活動目錄的還原
活動目錄的還原
你應該需要還原活動目錄有兩個原因。第一個原因是如果你的數據庫不可用了-也許是因爲一臺域控制器的硬盤故障或者是數據庫損壞一直不能載入。第二個原因是人員失誤造成的目錄信息問題。舉個例子,如果默認刪除了一個包含了幾百個用戶和羣組帳號的OU,將會想要還原這些信息而不是重新錄入。
如果你是因爲其中一臺域控制器的數據庫不可用而要還原活動目錄,你有兩個選項。第一個選項是不還原失效的活動目錄服務器,而是另選一臺服務器裝在Windows Server 2008使其成爲新的域控制器。用這種方法,你將還原域控制器功能而不是活動目錄到一臺域控制器。第二種方法是修復失效的服務器然後將活動目錄數據庫還原到服務器。這種情形下,你要執行一個非授權還原。非授權還原將活動目錄數據庫還原到域控制器,然後自備份後的活動目錄的所有修改被複制還原到域控制器。
如果是因爲大量對象被刪除而還原活動目錄,你只有一個方法還原信息。你將使用含有被刪除對象的備份還原活動目錄到域控制器。然後你執行一個非授權還原。在非授權還原中,還原數據被標記因爲它被複制到所有其他域控制器,覆蓋刪除信息。
創建新的域控制器還原活動目錄
在一次故障後還原域控制器的一個方法是重建一個新的取代舊的。如果一臺域控制器失效,你可以創建一臺新的運行Windows Server 2008和活動目錄的服務器,或者使用現存的服務器來提升爲域控制器。然後你可以使用常規活動目錄複製來轉移活動目錄數據庫到新的域控制器。
注意 當你創建新域控制器是,如果複製要通過一個很慢的鏈接,例如分支辦公室,使用IFM安裝來減少複製所需要的時間。IFM安裝使用Ntdsutil作爲複製起始點創建的活動目錄備份。
創建一個新的域控制器在以下情況下是作爲最優方案的:
除了失效的服務器外你開有其他可用的域控制器。這是一個必備條件。如果你沒有其他的域控制器作爲可用的複製夥伴,你唯一的選擇就是還原活動目錄數據到一臺新的或修復的域控制器。
創建新的域控制器以及從其他域控制器複製信息的時間遠小於修復故障域控制器和還原數據庫的時間。這個計算取決於活動目錄數據庫的大小,域控制器之間的網絡速度,以及重建和還原域控制器的速度。如果你的活動目錄數據庫相對較小(小於100MB),並且另一臺域控制器在同一局域網內,創建另一臺域控制器複製數據庫會比修復和還原故障域控制器要快。如果你有一個較大的數據庫或是唯一可用的複製夥伴要跨過緩慢的廣域網連接,修復故障域控制器和還原數據庫會是較快的選擇。
你不可以修復故障的域控制器。儘管使用不同硬件從原域控制器還原Windows Server 2008和活動目錄數據庫到服務器是可能實現的,但是這個過程非常困難且耗時間。如果你不能使用相似的硬件來修復故障的服務器,建立新的域控制器通常比較迅速。
當你需要做重大修改支持新的域控制器時,創建新的域控制器不是一個很好的選擇。一個例子就是需要進行很多應用程序配置對特定的域控制器。重新配置這些程序到新的域控制器會花費比修理和還原域控制器更長的時間。程序重新配置問題可以通過在程序配置中使用主機名而不是IP地址來避免。爲一個主機名重新配置DNS記錄是一個快速的方法來開始使用一個新域控制器或替代域控制器的IP地址。
創建另一臺域控制器來取代故障服務器,使用現有的運行Windows Server 2008的服務器(或創建新的服務器),將其升級爲域控制器。在升級過程中,目錄會被從另一臺域控制器複製過來。如果故障的域控制器是一個全局編錄(GC)服務器或是一個操作主機角色的載體,你需要考慮如何還原這一功能。還原GC服務器和操作主機服務器會在稍後章節“還原操作主機和全局編錄服務器”中詳細介紹。
如果你選擇了創建新的域控制器來還原活動目錄功能,你還需要從活動目錄和DNS中移除舊的域控制器。如果你打算使用之前的域控制器名字,你需要在啓動還原前使用Ntdsutil清理目錄,如圖15-4所示。如果你對新的域控制器使用不同的名字,那麼在安裝之後清除目錄。
圖15-4 使用Ntdsutil
從故障的域控制器清理目錄,需要執行以下步驟:
1. 打開命令提示符。
2. 鍵入ntdsutil然後回車。
3. 在Ntdsutil提示符中,鍵入metadata cleanup然後回車。
