我们已经知道AD中保存有很多数据,但您是否知道这些数据是如何组织并保存在系统中的?您又是否知道在做AD备份时该备份哪些数据?若您不清楚,让我们带着这些疑问,进入后面的章节。
1.1 AD中数据的组织
AD中数据可以分成两大部分----AD数据库及相关文件和SYSVOL(系统卷)
(1)其中AD数据库及相关文件信息如下:
— 数据库。
— 事务日志。
— 检查点文件。
和 — 预留的日志文件。
会随着数据库的填充而不断增大。但是,日志的大小却是固定的 (10 MB)。对数据库进行的任何更改都会被追加到当前的日志文件中。
是当前的日志文件。对数据库的任何更改都会写入到
文件中。当 文件满后,它会被重新命名为 。(从
00001 开始,并使用十六进制累加。) 由于 Active Directory 使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及时删除。在任何时刻都可以找到 文件,而且还可能有一个或多个
文件。
和 是“占位符”,没有实际用途,主要用来在此驱动器上预留(在此情况下)最后的 20 MB 磁盘空间。这是为了给日志文件提供足够的空间,以便在其它所有磁盘空间都已使用的情况下还有足够空间可用,从而保证可以正常关机。
文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时使用。
**************************************************************************
注意:出于最佳性能考虑,请将日志文件存储在与数据库所在磁盘不同磁盘上,以减少磁盘争用情况,从而提高性能。
**************************************************************************
(2)SYSVOL(系统卷)。
系统卷为那些必须在域中共享以供访问的文件,提供默认的 Active
Directory 位置。域控制器上的 SYSVOL 文件夹包括以下内容:Net Logon 共享(其中通常驻留着用于基于非 Windows 2000/2003/xp的 网络客户端的登录脚本和策略对象。)、文件系统联接、基于 Windows 2000 Professional、Window
Xp 的客户端以及运行 Windows 95、Windows 98 或 Windows NT 4.0 的客户端第 1 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
的用户登录脚本。、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务 (FRS) 的分段目录和文件。
SYSVOL 目录结构:
Domain
Policies
Scripts
Staging
Domain
staging areas
Domain name
staging areas
Domain name
Policies
Scripts
通过以上描述,我们知道在进行AD备份时必须包含以上所提及的内容。
1.2 AD备份前的预备知识
在制定备份规划以及实际进行备份之前,有几个概念我们必须清楚,下面分开进行描述。
(1) AD服务器和角色
提供认证服务的域控制器(DC)是上面驻留有域数据库并执行验证服务的服务器。在Win2000及Win2003中,可以在该环境内的任何 DC 上执行更改对象。正因为如此,DC 必须启动并执行复制操作,以确保环境中的所有 DC 上都驻留有当前正确的目录版本。另外,在特定目录林中的所有域控制器上都驻留有目录林配置和架构容器的副本。
域控制器除了提供认证服务外还可以作为全局编录(GC)或充当特定角色主机(这些角色包括架构主机、域命名主机、相对 ID (RID) 主机、主域控制器 (PDC) 仿真主机、结构主机5个角色),下面对GC及5个角色的操作主机进行描述。
全局编录(GC):
GC的主要功能是在整个 Active Directory 目录林内进行快速和有效的搜索。GC 拥有它所属的域中所有对象的可读/写的完全副本,以及目录林中其它每一个域中的只读部分副本(所有对象,但不包括部分属性集)。因此,全局编录使目录林内的目录结构对于最终用户而言是透明的,从而为用户创造了一个使得在目录中查找对象变得简单和有效的搜索机制。
另外,为在本机 Windows 2000/2003 域中进行通用组成员和用户主要名称 (UPN) 枚举,也需要全局编录。因此,如果 DC 不能在客户端登录时联系到 GC,则客户端将只接收到缓存的本地登录凭据,而对远程资源进行的访问将被拒绝。
*****************************************************************
第 2 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
若要知道 DC 是否为全局编录服务器,请查看“站点和服务管理单元”中的 ntdsDSA
对象的属性。(在域控制器的 Ntds 设置上单击鼠标右键,然后选择属性。) 如果选中全局编录复选框,则该 DC 就是一台全局编录服务器。可以在任何现用的 DC 上查看该管理单元,以检查出现故障的 DC 是否为 GC。
*****************************************************************
操作主机:
操作主机可以分为两大类:林范围内的操作主机和域范围内的操作主机
林范围内的操作主机角色----架构主机和域命名主机。
每个林都必须具有这两个角色,且在林中这些角色必须是唯一的,也就是说在整个林中,只能有一个架构主机和一个域命名主机。
架构主机域控制器控制对架构的全部更新和修改。要更新林的架构,您必须拥有架构主机的访问权。
“架构”管理单元不是随 Windows 2000/2003 Server 一起提供的默认 MMC 管理单元。若要使它出现在可用管理单元列表中,必须从 Windows
2000/2003 Server CD 中安装管理工具软件包 ()。 并在安装完成后注册“架构”管理单元(请在命令提示符下或在开始菜单上的运行命令中键入 Regsvr32 进行注册)。
域域命名主机角色的域控制器控制林中域的添加或删除。在整个林中只能有一个域命名主机。
域范围内的操作主机角色----相对ID(RID)、PDC仿真和结构主机。
林中的每个域都必须包知这3个角色,在每个域中这些角色都必须是唯一的。即林中的每个域都只能有一个相对 ID 主机、PDC 仿真主机以及结构主机。
