|
由于下面這兩個(gè)原因之一,Active Directory 常常需要災(zāi)難恢復(fù)措施,。 · 數(shù)據(jù)庫(kù)損壞 · 數(shù)據(jù)損壞 數(shù)據(jù)庫(kù)損壞 在本文檔中,,我們假定數(shù)據(jù)庫(kù)是因?yàn)橄铝性蛑欢鴵p壞的: 磁盤損壞。 域控制器發(fā)生硬件故障,,需要更換,。 數(shù)據(jù)損壞 在本文檔中,我們假定數(shù)據(jù)是因?yàn)橄铝性蛑欢鴵p壞的: · Active Directory 數(shù)據(jù)損壞,,而這些數(shù)據(jù)已經(jīng)復(fù)制到其他的域控制器,。 · 錯(cuò)誤刪除 Active Directory 對(duì)象,而這些對(duì)象已經(jīng)復(fù)制到該域/目錄林的其他域控制器?,F(xiàn)在這些對(duì)象必須在 Active Directory 中恢復(fù),。 恢復(fù) Active Directory 恢復(fù) Active Directory 的方法有兩種。您可以重新安裝 Windows 2000,,然后通過(guò)正常復(fù)制過(guò)程,,重新導(dǎo)入 Active Directory。另外一種方法就是從備份恢復(fù) Active Directory,。第一種方法是將 Active Directory 根據(jù)其當(dāng)前復(fù)本伙伴的情況恢復(fù)為當(dāng)前狀態(tài),。第二種方法是將 Active Directory 恢復(fù)為前一個(gè)已知狀態(tài)(前次備份時(shí)的狀態(tài))。 通過(guò)重新安裝和復(fù)制來(lái)恢復(fù) Active Directory 您可以在受損的系統(tǒng)上重新安裝 Windows 2000 Server,,把該服務(wù)器當(dāng)作域控制器,,然后在安裝 Active Directory時(shí),讓正確信息自動(dòng)復(fù)制,,借此恢復(fù)域控制器,。通過(guò) WAN 來(lái)安裝 Active Directory,可能會(huì)大量消耗可用的 WAN 帶寬,。如果 Active Directory 很大,,還會(huì)耗費(fèi)許多時(shí)間,。若要解決這個(gè)問(wèn)題,建議您在中央位置安裝新的域控制器,,然后將它運(yùn)送到遠(yuǎn)程位置,。 對(duì)于分支機(jī)構(gòu)環(huán)境來(lái)說(shuō),這可能不是很好的方法,。因?yàn)樗鼘?shí)質(zhì)上是在遠(yuǎn)程位置安裝新的域控制器,,替代出故障的副本。但這需要新的域控制器在 Active Directory 中作為域控制器升級(jí)過(guò)程的一部分來(lái)進(jìn)行復(fù)制,,會(huì)用很長(zhǎng)時(shí)間,。 接移和運(yùn)送域控制器 在進(jìn)行 Active Directory 部署作業(yè)時(shí),許多單位都在中央位置安裝域控制器,,待安裝完畢之后,,再將它們運(yùn)送到遠(yuǎn)程位置。有關(guān)這一方法的詳細(xì)信息,,請(qǐng)參閱《Active Directory 分支機(jī)構(gòu)規(guī)劃指南》第 5 章“規(guī)劃分支機(jī)構(gòu)環(huán)境的接移站點(diǎn)”,。 從備份媒體恢復(fù) Active Directory 您也可以從備份媒體恢復(fù)“系統(tǒng)狀態(tài)”數(shù)據(jù),以恢復(fù)域控制器上的 Active Directory,。這樣可恢復(fù) Active Directory 和 Active Directory 所依賴的“系統(tǒng)狀態(tài)”組件,。 