執行活動目錄的權威還原
在恢復還原對象的情形下,權威還原是必需的。舉個例子,如果有人刪除了含有幾百個用戶的OU,你不想域控制器在執行還原後簡單地重啓,然後從其他域控制器開始複製。如果你這樣做的話,域控制器會從複製夥伴那裏接收到OU已被刪除的信息,當你打開活動目錄用戶和計算機管理工具時,OU會再次被刪除。
在此情形下,你必須使用權威還原確保該OU的還原被複制到其他域控制器。當你執行權威還原時,你還原一個數據還未被刪除的AD備份版本,然後強制將數據複製到所有其他的域控。強制複製通過對恢復信息使用USN來完成。默認情形下,如果你執行權威還原,還原對象上的USN增加100,000,導致還原對象成爲整個域的授權版本。
還原計算機帳號
權威還原可能會導致打破域和計算機帳號之間的信任關係。當運行Microsoft Windows NT,Windows 2000,Windows XP Professional或是Windows Server 2003的計算機被添加到域,一個僅對域控和成員計算機開放的密碼被創建。這一密碼用於維護計算機和與之間的信任關係。然而,默認情形下,該密碼每30天變更一次。
當你執行權威還原時,它還原了備份時使用的信任密碼。如果成員計算機已經更改了不同的信任密碼,域和成員計算機之間的信任關係就會失效。活動目錄域和Windows NT域之間的NTLM信任使用相似的過程來維護這種信任;當舊的密碼被還原時這些信任就失效了。在任何一種情形,信任關係必須要重建。域信任重建可以通過刪除現有域信任,重新創建來實現。域的工作站信任可以通過使用NetDom命令行工具或從域中移除工作站然後重新添加來重建。
執行權威還原
執行活動目錄的權威還原的基本過程和非權威還原基本一樣,除了其中一步。在DSRM中,在活動目錄還原完成後,你使用Ntdsutil來指定哪些對象是授權的,如圖15-8所示。你可以在域中指定單獨的對象或是一個子樹。
圖15-8 在還原後使用Ntdsutil指定授權對象
當權威還原完成後,組成員關係沒有被適當的更新。下一節“還原組成員關係”講述如何實現還原組成員關係。Ntdsutil創建一個LDAP交互格式(LDIF)的文件來幫助執行這一過程。在權威還原時記下這個文件名。
當執行活動目錄的權威還原時SYSVOL文件夾的內容沒有被標記爲授權。如何執行SYSVOL內容的權威還原說明在“Restoring SYSVOL Information”一節中講述。
執行權威還原,需遵照以下步驟:
1. 修理失效域控,在這一點上,除了活動目錄,服務器是有功能的。
2. 重啓服務器,按F8鍵進入高級啓動選項菜單。
3. 選擇目錄服務還原模式。
4. 使用DSRM管理員帳號登錄。使用該用戶登錄,鍵入.\Administrator作爲用戶名。
5. 打開命令提示符。
6. 鍵入wbadmin get versions –backuptarget:backuplocation,這裏backpacklocation是存儲備份的盤符或UNC路徑,然後回車。這列出了存儲在該位置的所有備份。
7. 記錄你想要還原的備份的版本標識符。這一標識符是備份被執行的時間。
8. 鍵入wbadmin start systemstaterecovery –version:identifier -backuptarget:backuplocation,這裏 identifier是第七步中提到的版本標識符,backuplocation是存儲備份的盤符或UNC路徑,然後回車。
9. 鍵入Y然後回車開始還原系統狀態。
10. 還原完成後,鍵入ntdsutil然後回車。
11. 在Ntdsutil提示符,鍵入activate instance ntds然後回車。
12. 在Ntdsutil提示符,鍵入authoritative restore然後回車。
13. 還原單個對象,在權威還原命令符,鍵入restore object“DN”,這裏的DN是權威還原對象的可分辨名稱。還原過程指定了所有被還原的修復反向鏈接對象的LDIF文件的位置。
14. 還原一個OUs的層級,在權威還原命令符鍵入restore subtree “DN”,這裏的DN是開始權威還原層級的OU的可分辨名稱。還原過程指定了所有被還原的修復反向鏈接對象的LDIF文件的位置。
15. 退出Ntdsutil然後重啓服務器。
注意 架構分區不能進行權威還原。
還原組成員關係
組成員關係的還原在活動目錄中是一個複雜的過程。雖然從Windows Server 2003開始,該過程已被改善,但仍然要求你知道當組成員被指派時組成員的位置和林功能水平。去理解這個恢復過程,你還需要知道組成員關係如何維護以及組成員關係如何複製。
組成員關係維護
活動目錄通過用戶對象和組對象之間鏈接的使用來維護組成員關係。這些鏈接是依據一個可辨認名稱標籤來創建。在一臺域控上DNT是每個域對象的本地唯一標識符。因爲是本地的,所以每個對象在每臺域控上的DNT是不同的。
組對象的成員關係列表包含了組成員的DNT。因爲這些鏈接最初是建立在組對象上的,這些被稱爲正向鏈接。反向鏈接是建立在用戶對象上指向組的。反向鏈接被活動目錄維護且不能被管理員修改。反向鏈接也不可複製,只有正向鏈接可被複制。每個域控維護自身的基於正向鏈接的反向鏈接。
如果組成員管理列表包含不在本地域的成員,那麼一個影子在活動目錄的本地副本上創建。該影子包括objectGUID,SID,和組成員的DN屬性。該對象允許DNT被創建。影子的DN屬性通過域中的基礎結構主機FSMO角色週期性的更新。影子不創建在已經有原成員對象的副本的全局編錄的域控上。