RID主机将系列相对ID(RID)分配给域中每个不同的域控制器。在任何时候,林中的每个域中只能有一个域控制器作为 RID 主机。
每次当域控制器创建用户、组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID 包含一个“域”SID(它与域中创建的所有 SID
相同)和一个 RID(它对域中创建的每个 SID 是唯一的)。
PDC 仿真主机
如果此域包含在没有 Windows 2000 或 Windows XP Professional 客户端软件情况下运行的计算机,或者包含 Windows NT 备份域控制器
(BDC),则由PDC仿真主机担当 Windows NT 的主域控制器。它处理来自客户端的密码更改并将更新复制到 BDC。在默认情况下,PDC 仿真主机还负责同步整个域内所有域控制器上的时间。
结构主机
结构主机负责更新从它所在的域中的对象到其他域中对象的引用。结构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作定期接受所有域中对象的更新,从而使全局编录的数据始终保持最新。如果结构主机发现数据过时,则它从全局编录申请更新的数据。结构主机然后将这些更新的数据复制到域中的其他域控制器。
********************************************************
第 3 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
要检查哪一台 DC 具有域命名主机角色,请打开“域和信任”管理单元。若要检查架构主机,请打开“架构”管理单元。对于其它的角色,请打开“用户和计算机”管理单元。在每一个管理单元的最高层容器(在左侧窗格中),单击鼠标右键并选择操作主机。
*****************************************************************
(2) 多域控制器之间的复制
由于 Windows 2000 或Window 2003 DC 拥有其所在域中的所有对象的副本,并且具有这些对象的读/写权限,所以通过该域中的任一 DC 都可以对该域进行管理。这些操作会影响对象的状态,因此必须要将这些操作复制到其它 DC 中。 复制是在 DC 中传播对象更新的过程。 通常情况下,已更改对象的复制并不会立即执行,而是在一段时间后复制操作才触发,该操作将收集所有的更改并将这些信息提供给集合中的其它 DC。因此在正常操作中,可以认为任何 DC 上的 Active Directory 始终处于松散的一致状态。在考虑 Active Directory 的恢复技术时,复制和松散一致性是非常重要的概念。
1.3 AD备份前的准备工作
在实际进行备分之前,先让我们看看有哪些数据一定要备份,以及该如何进行备份,在前面的篇幅中,我们已经知道,AD中的数据可以分成两大部分----AD数据库及相关文件和SYSVOL(系统卷),这些数据都必须备份,但如何将这些备份需求转化为实际的备份动作?要解答这个问题,我们必须理解“系统状态”这个概念。
1.3.1 系统状态
AD 会被作为系统状态的一部分进行备份,而系统状态是相互依赖的系统组件的集合。这些组件必须一起备份(和还原)。组成域控制器上系统状态的组件包括:
系统启动文件(引导文件,这些文件是引导 Windows所必需的文件。它们会作为系统状态的一部分自动进行备份。);
系统注册表(当您备份系统状态数据时,会自动备份注册表的内容。另外,注册表文件的副本保存在 %SystemRoot%\Repair\Regback 文件夹中,您可还原注册表,而不用还原整个系统状态。)
COM+ 的类注册数据库(组件对象模型 (COM) 是一个二进制标准,用于在分布式系统环境中编写组件软件。组件服务类注册数据库与系统状态数据一起进行备份和还原)。
1.3.2 SYSVOL(在Win2003系统中已将SYSVOL做为“系统状态”的一部分)
系统卷为那些必须在域中共享以供访问的文件提供默认的 Active
Directory 位置。域控制器上的 SYSVOL 文件夹包括以下内容:Net Logon 共享(其中通常驻留着用于基于非 Windows 2000 网络客户端的登录脚本和策略对象。)、文件系统联接、基于 Windows 2000 Professional 的客户端以及运行 Windows 95、Windows 98 或 Windows NT 4.0 的客户端的用户登录脚本、Windows 2000 组策略、需要在域控制器上可用并需要在域控制器间同步的文件复制服务 (FRS) 分段目录和文件等。
第 4 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
1.3.3 其它
如果您具有集成 Active Directory 的 DNS,则区域数据会作为 Active
Directory 数据库的一部分进行备份。如果您没有集成 Active Directory 的
DNS,则区域文件必须单独进行备份。但是,如果您与系统状态一起备份系统磁盘,则该数据会作为系统磁盘的一部分进行备份。
另外,如果域控制器上安装了群集服务或证书服务,则它们会作为系统状态的一部分进行备份。
1.4 确定备份类型
Window系统自带的备份工具支持的备份类型包括普通备份、副本备份、增量备份、差异备份、每日备份,但是由于 Active Directory 作为系统状态的一部分进行备份,所以 Active Directory 可用的备份类型只有普通备份。
1.5 规划一个好的备份
通过前面的了解,我们已经知道AD备份时需要备份哪些数据,也知道了备份的类型,那怎么样的备份才算是一个好的备份呢?这个问题主要由两个重要的因素----内容和时间来决定,下来加予讨论。
1.5.1 内容
先让我们来看看备份的内容, 好的备份至少包括系统状态、系统磁盘的内容以及 SYSVOL 文件夹(如果不在系统磁盘上)(这说明SYSVOL并不被当做系统状态进行备份,备份时必须指定)。如前所述,系统状态包括许多用于还原域控制器的关键文件和设置。备份系统磁盘和 SYSVOL 文件夹结构,可确保成功还原所需的所有系统文件和文件夹都位于备份中。
1.5.2 时间
接下来让我们来看看备份的时间安排,在讨论之前有一个概述我们需要理解----逻辑删除时限。
在 Windows 2000/2003 中删除一个对象后,删除了该对象的 DC 会通过称为“逻辑删除”的复制来通知环境中的其它 DC,告知它们已执行了此次删除操作。 逻辑删除表示已删除的、但并没有完全从目录中删除的对象。根据逻辑删除存留时间设置(默认设置为 60 天),最终会删除该逻辑删除。