當(dāng)您從備份媒體恢復(fù) Active Directory 時(shí),請(qǐng)注意下列幾項(xiàng): · 如果域控制器計(jì)算機(jī)因?yàn)楣收隙惶鎿Q,,或者網(wǎng)絡(luò)適配器已被換掉,,您可能需要以手動(dòng)方式重新配置網(wǎng)絡(luò)設(shè)置。 · 如果域控制器的硬件問(wèn)題很嚴(yán)重,,必須重新建立,,則請(qǐng)務(wù)必確保磁盤卷的數(shù)目和大小必須大于或等于前一個(gè)系統(tǒng)。如果您必須從空的磁盤開始重建系統(tǒng),,請(qǐng)先把 Windows 2000 Server 安裝到與以前相同的磁盤上,,按照在損壞的系統(tǒng)上的原樣重新創(chuàng)建分區(qū)和卷,然后再恢復(fù) Active Directory,。這意味著您手頭上有該服務(wù)器配置的文檔,,才能重新創(chuàng)建它。 系統(tǒng)密鑰 (Syskey) 和 Active Directory 恢復(fù)過(guò)程 域控制器上有安全敏感信息,,例如,,進(jìn)行域身份驗(yàn)證所用的用戶密鑰副本。建議您最好將域控制器放置在物理安全地點(diǎn),,限制訪問(wèn)權(quán)限,。物理訪問(wèn)域控制器會(huì)讓入侵者取得加密的密碼數(shù)據(jù)副本,用來(lái)進(jìn)行脫機(jī)密碼攻擊。為了避免這種情況發(fā)生,,Microsoft 提供了 Syskey 這個(gè)工具,,它可以用 128 位的隨機(jī)密鑰,將所有的密鑰加密,。這個(gè)密鑰可以存儲(chǔ)在域控制器的本地注冊(cè)表中,,也可以存儲(chǔ)在軟盤上。為了保證最大程度的安全性,,建議您將 Syskey 存儲(chǔ)在軟盤上,。 將 Active Directory 恢復(fù)到不同的硬件上 您可以將 Active Directory 恢復(fù)到原計(jì)算機(jī)以外的計(jì)算機(jī)上,但是這部計(jì)算機(jī)的驅(qū)動(dòng)器數(shù)量必須等于或多于原計(jì)算機(jī)的驅(qū)動(dòng)器數(shù)量,?!坝布橄髮印焙?Boot.ini 文件也必須完全一樣。同時(shí),,如果替換的域控制器有不同的視頻適配器或多個(gè)網(wǎng)卡,,請(qǐng)先將它們卸下,再恢復(fù)數(shù)據(jù),。當(dāng)您重新啟動(dòng)計(jì)算機(jī)時(shí),“即插即用”功能會(huì)進(jìn)行相應(yīng)的更新,。 通常從備份媒體恢復(fù) Active Directory 有下面兩種方法: · 非權(quán)威性恢復(fù) · 權(quán)威性恢復(fù) 非權(quán)威性恢復(fù) 在恢復(fù) Active Directory 時(shí),,非權(quán)威性恢復(fù)是默認(rèn)的方法。大部分的恢復(fù)情形都采用這種方法,,例如域控制器硬盤故障時(shí),,而且此方法也是分支機(jī)構(gòu)最有可能選擇的方法。在這種情況下,,Windows 2000 操作系統(tǒng)已經(jīng)完整地重新安裝完畢,,包括 Service Pack 在內(nèi)。然后使用 Windows 2000“備份”工具,,將 Active Directory 從備份媒體恢復(fù)到域控制器,。 這樣就會(huì)將 Active Directory 恢復(fù)到域控制器上,其狀態(tài)與進(jìn)行備份時(shí)一致,。域控制器在正常 Active Directory 復(fù)制過(guò)程中,,就會(huì)接收到自備份后所進(jìn)行的任何目錄服務(wù)變更,。 由于恢復(fù)過(guò)程不會(huì)將之前刪除的數(shù)據(jù)恢復(fù)到 Active Directory,,因此稱之為非權(quán)威性,。 使用 Windows 2000 備份工具進(jìn)行非權(quán)威性恢復(fù) 在多種不同的情況下需要恢復(fù) Active Directory,。