更多信息 更多關於鏈接和影子的信息,查看Technet 雜誌“災難恢復:活動目錄用戶和組” 網址http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/
鏈接值複製
當林功能水平提升到Windows Server 2003或是Windows Server 2003過渡版,Windows Server 2003引入了對多值屬性的鏈接值複製(LVR)。LVR允許組成員關係的個別變更而不是整個組成員關係列表。
當林功能水平被提升到支持LVR時,現存組的成員關係不會對LVR自動更新。只有組成員關係的變更會被更新到LVR。舉個例子,一個新的組成員會用LVR存儲,但已有的成員不會。
當一個用戶被權威還原,Windows Server 2003 SP1和Windows Server 2008中的Ntdsutil版本使用已還原用戶對象的反向鏈接屬性來更新LVR可用後創建的組中的成員關係。如果還原用戶的成員關係在LVR不可用時被存儲,那麼Ntdsutil不會自動更新組成員關係。取而代之,Ntdsutil創建一個文本文件列出被還原的反向鏈接對象和一個可將這些反向鏈接對象恰當地更新到本地域的LDIF。在Windows Server 2003 SP1之前,Ntdsutil不能提供任何確定反向鏈接對象的功能。
重點 如果權威還原在全局編錄服務器上執行,那麼多個LDIF文件被創建。一個LDIF文件爲本地域創建,另一個爲其用戶是通用組成員的每個域創建。
從反向鏈接回覆組成員關係
在權威還原完成後,你可以還原在LVR可用前的身爲組成員的用戶的組成員關係。這可以通過Ntdsutil創建的LDIF文件來完成。這一過程只能在權威還原被複制到所有的複製夥伴之後才能執行。這一過程還原所有的反向鏈接不僅僅是那些和組成員關係相關的。
注意 該過程不還原其他域中的與本地組的反向鏈接。本地域中的組和通用組被修復。
遵照以下步驟從反向鏈接恢復組成員關係:
1. 當權威還原完成且域控被正常啓動後,打開命令提示符。
2. 在命令提示符,鍵入repadmin/syncall DCName/a/d/A/P/q, 這裏DCName是被還原域控的名稱,然後回車。這執行了到所有複製夥伴的複製。
3. 切換至目錄,其包含在權威還原中被Ntdsutil創建的LDIF文件。
4. 在命令提示符,鍵入ldifde –i –k –f filename,這裏的filename是被Ntdsutil創建的IDIF文件名,然後回車。對所有被Ntdsutil創建的LDIF文件重複此步驟。
注意 在Windows Server 2003 SP1前,Groupadd和LDifde功能被用於還原反向鏈接。
恢復遠程域中的域本地組成員關係
恢復遠程域中的域本地成員組關係,每個遠程域的附加程序是需要的。該程序使用在其成員已被權威還原的域中的Ntdsutil創建的文本文件。該文本文件包括一串反向鏈接的對象。這些對象被用於遠程域生成對那個域的LDIF文件。它也需要對遠程域的域控的非授權還原。
遵照以下步驟恢復遠程域中的域本地組成員關係:
1. 複製域中的Ntdsutil創建的文本文件,該域中的用戶帳號被權威還原到遠程域的域控中。
2. 在遠程域的域控上執行非授權還原且不要重啓服務器。
3. 在DSRM中,打開命令提示符。
4. 在命令提示符,鍵入ntdsutil然後回車。
5. 在Ntdsutil提示符,鍵入authoritative restore然後回車。
6. 在權威還原提示符,鍵入create ldif file from filename,這裏的filename是複製到遠程域的域控中的文本文件的名字,然後回車。
7. 讀取第6步中的結果,並記錄LDIF文件名。
8. 重啓遠程域的域控,然後正常重啓Windows。
9. 打開命令提示符然後切換到第6步中Ntdsutil創建的包含LDIF文件的目錄。
10. 在命令提示符,鍵入ldifde –i –k –f filename,這裏的filename是Ntdsutil創建的LDIF文件然後回車。對所有的Ntdsutil創建LDIF文件重複此步驟。
還原羣組
當羣組被權威還原,該組成員關係被還原回備份被執行的那點。權威還原的組成員關係不考慮在備份執行後發生的任何變更。這可能導致用戶會擁有超出你期盼的權限和許可。你應該在還原完成後檢驗組成員關係。
當用戶和羣組同時被權威還原,該組成員關係也許不正確。這些發生在當還原的組信息在用戶信息複製之前複製到目標域控。當目標域控接收到一個羣組並且注意到一個和多個用戶帳號被羅列到沒有有效用戶帳號的羣組中,它從羣組中刪除了那些用戶。稍後,當一個用戶帳號被複制到目標域控時,它沒有被加到羣組中。如果用戶信息在組信息之前複製,該組成員關係會被正確地指派。不幸的是,沒有方法控制哪個對象會被優先複製。
爲確保正確的組成員關係,執行兩個權威還原。第一個權威還原確保所有的用戶和組對象的存在。第一個還原複製後,第二個組對象的權威還原是必需的以確保組成員關係的正確。
更多信息 需要更多關於還原用戶和羣組的信息,在微軟知識庫讀閱“如何在活動目錄刪除用戶帳號和他們的組成員關係”, 網址:Http://support.microsoft.com/kb/840001/