如果备份的时限超出在 Active Directory 中设置的逻辑删除时限,则该备份就不能算是一个好的备份。 因为如果将 DC 还原到对象删除之前的状态,而在该对象的逻辑删除到期之前,没有将该逻辑删除复制到已还原的 DC 上,则该对象只在该还原 DC 上存在,这样就会导致不一致的情况。因此,必须在逻辑删除到期之前还原该 DC,而且要保证在该逻辑删除到期之前,完成从包含该逻辑删除的 DC 中到已还原的 DC 的入站复制。出于这种考虑,备份的间隔应该是在逻辑删除存留时间内至少有一次。但是,强烈建议管理员要更加频第 5 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
繁地备份系统状态和系统磁盘,以确保在任何给定的时间都有包含最新版本数据的备份。
另外,将备份安排在什么时间段进行也很关键,因为在备份时将会占用系统资源,建议不要将备份安排高峰期进行。
******************************************************************
注意:某一 DC 的备份数据只能用于还原该 DC。不能使用一个 DC 的备份来还原另一个 DC。为确保对环境进行彻底的备份,必须对每一个域控制器都进行备份。在制定备份策略时应切记这一点。最低的要求是要备份所有的
OM(操作主机) 角色和 GC。而且,始终要备份根域中的第一个域控制器。
******************************************************************
1.6 AD备份
在这里,我们主要介绍使用Window系统自带的NTBackup工具进行备份(当然,您也可以选用第三方工具进行备份和还原),在备份时可以指定备份哪些内容。AD备份至少要备份“系统状态”和“SYSVOL(系统卷)”(2000系统中SYSVOL必须单独指定,在WIN2003中已将SYSVOL当成系统状态的一部分)两部分,详细过程请参考附件中的《AD备份与恢复》中的相关章节。
另外,在备份时,可以通过选择“高级”选项来指定备份的类型及备份的时间安排,如下图所示。
第 6 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
通过单击“高级”选级可以设置如下图所示的“设定备份计划”选项。
在这里我们可以设定系统自动备份的时间及周期,如下图所示。
第 7 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
2 AD恢复
之所以要进行AD恢复,是因为出现了不可通过其它手段修复的灾难,因此在详细讨论如何恢复之前,先让我们看看灾难的类型,并在后续部分介绍AD的恢复及恢复验证。
2.1 AD灾难类型
AD灾难的类型可能有多种,在这里我们主要讨论两种灾难----“数据库损坏”和“数据损坏”。
数据库损坏表明整个AD系统已严重损坏,导致数据库损坏的主要原因有:磁盘损坏域控制器出现严重的硬件故障需要进行更换、软件故障使得计算机无法正常引导等。
数据损坏则说明只有部分数据损坏,导致数据损坏的原因通常是因为某个人意外地删除了某一对象,而且该删除操作已经复制到环境中的其它 DC。
第 8 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
通过对两种灾难类型进行介绍后,接下来让我们来看看会有哪些灾难恢复方案。
2.2 AD恢复的两种方法
还原Window 2000或2003 AD的方法主要有两种,它们分别是:通过重新安装系统和重新安装AD来还原、从AD备份中还原。
2.2.1 通过重新安装系统及重新安装AD来还原。
该方法依赖AD复制将 DC 还原到工作状态,因此只有在同一域中存在另一台运行正常的 DC 时此方法才有效。建议只有在没有域控制器的好备份可用的情况下才采用此方法。当我们确定采用重新安装来进行AD恢复后,我们还有一些因素需要考虑,最主要的因素就是----带宽问题。通过复制操作恢复 DC 的主要问题是带宽。通过复制操作还原 DC 所需的带宽与 Active Directory 数据库的大小以及需要该 DC 处于正常工作状态的时间直接相关。因此我们必须考虑在适当的时间进行AD重新安装。
2.2.1.1 通过重新安装还原 DC 所需的步骤
通过重新安装进行恢复的步骤和创建新 DC 的步骤相同。理想情况下,此 DC
应该和要复制的 DC(新的 DC)位于同一 Active Directory 站点中,以减少网络的影响和与此方法相关的还原次数。
1、清除操作,例如从 Active Directory 中删除出现故障的 DC 对象,若故障DC是操作主机,还必须将操作主机角色强制转移给其它DC。
在执行清除操作时,如果新 DC 的名称与故障 DC 的名称相同,则必须删除故障 DC 中的 ntdsDSA 对象,具体步骤如下:
A、在命令行中,键入 ntdsutil。
B、在 ntdsutil: 提示符下键入 metadata cleanup,然后按 Enter 键。
C、 现在,需要连接到现有的域控制器,以便在上面删除故障 DC 中的
ntdsDSA 对象。
D、在 metadata cleanup 提示符下键入 connections,然后按 Enter 键。
E、键入 connect to server <服务器名>,然后按 Enter 键。其中 <服务器名> 是从其上清除元数据的 DC(同一域中的任何工作正常的 DC)。
F、键入 quit,然后按 Enter 键。将返回元数据清除菜单。
G、键入 select operation target,然后按 Enter 键。
H、键入 list domains,然后按 Enter 键。将列出目录林中所有的域,其中每一个域都和一个编号相关联。
I、键入 select domain <编号>,然后按 Enter 键,其中 <编号> 是与故障服务器所在的域对应的编号。
J、键入 list sites,然后按 Enter 键。
K、 键入 select site <编号>,然后按 Enter 键,其中 <编号> 是指该 DC
所在站点的编号。
L、键入 list servers in site,然后按 Enter 键。将列出该站点中所有的服务器,其中每一个服务器都有一个对应的编号。
M、键入 select server <编号>,然后按 Enter 键,其中 <编号> 是指要删除的 DC。
第 9 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
N、键入 quit,然后按 Enter 键。将显示元数据清除菜单。