在某些情形中,,域控制器可能因?yàn)椴僮飨到y(tǒng)故障或硬件故障而發(fā)生故障,。而在另外一些情形中,,域控制器上的 Active Directory 會(huì)出現(xiàn)故障,、停止響應(yīng)、或者受到損壞,。出現(xiàn)這些情形時(shí) Active Directory 恢復(fù)過(guò)程稍有差異,,詳述如下: 這種情況下,整個(gè)計(jì)算機(jī),,包括操作系統(tǒng)和 Active Directory 在內(nèi),,都需要完全重新建立。 要將 Active Directory 恢復(fù)到發(fā)生故障的域控制器,,步驟如下: 1. 在同一個(gè)域中狀態(tài)良好的域控制器中,,單擊“開始”、“程序”,、“管理工具”,,然后再單擊“Active Directory 站點(diǎn)和服務(wù)”。 2. 在“Active Directory 站點(diǎn)和服務(wù)”中,,導(dǎo)航到發(fā)生故障的域控制器所屬的站點(diǎn)上,。 3. 刪除到發(fā)生故障的域控制器的任何引用。 4. 在要替代發(fā)生故障的服務(wù)器的計(jì)算機(jī)上,,完整安裝適當(dāng)版本的 Windows 2000 操作系統(tǒng),,包括必要的 Service Pack 在內(nèi)。 5. 在安裝 Windows 2000 Server 時(shí),,在出現(xiàn)提示時(shí),,將發(fā)生故障的域控制器名稱指定為計(jì)算機(jī)名稱。 6. 安裝之后,,請(qǐng)確保含有 Active Directory 的備份媒體可以使用,。或者,,將備份文件 (.bkf) 通過(guò)本地網(wǎng)絡(luò)復(fù)制到此計(jì)算機(jī)上,。 7. 在“開始”菜單,單擊“運(yùn)行”,,然后鍵入 Ntbackup,。 8. 在“歡迎”頁(yè)面上,單擊“恢復(fù)向?qū)А薄?nbsp; 9. 單擊“下一步”,,選擇您要從中進(jìn)行恢復(fù)的備份集,。然后選“系統(tǒng)狀態(tài)”,再單擊“下一步”,。 10. 單擊“完成”,。 將 Active Directory 恢復(fù)到發(fā)生故障的 Active Directory 所在的域控制器 在此情形中,Windows 2000 Server 并沒有發(fā)生故障,,相反, Active Directory 可能在域控制器上無(wú)法正常運(yùn)行,。這可能是因?yàn)?Active Directory 損壞、注冊(cè)表?yè)p壞,或是因?yàn)?Active Directory 一直依賴的一項(xiàng)服務(wù)發(fā)生故障所導(dǎo)致,。這種情況并不需要重新安裝 Windows 2000 操作系統(tǒng),,而是需要從此域控制器的前一個(gè)備份恢復(fù)“系統(tǒng)狀態(tài)”,以確保 Active Directory 返至穩(wěn)定的運(yùn)行狀態(tài),。 Active Directory 無(wú)法恢復(fù)到運(yùn)行 Active Directory 的計(jì)算機(jī)上,。如果要完成這個(gè)過(guò)程,必須將計(jì)算機(jī)置于目錄服務(wù)恢復(fù)模式下,。在目錄服務(wù)恢復(fù)模式下,,Windows 2000 操作系統(tǒng)雖在運(yùn)行,但 Active Directory 卻是在脫機(jī)狀態(tài),。 如果要將 Active Directory 恢復(fù)到 Active Directory 發(fā)生故障的域控制器上,,步驟如下: 1. 重新啟動(dòng)該域控制器。 2. 在操作系統(tǒng)選擇菜單上,,選擇您要啟動(dòng)的操作系統(tǒng),,然后按 F8。 3. 在選擇菜單上,,選擇“目錄服務(wù)恢復(fù)模式”,,然后按 ENTER 鍵。 