4. 在Metadata Cleanup提示符中,鍵入connections然後回車。這一命令用於連接現有的域控制器對活動目錄進行修改。
5. 在服務器連接提示符,鍵入connect to server servername,這裏servernam可用域控制器的名稱,然後回車。如果你使用一個具有活動目錄管理員權限的帳號登入,你會被連接到域控制器。如果你沒有管理員權限,使用set creds domain username password登錄具有域水平許可的用戶信任狀。
6. 在服務器連接提示符,鍵入quit然後回車。回到元數據清除提示符。
7. 在元數據清除提示符,鍵入select operation target然後回車。這一命令是用來選擇域、站點和域控制器以便於你移除域控制器。
8. 在選擇操作目標提示符中,鍵入list domains然後回車。林中所有的域被列出並被標上序號。
9. 在選擇操作目標提示符中,鍵入select domain number,這裏的number是含有故障服務器的域序號,然後回車。
10. 在選擇操作目標提示符中,鍵入list sites然後回車。林中所有的站點被列出並被標上序號。
11. 在選擇操作目標提示符中,鍵入select site number,這裏的number是含有故障服務器的站點序號,然後回車。
12. 在選擇操作目標提示符中,鍵入list servers in sites然後回車。
13. 在選擇操作目標提示符中,鍵入select server number,這裏的number是故障域控制器的序號,然後回車。
14. 鍵入quit然後回車。這將你返回至元數據清除提示符。
15. 鍵入remove selected server 然後回車。
16. 點擊Yes確認移除服務器。
17. 在每個提示符鍵入quit返回Ntdsutil。
注意 使用Dcpromo/foeceremoval 從服務器強制移除活動目錄時,Ntdsutil過程也被使用。該命令在不需要清除活動目錄元數據情形下使域控制器降級。當活動目錄因爲某種原因不可用時,這可以成爲完全重建服務器的備用選項。
除了使用Ntdsutil清除目錄對象,你還應該清除故障服務器的DNS記錄。從DNS清楚所有的DNS記錄,包括域控制器記錄,全局編錄服務器記錄和主域控制器( PDC )模擬器記錄。(最後兩個存在於僅當域控制器被這些角色配置後)如果你不清除DNS記錄,客戶端會繼續收到DNS信息並且嘗試連接到域控制器。這樣會導致客戶端緩慢地嘗試連接到服務器並最終無法連接到替代的域控制器。
Windows Server 2008和Windows Server 2003 SP1中的Ntdsutil版本自動執行一些活動目錄清除任務,這些任務在之前的版本中都被手動執行:
■ 移除 NTDSA或NTDS設置
■ 移除用於複製的入站AD連接對象
■ 移除計算機帳號
■ 移除用於文件複製服務的FRS成員對象
■ 移除用於文件複製服務的FRS訂戶對象
■ 搶奪失效的故障域控制器上的FSMO角色
執行活動目錄非授權還原
活動目錄的非授權還原在兩種情形下執行。當服務器上的活動目錄服務數據庫被損壞,執行活動目錄的非授權還原重建數據庫並允許其功能。當你執行一個域控制器的全面還原時,你也可以使用活動目錄非授權還原。當域中僅有的域控制器發生故障時,域控制器的全面還原是必需的。當你想要故障域控制器的身份保持一致時,你也可以執行域控制器的全面還原。
備份後如果你要對活動目錄做任何改變,備份帶不會包含這些變化。然而,域中的其他域控制器會有最近的信息。如果因爲服務器發生故障而重建域控制器,域控制器應該在恢復完成後從複製夥伴那裏接受修改信息。爲了做到這一點,你必須執行非授權還原。
在現有服務器上進行非授權還原
執行活動目錄的非授權還原,你必須有一個域控制器關鍵卷的良好備份。你啓動進入目錄服務還原模式(DSRM),如圖15-5所示;使用Wbadmin.exe從關鍵卷恢復系統狀態。然後正常重啓Windows Server 2008。域控制器重啓後,它會連接複製夥伴並開始更新自己的數據庫來反映自備份後任何域信息的修改。