O、键入 remove selected server,然后按 Enter 键。
P、此时,应出现一条说明该 DC 已成功删除的确认信息。如果接收到一个错误,指出没有找到该对象,则可能该对象已经从 Active Directory 中删除了。
Q、键入 quit,然后重复按 Enter 键,以返回到命令提示符。
*******************************************************************
注意 由于此过程需要修改配置命名上下文,所以此操作需要企业管理员权限。
*******************************************************************
如果新的 DC 名称与故障 DC 的名称不同,则应该执行以下附加步骤:
从站点和服务管理单元中删除故障服务器对象,具体步骤如下:
A、打开站点和服务管理单元。
B、选择适当的站点。
C、删除与故障 DC 相关联的服务器对象。
D、从用户和计算机管理单元中删除故障计算机的帐户:
E、打开用户和计算机管理单元。
F、选择域控制器容器。
G、删除与故障 DC 相关联的计算机对象。
2、安装全新的 Windows 系统 。
3、运行 (AD 安装工具),以将此计算机提升为域控制器角色。
2.2.2 从备份中还原AD。
此方法主要依赖在故障前对 DC 制作的最后的好备份。使用 Windows 2000
备份实用程序或所选的受支持的第三方应用程序,都可以启动还原过程。还原过程会使 DC 返回到备份时的状态;随后,DC 会向其复制伙伴查询自从该时间起进行的所有更新。如果进行过更改,则会复制这些更改,以确保该 DC 具有
Active Directory 数据库的最新且正确的副本。
从备份中还原AD有两种还原方式----授权还原和非授权还原。接下来让我们详细进行讨论。
2.2.2.1 非授权还原
非授权还原表示在进行还原时,保留备份时的版本号不变,因此当还原结速并重启后,还原后的域控将与其它域控联系,并进行复制工作,若其它域控制器上的对角的版本高,将被复制到刚恢复的域控制器上。
1、还原前须知。
非授权还原是还原 Active Directory 的默认方法,可以用于大多数还原操作。使用此方法,域、架构、配置中存在的设置和条目,以及全局编录命名上下文(可选)都会保持它们在备份时的版本号。
在进行非授权还原之后,DC 将使用常规复制技术进行更新。即,如果某一属性的版本号低于其复制伙伴数据库中同一属性的版本号(表明该对象在上次备份之后进行过更改), 则还原的服务器上的该对象将使用自从上次备份之后对该对象进行过的更改来更新自身。这样就确保数据库是最新的版本。
使用非授权还原方法来还原 SYSVOL 时,系统会将还原的 DC 上的本地副本和其复制伙伴的副本进行比较(使用 MD5 校验和)。一旦重新引导该 DC,它将第 10 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
和其复制伙伴进行联系,比较 SYSVOL 信息,并复制所需的更改,然后使用域中的其它 DC 对其进行更新。
使用此方法的条件是在域中至少有另一台工作正常的 DC。这是 SYSVOL 的默认还原方法,如果执行非授权的 Active Directory 还原,该方法将自动执行。
如果域中没有其它工作正常的 DC,则应该对 SYSVOL 执行 PRIMARY 还原。PRIMARY 还原通过加载本地 DC 的 SYSVOL 下的数据来创建一个新的 ntfrs(Windows NT 文件复制服务)数据库。除了将 SYSVOL 标记为 PRIMARY 外,此方法与非授权还原相同。如下图所示,要勾选“当还原复制的数据集时,将还原的数据作为所有副本的主要数据”选项。
2、非授权还原所需的步骤
要使用 Windows 2000/2003 系统备份实用程序执行非授权还原,请执行如下步骤。
********************************************************************
警告 如果重新安装操作系统,您可(也可不)将该计算机加入到域中,并可在安装操作系统时为该计算机指定任意的名称。不要将该计算机提升为域控制器。在重新安装操作系统之后,请直接执行下面的步骤 4。
********************************************************************
A、重新引导目标系统,在系统启动时按 F8 键,进入目录服务恢复模式。
B、选择目录服务恢复模式(仅对于 Windows 2000 域控制器)。
C、选择想要以恢复模式启动的操作系统。
D、以管理员(本地系统帐户,没有域可供选择)身份登录。
E、运行 Windows 2000/2003 备份实用程序,并选择还原向导按钮。
F、选择适当的备份位置,并确保至少选中了系统磁盘和系统状态容器。
G、单击高级按钮,并确保要还原交接点(步骤 9)。如果不进入高级菜单,还原过程将不会成功。
H、在“将文件还原到”下拉框中选择原位置。
第 11 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
I、在高级还原选项窗口中,选中还原安全机制;还原交接点,并将交接点下的文件和文件夹数据还原到原始位置;保留现有卷的装入点旁的复选框。请参见下面图 中的图例。
J、单击完成按钮。
K、在完成之后,单击是以重新启动计算机。
L、系统将重新引导,并通过其复制伙伴复制自从上次备份以后的任何新信息。
2.2.2.2 授权还原
1、什么是授权还原。
授权还原表示在进行还原时,将会提高授权的目录中对象、子树中对象的属性的版本号,因此当还原结速并重启后,还原后的域控将与其它域控联系,并将授以恢复的对象复制到其它域控制器上。
授权还原从本质上说是非授权还原过程的扩展。在启动它之前,需要执行非授权还原的所有步骤。这两种方法的主要区别在于:授权还原可以提高整个目录中所有对象、子树中所有对象或单个对象的属性的版本号,以便使其在目录中是授权的。
2、授权还原与非授权还原的区别。
与非授权还原一样,一旦 DC 重新回到联机状态,它就会与其复制伙伴联系,以查看自从上次备份之后有哪些内容进行过更改。但是,由于您希望是授权的对象属性的版本号将高于复制伙伴上的属性的现有实例,所以还原的 DC 上的对象版本会显得比较新,因此随后会将它复制到环境中的其余 DC 上。
与非授权还原不同的是,授权还原需要使用单独的工具 () 才能运行。备份实用程序不能单独执行授权还原。
3、授权还原的应用场合。