注意:當(dāng)您在目錄服務(wù)恢復(fù)模式下重新開機(jī)時(shí),,必須以本地系統(tǒng)管理員的身份登錄到本地計(jì)算機(jī),。必須使用存儲(chǔ)在本地帳戶數(shù)據(jù)庫(kù)的帳戶名稱和密碼登錄,此數(shù)據(jù)庫(kù)稱為“安全帳戶管理器 (SAM)”數(shù)據(jù)庫(kù),。這是在運(yùn)行“Active Directory 安裝向?qū)А睍r(shí)所提供的管理員用戶帳戶和密碼。您不能使用 Active Directory 管理員名稱和密碼,,因?yàn)?Active Directory 是在脫機(jī)狀態(tài),,無(wú)法驗(yàn)證帳戶。 4. 以該服務(wù)器的本地管理員帳戶作為用戶帳戶進(jìn)行登錄,。 5. 登錄之后,,在“開始”菜單中單擊“運(yùn)行”,然后鍵入 Ntbackup,。 6. 在“歡迎”頁(yè)面上,,單擊“恢復(fù)向?qū)А薄?nbsp; 7. 單擊“下一步”,選擇您要從中進(jìn)行恢復(fù)的備份集,,再選“系統(tǒng)狀態(tài)”,,然后單擊“下一步”。 8. 單擊“完成”,。 恢復(fù)過(guò)程完成之后,,再以正常方式重新啟動(dòng)域控制器。Active Directory 現(xiàn)在應(yīng)該可以正常運(yùn)行了。重新啟動(dòng)之后,,域控制器會(huì)將它自己重新插入到 Active Directory 復(fù)制拓樸當(dāng)中,,接受任何新的更新。 注意:恢復(fù)“系統(tǒng)狀態(tài)”數(shù)據(jù)時(shí),,系統(tǒng)根的位置必須與您在備份“系統(tǒng)狀態(tài)”數(shù)據(jù)時(shí)的位置一樣,。 由于“備份”工具可以恢復(fù)數(shù)據(jù)庫(kù)和注冊(cè)表設(shè)置,因此當(dāng)它恢復(fù) Active Directory 時(shí),,Internet 協(xié)議 (IP) 配置也會(huì)一并恢復(fù),。此外,DNS,、“證書服務(wù)”數(shù)據(jù)庫(kù)文件和“文件復(fù)制”服務(wù) (FRS) 也會(huì)一并恢復(fù),。恢復(fù)作業(yè)完成之后,,其結(jié)果如下: o FRS 被重新設(shè)置,,可以接受來(lái)自 FRS 復(fù)制伙伴的復(fù)制任務(wù)。 o Active Directory 得到驗(yàn)證,,可以進(jìn)行恢復(fù)作業(yè),。 o 然后服務(wù)器在正常操作方式下重新啟動(dòng),并執(zhí)行下列動(dòng)作: o 檢查 Active Directory 文件的一致性,,并且重新編制索引,。 o 與 FRS 復(fù)制伙伴一起復(fù)制 FRS 數(shù)據(jù)。 o 恢復(fù)“證書服務(wù)”數(shù)據(jù)庫(kù),。 非權(quán)威性恢復(fù)的意義和注意事項(xiàng) 上述過(guò)程主要是針對(duì) Active Directory 的非權(quán)威性恢復(fù),。但是,有些 Active Directory 對(duì)象(例如組織單位,、域和站點(diǎn))可能具有關(guān)聯(lián)的組策略,,這些組策略存儲(chǔ)在 SYSVOL 目錄下。 SYSVOL 文件夾及其內(nèi)容復(fù)制到指定域的所有域控制器,。與 Active Directory 不同的是,,SYSVOL 使用“文件復(fù)制服務(wù)”(FRS),在域控制器之間復(fù)制 SYSVOL 及其內(nèi)容,。即使一個(gè)文件中只更改了少量的數(shù)據(jù),FRS 也會(huì)復(fù)制整個(gè)文件,。 當(dāng)域控制器從備份恢復(fù)之后,當(dāng)前的 SYSVOL 就被視為過(guò)期,。在恢復(fù)后重新啟動(dòng)之時(shí),,整個(gè) SYSVOL 就會(huì)從另一個(gè)域控制器復(fù)制過(guò)來(lái)。