圖15-5 使用DSRM高級啓動選項菜單
DSRM是對活動目錄已被停止的域控制器的一種安全模式版本。登錄到DSRM,你必須使用活動目錄安裝時創建的DSRM管理員帳號。這是在域控制器上安裝活動目錄時創建的本地管理員帳號。密碼在安裝過程中設置,和域管理員密碼不一樣。
注意 在Windows Server 2003和Windows Server 2008中,Ntdsutil被用於重置DSRM管理員帳號密碼。在設置Dsrm密碼環境下,使用命令reset password of server server,這裏的server是你想要設置DSRM管理員帳號密碼的域控制器。你可以使用null來表示本地服務器。
執行活動目錄的非授權還原,需要執行以下步驟:
1. 修理故障域控制器。在這一點上,除了活動目錄,服務器是有功能的。
2. 重啓服務器,按F8進入高級啓動選項菜單。
3. 選擇目錄服務還原模式。
注意 作爲使用高級啓動選項菜單的備選,你可以使用bcdedit/set safeboot dsrepair來設置作爲目錄服務還原模式(DSRM)的默認啓動選項。當安裝完成後,使用bcdedit/deletevalue safeboot然後從windows正常啓動。
4. 使用DSRM管理員帳號登入。使用該用戶登入,鍵入.\Administrator作爲用戶名。
5. 打開命令提示符。
6. 鍵入wbadmin get versions –backuptarget:backuplocation,這裏backpacklocation是存儲備份的盤符或UNC路徑,然後回車。這列出了存儲在該位置的所有備份。
7. 記錄你想要還原的備份的版本標識符。這一標識符是備份被執行的時間。
8. 鍵入wbadmin start systemstaterecovery –version:identifier -backuptarget:backuplocation,這裏 identifier是第七步中提到的版本標識符,backuplocation是存儲備份的盤符或UNV路徑,然後回車。圖15-6顯示了使用Wbadmin還原系統狀態。
圖15-6 使用Wbadmin.exe還原系統狀態
9. 鍵入Y然後回車開始還原系統狀態。
10. 還原完成後,重啓域控制器。
域控制器的完全恢復
域控制器的完全恢復也是一種活動目錄非授權還原。然而,它又包括了操作系統和其他數據的完全還原。當系統磁盤丟失且操作系統失效時這種方法是合適的。執行一個域控制器的完全恢復,你必須有一個完整的服務器備份。
在一些情形下,你也許需要使用相較於原服務器上可用的不同的硬件在服務器上還原域控制器。儘管在不同於產生備份的服務器的硬件上還原Windows Server 2008是可能實現的,但這過程有很多問題。如果非要這樣,儘量選擇兼容性的硬件。同時,確保新服務器的硬盤設置和故障的服務器上的相同。
在完全恢復中,服務器的操作系統是不能運作的。需要使用Windows RE執行一個還原來提供操作系統功能。你可以通過從Windows Server 2008安裝DVD使用Windows 恢復環境(WindowsRE)。你也可以在本地硬盤驅動安裝Windows RE使其在啓動時高級啓動選項中可用。
執行域控制器的完全恢復,需要遵照以下步驟:
1. 從Windows Server 2008安裝DVD啓動,按任意鍵從DVD啓動。
2. 選擇合適的語言選項,時間和通用格式,鍵盤佈局,點擊下一步。
3. 在安裝windows對話框中,點擊修復計算機。
4. 在系統恢復選項對話框中,如果需要的話,加載磁盤驅動,然後點擊下一步。
5. 點擊Windows完全計算機還原,如圖15-7所示。
注意 如果本地備份找不到,你會收到錯誤信息。從網絡位置還原是很常見的。
圖15-7 Windows RE中的系統恢復選項
6. 選擇還原備份的位置,可以是DVD,本地磁盤,或是網絡位置。
7. 選擇格式化和重新分配磁盤選項清除服務器上所有現存信息。
8. 爲防止不是還原部分的磁盤被刪除和重建,點擊“排除磁盤”,選擇你想要排除的磁盤。
9. 選擇下一步,點擊完成。
10. 選擇“我確認想要格式化磁盤並還原備份”選框,點擊OK。