在出现人为错误时应该使用授权还原,例如:管理员意外地删除了一些对象;所作的更改已经被复制到所有的 DC 中,这些对象都已经从域中删除;管理员重新创建这些对象十分困难。
***********************************************************************
第 12 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
注意:授权还原不会覆盖在进行备份之后创建的新对象。它只能在配置和域上下文中的对象上执行。不支持架构命名上下文的授权还原。
**********************************************************************
4、开始授权还原
授权还原可以用来还原整个目录、目录中的子树或单个对象(如果该它是叶 A第 13 页
对象)。下述的示例将详细介绍如何还原整个目录以及目录的子树。
在对 SYSVOL 进行授权还原时,表明从备份中还原的 SYSVOL 副本对域来说是权威的。还原之后,本地 SYSVOL 将被标记为权威的,而且将被复制到域中的其它 DC 上。
与 Active Directory 授权还原相同,此方法通常在出现人为错误而且错误已经传播到其它域控制器的情况下才使用。例如,在管理员意外地删除了
SYSVOL 中的某一对象(如“组策略”对象)。
SYSVOL 的授权还原不能在 AD 的授权还原之后自动执行,它需要执行一些附加步骤。 如下所示。
、整个目录
整个目录的授权还原是一个重要操作,应该在执行之前咨询 Microsoft
支持的专业人员。如果 DC 是域中的唯一 DC,则不应该执行整个目录的授权还原。
请按照非授权还原的前 10 个步骤执行。在提示您重新启动计算机时,拒绝重新启动。这是因为如果这样就必须将系统状态再次还原到备用位置。为继续进行,请执行以下步骤:
(1)启动NTBackup并单击还原选项
(2)确保在“将文件还原到”下拉列表中选中了备用位置。
选择备用位置会将系统状态还原到备用的位置。不需要将系统磁盘还原到备用位置,因此,您就应该只对系统状态选中该框。将系统状态还原到备用位置时,只是将 SYSVOL、引导文件和注册表还原到备用位置(而不是 Active Directory)。执行此操作之后,就可以进行
SYSVOL 的授权还原了。一旦还原了整个目录,则可以删除备用位置中的文件。
(3)还原过程结束之后,关闭备份应用程序。即可进行如下的SYSVOL授权还原过程
(4)打开命令提示符,键入 ntdsutil,然后按 Enter 键。
(5) 在下一个提示符下,键入 authoritative restore,然后按 Enter 键。
(6) 在下一个提示符下,键入 restore database。
(7) 在“授权还原确认对话”框中,单击确定。
(8) 重复键入 Quit,直至退出该应用程序。
(9) 重新启动服务器。该服务器现在为域的授权 DC。所作的更改将复制到环境中的其它 DC 上。
(10) 一旦重新引导了系统,而且在公布了 SYSVOL 共享之后(SYSVOL 共享及其子文件夹需要几分钟时间才能出现在域控制器中),把复制到备用位置的 SYSVOL 目录中的所需文件/文件夹复制到原位置。这样,被覆盖的文件将被复制到其它域控制器中,以便 SYSVOL 和进行备份时的
SYSVOL 相同。
升腾技术支持中心 共 22 页
升腾终端
专业打造
下面是一个把备用位置的 SYSVOL 复制到原位置的示例。您的系统不同,驱动器和文件夹信息也可能会不同。
从下列位置中复制脚本目录的内容:
c:\<备用 Sysvol 位置>\sysvol\c_\winnt\Sysvol\Domain\scripts\
将其添加到如下位置:
c:\Winnt\SYSVOL\Sysvol\domain\scripts\
从下列位置中复制策略目录的内容:
c:\<备用 Sysvol 位置>\sysvol\c_\winnt\Sysvol\Domain\policies\
将其添加到如下位置:
c:\Winnt\SYSVOL\Sysvol\domain\policies\
通过以授权地还原 SYSVOL,还原的 DC 上的文件对于域而言是授权的,因而将被复制到其它 DC 上。在备份之后对任何策略所作的更改都将丢失。
B、授权还原 — 子树
这种授权还原的方法可以还原 Active Directory 的特定组件,并将这些组件标记为对于目录而言是授权的。预计这是授权还原的最常见方式,因为需要还原整个目录的情况很少见。
要执行某一子树的授权还原,请按照本文中“整个目录的授权还原”一节中的步骤执行,但是在SYSVOL的授权还原过程中的第3步要用下面的步骤来替换:
(3)键入 RESTORE SUBTREE <路径> 例如:RESTORE SUBTREE
OU=Sales,OU=Sydney,DC=Whitepaper,DC=com
此服务器现在为指定路径的授权 Active Directory 域控制器。所作的更改将复制到域中的其它 DC 上。
由于只还原 Active Directory 的一部分,所以不一定需要执行 SYSVOL
的授权还原。但是,如果由授权还原操作还原的子树或对象包含 SYSVOL 中的元素,例如组策略,则还应该通过授权还原操作来还原 SYSVOL 的那一部分。 如果需要执行该操作,则必须执行本文“整个目录的授权还原”一节中的步骤
“(10)”。
注意 只有当目录中的单个对象是叶对象时,才对其执行授权还原。对象及其子对象将一起进行授权还原。另外即使是对目录的某一子树进行了授权还原,还是必须使用非授权还原方法对整个目录进行完全还原,然后,才能使用
ntdsutil 工具将该子树标记为授权的。
************************************************************************
最后有一点需要强调,可以在不同的硬件上还原备份,但是在执行该操作之前,需要考虑如下一些问题。
不同的 HAL— 默认情况下, 并不作为系统状态的一部分进行备份,但
却相反。因此,如果要尝试将备份还原到需要不同 HAL 的计算机上(例如,为了支持多处理器环境),则会遇到新 HAL 和初始 的兼容问题。解决此问题的唯一方法,是从原始计算机中复制 ,然后将其安装在新计算机上。其缺点是新计算机将只能使用一个处理器。
文件不兼容— 如果备份然后还原 文件,则新的硬件配置中可能会出现不兼容问题,从而导致引导故障。在还原之前,确保 文件适用于新的硬件环境。
第 14 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