這在大量使用“組策略”的 Windows 2000 域或其他有大量登錄腳本的環(huán)境中,,可能是一項(xiàng)非常大的作業(yè),。在遠(yuǎn)程分支機(jī)構(gòu)的情形中,,SYSVOL 復(fù)制作業(yè)可能非常耗時(shí),具體取決于復(fù)制的數(shù)據(jù)量以及 WAN 上的可用帶寬,。因此,,建議您在下班時(shí)間或者在分支機(jī)構(gòu)與集線器的鏈接不忙時(shí),再執(zhí)行這項(xiàng)作業(yè),。 權(quán)威性恢復(fù) 權(quán)威性恢復(fù)的主要目的,,是將已經(jīng)從 Active Directory 刪除的對(duì)象“放回原處”或恢復(fù)。當(dāng)對(duì)象被刪除時(shí)(不管是有意還是意外),,一定要先完成非權(quán)威性恢復(fù),,才能執(zhí)行權(quán)威性恢復(fù)。Windows 2000“備份”工具用來(lái)執(zhí)行非權(quán)威性恢復(fù),,而 Ntdsutil.exe 則用于執(zhí)行權(quán)威性恢復(fù)并恢復(fù)被刪除的對(duì)象,。 用非權(quán)威性恢復(fù)過(guò)程從舊版?zhèn)浞輬D象恢復(fù)刪除的對(duì)象是不可能的,因?yàn)榛謴?fù)所用的備份媒體會(huì)含有一個(gè)在對(duì)象刪除前創(chuàng)建的 Active Directory 映像,。當(dāng)域控制器在恢復(fù)之后重新啟動(dòng)時(shí),,會(huì)收到來(lái)源于復(fù)制伙伴的復(fù)制更新,這些復(fù)制更新含有備份之后所做的目錄服務(wù)變更,,包括對(duì)象的刪除,。這是因?yàn)楸粍h除的對(duì)象版本號(hào)高于備份媒體上的對(duì)象版本號(hào)。 權(quán)威性恢復(fù)過(guò)程的執(zhí)行方式如下:在非權(quán)威性恢復(fù)完成之后,,但在域控制器重新啟動(dòng)之前,,權(quán)威性恢復(fù)過(guò)程可用來(lái)恢復(fù)所需的對(duì)象。這一動(dòng)作會(huì)將對(duì)象標(biāo)記為權(quán)威性,,并將它們恢復(fù)到 Active Directory 中,。其過(guò)程是,更改對(duì)象的元數(shù)據(jù),,以克服將版本號(hào)加上 100,000 時(shí)可能發(fā)生的復(fù)制沖突,。權(quán)威性恢復(fù)動(dòng)作是通過(guò)命令行工具 Ntdsutil 完成的。 注意:只有域和配置分區(qū)可以標(biāo)為權(quán)威性,。架構(gòu)不可以進(jìn)行權(quán)威性恢復(fù),因?yàn)檫@樣可能會(huì)危及數(shù)據(jù)的完整性,。比方說(shuō),,如果修訂架構(gòu)之后,創(chuàng)建了新的或經(jīng)過(guò)修訂的類架構(gòu)對(duì)象,,那么后續(xù)的權(quán)威性恢復(fù)可能會(huì)替換新的或修訂的類,,從而產(chǎn)生嚴(yán)重的數(shù)據(jù)不一致問(wèn)題。 Ntdsutil 工具的權(quán)威性恢復(fù)功能不應(yīng)該常用,,因?yàn)樗鼤?huì)將目錄恢復(fù)到一個(gè)較早的狀態(tài),,而從該時(shí)間點(diǎn)以后對(duì)此恢復(fù)對(duì)象所做的任何更新都會(huì)丟失,。您可以使用權(quán)威性恢復(fù),有選擇地修改子目錄樹、組織單位,,甚至可以以域?yàn)閱挝挥羞x擇地修改整個(gè)目錄林,,但只有在已找出了具體問(wèn)題,并且確定權(quán)威性恢復(fù)可將它修復(fù)時(shí),,才可以進(jìn)行此類操作,。, |
|
|
來(lái)自: lilichao001 > 《AD》