不同的网卡或显卡— 如果新硬件有不同的视频适配器或多个网络适配器,请在还原数据之前将它们卸掉。重新启动计算机时,常规的即插即用功能将进行必要的更改。
磁盘空间和分区配置
除了在不同硬件上还原 DC 的问题之外,使新计算机上的分区和原始计算机分区相同也是十分重要的。特别是所有的驱动器映射必须相同,而且分区大小必须与原始计算机的分区相同。
3 成功还原的验证
经过前面的努力,恢复工作已经完成,但是恢复是否成功,还需进一步验证。下面主要讨论如何验证。
尽管查看域控制器在还原后是否工作正常的测试手段有许多种,但是下面所列出的是基本的测试,应该执行该步骤来验证还原操作的成功与否。
3.1、以正常模式重新引导
如果域控制器可以成功地以正常模式进行引导,那么目录就能够成功地初始化。特别是在还原之前该 DC 不能正常引导的情况下,这就更加正确。
3.2、检查目录服务事件日志是否存在错误消息
应该检查目录和系统事件日志,以查看是否存在关于还原过程的错误消息。
3.3、检查域控制器是否能通过其邻居的验证
使用 repadmin 工具可以验证。这种方法主要用于检查还原的域控制器是否能通过另一台域控制器的验证,并复制更改以更新它的目录副本。能够执行该任务是它作为域控制器的关键因素。
第一项检查是获得还原的域控制器的入站伙伴。所使用的选项是:
D:\>repadmin /showreps
testlab\test-machine3
DSA Options : (none)
objectGuid : a07b44e6-76ba-4f03-80c9-5a4a256347bb
invocationID: 6037d0c3-2194-4f27-95ed-578b38861414
==== INBOUND NEIGHBORS ======================================
CN=Schema,CN=Configuration,DC=testdom,DC=nttest,DC=microsoft,DC=com
testlab\test-machine1 via RPC
objectGuid: 465848f9-5446-4176-a504-59629c7a8fd8
Last attempt @ 2000-09-08 14:10.16 was successful.
CN=Configuration,DC=testdom,DC=nttest,DC=microsoft,DC=com
testlab\test-machine1 via RPC
objectGuid: 465848f9-5446-4176-a504-59629c7a8fd8
Last attempt @ 2000-09-08 14:10.16 was successful.
DC=testdom,DC=nttest,DC=microsoft,DC=com
testlab\test-machine1 via RPC
第 15 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
objectGuid: 465848f9-5446-4176-a504-59629c7a8fd8
Last attempt @ 2000-09-08 14:10.16 was successful.
在上例中,还原的 DC 是 test-machine 3。测试在还原的计算机上进行,但是该工具可以在任何域控制器上使用。在上例中,test-machine 1 是它的入站伙伴。
下一条命令将尝试使用入站邻居中的更改来同步还原的域控制器上的架构命名上下文:
D:\>repadmin /sync
D:\>repadmin /sync
"CN=Schema,CN=Configuration,DC=testdom,DC=nttest,DC=microsoft,DC=com" test-machine3 465848f9-5446-4176-a504-59629c7a8fd8
Sync from 465848f9-5446-4176-a504-59629c7a8fd8 to test-machine3 completed
successfully.
然后,可以尝试使用同一命令来同步入站邻居和还原的域控制器,以检查出站复制是否工作:
D:\>repadmin /sync
"CN=Schema,CN=Configuration,DC=testdom,DC=nttest,DC=microsoft,DC=com" test-machine1 a07b44e6-76ba-4f03-80c9-5a4a256347bb
Sync from a07b44e6-76ba-4f03-80c9-5a4a256347bb to test-machine1
completed successfully.
如果同步成功,则该域控制器就可以通过临近域控制器的验证,并接收其中的更改。如果不成功,则可能表示,该还原的域控制器上的计算机帐户密码是旧密码,这样入站伙伴就无法验证还原的域控制器。应该使用 netdom
工具,将入站副本域控制器上的密码和还原的域控制器上的密码设置为相同。有关 netdom 工具的更多信息,请参见 Windows 2000 CD 上的 Windows 2000
支持工具。
3.4、授权还原的其它验证
除了上述的步骤外,还应该验证采用授权还原操作还原的对象是否出现在目录中。 这可以使用 Repadmin 命令行工具,通过检查目录或子树的版本号是否增加,从而验证授权还原是否成功完成。执行此任务的方式如下:执行 /showmeta 命令,后面跟随着执行授权还原的目录和子树的准确可分辨的名称。
4 附录I-----操作主机角色的恢复与转移
在前面的篇幅里,我们介绍了GC和5种操作主机角色,也从中了解了操作主机角色的重要性。那如果操作主机角色出现问题,我们该如何恢复?对于这个问题,我们可以通过执行以下的过程之一来恢复。
1、从备份中还原故障的操作主机。
2、将该角色强制转移到环境中的其它 DC 上。只有在不能从备份中还原原始角色时,才能执行此操作。
**************************************************************************
第 16 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
注意 通过重新安装来还原 OM 服务器并不能还原其原始的角色状态。但是,在重新安装之后,该角色可从其它担当该角色的 DC 正当地转移回来。
OM 也被称为 FSMO(弹性单一主机操作)角色承担者。
***************************************************************************
如何还原AD在前面的篇幅已经介绍过,在这里不再说明,下面主要介绍如何进行操作主机角色转移。
5.1 强制转移操作主机角色
强制转移(通常的叫法)是无需原始角色承担者的协作就可执行的过程。换句话说,当原始角色承担者出现灾难情况时,可以转移该角色,强制将该角色转移到域/目录林中的另一台 DC 上。
尽管强制转移 OM 角色的过程与所有 5 个角色的过程类似,但是在执行时需要注意的事项却不同。这些问题将在本文稍后进行讨论。
注意 OM 角色的正常转移过程在本文中不作介绍。如果可以执行此过程,则表示原始角色承担者能正常工作,并不参与灾难恢复。
4.1 强制转移操作主机所需的步骤
1、确认承担 OM 角色的最佳备用计算机
要强制承担角色的 DC 必须与在前一个角色承担者上执行的更新完全同步。这就是为什么强烈建议在环境中指定的备用角色承担者应该和现有的角色承担者处在同一站点中,而且使它们成为直接的复制伙伴的原因。
为了确保在环境中选择最合适的备用 OM,请使用 Repadmin 工具(包括在
Windows 2000 CD 的支持工具中)来检查它的状态。
为了说明这一点,假设服务器 SYD01 是域 的操作主机,SYD02 是指定的备用 OM,而 MEL01 是域 中唯一的另一台 DC。
键入如下两条命令:
C:\>repadmin /showvector dc=whitepaper,dc=com,dc=au
ey\SYD01 @ USN 4023 Melbourne\MEL01 @ USN 4087
C:\>repadmin /showvector dc=whitepaper,dc=com,dc=au
ey\ SYD01 @ USN 4018 Sydney\SYD02 @ USN 5017
由于 SYD01 是源操作主机,所以我们关心的只是更新顺序号 (USN)。SYD02 (4023)
上的 USN 高于 MEL01 (4018) 上的 USN,因此 SYD02 比 MEL01 更新,更适合承担该角色。
2、强制转移 OM 角色步骤
确定出承担 OM 角色的最佳备用计算机之后,请按照下面的步骤来强制转移 OM
角色:
打开命令提示符。
键入 NTDSUTIL。
在 ntdsutil 提示符下,键入:roles
在 FSMO 维护提示符下,键入:connections
在服务器连接提示符下,键入:connect to server <服务器的 FQDN>。例如:connect
to server
在服务器连接提示符下,键入:quit
在 FSMO 维护提示符下,键入:seize <操作主机>。例如:seize schema master
在弹出窗口中,单击是以验证强制转移。
第 17 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
在 FSMO 维护提示符下,键入:quit
在 ntdsutil 提示符下,键入:quit
3、具体操作主机角色转移步骤及注意事项。
第 18 页
A、架构主机的恢复
在确定是否强制转移架构主机角色之前,应首先考虑下面的因素:
(a)对环境的影响,首先必须了解当架构主机出现故障时会对您的环境产生什么样的影响。您会看到如下的主要问题:
不能对架构进行更改,当架构主机不可用时,不能对架构进行更改。如果试图更改架构,则会显示如下图所示的消息。
注意 显示的确切消息取决于更改的方法。在架构主机不可用的情况下,如果试图安装 Exchange 2000,就会出现上图显示的消息。
在大多数生产环境中,对架构更改的频率应很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。
(b) 在架构主机上执行强制转移的注意事项
决定强制转移架构主机角色的主要注意事项,是故障时间的长短。由于重复的架构变更可能会在整个环境中传播,只有在故障的角色承担者无法再返回到联机状态时,才能执行架构主机角色的强制转移。
在大多数环境中,由于对架构主机角色的需要不很频繁,及强制转移的影响,所以在还原承担该角色的 DC 之前的一段时间内,您很可能不能使用该角色。但是,如果由于某些原因,需要立即使用架构主机角色或原角色承担者无法再返回到 Windows 2000 环境,则可以执行强制转移操作。
B、域命名主机的恢复
在确定是否强制转移域命名主机角色之前,同样应该考虑以下因素:
(a)对环境的影响,首先必须了解当域命名主机出现故障时会对您的环境产生什么样的影响。您会看到如下的主要问题:
不能向目录林中添加域
在此主机不可用时,不能向 Active Directory 中添加域。如果在域命名主机不可用的情况下试图通过运行 DCPROMO 来添加域,则会出现如下图所示的错误消息:
升腾技术支持中心 共 22 页
升腾终端
专业打造
不能从目录林中删除域
如果在域命名主机不可用时试图通过运行 DCPROMO 来删除域,那么就会收到一条类似的消息。例如,在该情况下,消息的内容为:用提供的凭据绑定到服务器失败。RPC 服务器不可用。 再次提醒,在大多数环境中,应该给予适当的注意。
(b) 在域命名主机上执行强制转移的注意事项
决定强制转移域命名主机角色的主要注意事项是故障时间的长短。由于重复的域变更可能会在整个环境中传播,只有在故障的角色承担者无法再返回到联机状态时,才能执行域命名主机角色的强制转移。
在大多数环境中,由于对域命名主机角色的需要不很频繁,及强制转移的影响,所以在还原承担该角色的 DC 之前的一段时间内,您很可能不能使用该角色。但是,如果由于某些原因,需要立即使用域命名主机角色或原角色承担者无法再返回到 Windows 2000 环境,则可以执行强制转移操作。
C、RID 主机的恢复
在确定是否强制转移 RID 主机角色之前,同样应该考虑以下因素:
(a)对环境的影响,首先必须了解当 RID 主机出现故障时会对您的环境产生什么样的影响。您会看到如下的主要问题:
不能创建安全对象:
在此情况下,所遇到的主要问题是不能向域中添加任何新的安全对象,例如用户、组和计算机;如果试图添加,则会出现如下的错误消息:Windows
不能创建对象,因为:目录服务已经用完了相对标识号池。
另外,在试图创建对象的 DC 的事件日志中会收到一个错误,事件 ID
为 16645。此错误将说明,已经指派的帐户标识号数达到了分配给此域控制器的帐户标识号的最大数。
只有在域中的每一台域控制器上的 RID 池(一个池中有 512 个 RID)都用完时(因为在域中任一 DC 上都可以创建对象),才会出现此错误。
因此,如果域中还剩余有 5 台 DC,那么在 RID 主机故障时,理论上仍然有 2560 (5 x 512) 个 RID 可用。在通常环境中,这可以提供足够的
RID 用来创建安全主体,直到使用上面介绍的方法修复/还原了 RID 主机。但是,如果正在创建大量的安全对象或在域间移动对象,而这些操作所需的
RID 多于现有池的 RID 数,那么就可以执行角色强制转移。
Security Principle无法在域间移动安全主体:
如果目标域中的 RID 主机不能运行,则不能将安全主体移到该新域中。与上述问题不同,所有的跨域移动都会因为 RID 主机不可用而立即失败。
(b) 在 RID 主机上执行强制转移的注意事项
在 RID 主机上执行强制转移时需要注意一些事项。由于网络上存在重复的 RID 的风险,所以,如果要执行强制转移操作,原来承担 RID 主机角色的服务器应不能返回到联机状态。相反,应该在原角色承担者完全重建之后,再将它投入到生产 Windows 2000 环境中。
如果在了解了 RID 主机强制转移的所有影响之后,实际情况仍然要求立即要有一台正常工作的 RID,请按照强制转移操作主机角色中给定的步骤执行。
第 19 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
D、PDC 模拟器的恢复
在确定是否强制转移 PDC 模拟器角色之前,请考虑以下因素:
(a) 对环境的影响
第 20 页
首先,必须了解当 PDCE 出现故障时会对您的环境产生什么样的影响。您将面对如下的主要问题:
混合模式的环境
如果在一个混合模式的环境(其中 Windows NT Server 4.0 备份域控制器仍在使用)中 PDCE 角色出现故障,您将看到一些问题,而这些问题在本机
PDC 不可用时 Windows NT Server 4.0 中也会出现。例如,如果要使用本地 NT
4.0 域用户管理器工具来管理 NT 4.0 域,则会收到如下的错误消息:找不到此域的域控制器。
如果试图使用本机服务器管理器工具来管理 Windows NT Server 4.0 域,则会收到如下的错误消息:找不到 MYDOMAIN 的主域控制器。您可以管理这个域,但是某些全域的操作会被禁用。
本机模式的环境
在本机模式环境中出现的问题也可能会在混合模式环境中(Windows 2000
的一边)出现。在 Windows 2000 环境中 PDCE 出现故障时,您将遇到下面一些主要问题:
登录失败的可能性增大。如果重新设置用户密码,例如在用户忘记密码,然后管理员在一台 DC(不是验证 DC)上重新设置密码,那么该用户就必须等到密码复制到验证 DC 之后才能登录。
尽管用户的本地验证 DC 会尝试和 PDCE 进行联系,以查看自从上次复制之后密码是否更改,但是由于 PDCE 脱机,所以此操作将失败。因此,验证 DC 只能使用其本地 Active Directory 副本,该副本所反映的密码仍然是原来那个已忘记的密码。
在此情况下,无论从客户端或验证 DC 都看不到明显的错误。
尽管这可以算作问题,但是通过在用户验证 DC 上更改该密码,可以轻松地解决此问题。
试图编辑组策略对象时出错。为了有助于在编辑 GPO 时确保不丢失数据,用于更改 GPO 的默认 DC 应该承担 PDCE 角色。因此,如果 PDCE 不可用,则在试图编辑域中的 GPO 时,就会收到如下图中所示的消息。
升腾技术支持中心 共 22 页
升腾终端
专业打造
这是一个小问题,通过在下面提供的任何一种选项,就可以迅速解决该问题。这些选项的简要说明如下所示。
具有 PDC 模拟器操作主机令牌的域控制器。很明显,在该角色不可用时,此选项也不可用。
由 Active Directory 管理单元使用的域控制器。这将使用 Active
Directory 管理单元正在使用的域控制器。这是在 PDCE 不可用时的推荐选项。
使用任何可用的域控制器。这个选项最好不要使用,该选项允许组策略管理单元选择任何可用的域控制器。当选中该选项时,很可能也会选中本地站点中的域控制器。
(b)在 PDC 模拟器主机上执行强制转移的注意事项
PDCE 主机的角色并不像前面所述的那几种角色那样重要。因此,强制转移该角色的操作不会影响其它角色。如果选择强制转移 PDCE 角色,则不必等到将原始角色承担者完全重建之后再将它加入到 Windows 2000 环境中。
因此,强制转移 PDCE 角色这一决定不会对环境产生什么影响,通常可以认为是在 PDCE 故障时,特别是在混合模式的环境中的标准做法。
强制转移 PDCE 角色时只需考虑一个问题:是不是在带有 Windows NT Server
4.0 BDC 的混合模式环境中进行操作。为了能让 BDC 知道它们即将执行的更改,需要将内置组和新的 PDCE 完全同步。
注意 由于和强制转移 PDCE 角色相关联的问题对环境的影响很小,所以
Microsoft 允许您通过 Active Directory 用户和计算机管理单元来强制转移该角色。如果要这样做,请执行在角色转移时执行的步骤。如果要这样做,请参考
Windows 2000 Resource Kit 中的 Distributed Systems Guide。如果原 PDCE 不可用,则会看到下图显示的对话框。
第 21 页 升腾技术支持中心 共 22 页
升腾终端
专业打造
单击确定,随即开始强制转移角色。
注意 强制转移与强制占用意义相同。
另外,可以使用 ntdsutil 来强制转移该角色。如果要这样做,请按照本文“强制转移操作主机所需的步骤”一节中介绍的步骤执行。将步骤 7 替换为:
7.在 FSMO 维护提示符下,键入:seize pdc
E、结构主机的恢复
在确定是否强制转移结构主机角色之前,请考虑以下因素:
(a)对环境的影响,首先必须了解当结构主机出现故障时会对您的环境产生什么样的影响。 结构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响,只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下,结构主机故障只是会延迟通过 Active
Directory 管理单元引用这些更改的时间。
在对故障的结构主机进行维修/恢复到原始状态这段时间内,没有结构主机,环境就会无法运行的情况很少发生。但是,如果预计中断时间很长,则建议您强制转移该角色。
(b) 在结构主机上执行强制转移的注意事项
强制转移结构主机角色的主要注意事项是确保新的 DC 不是 GC 服务器,但是该 DC 与 GC 的连接必须良好,最好是位于同一个站点内。
第 22 页 升腾技术支持中心 共 22 页
发布评论