执行活动目录的权威还原
在恢复还原对象的情形下,权威还原是必需的。举个例子,如果有人删除了含有几百个用户的OU,你不想域控制器在执行还原后简单地重启,然后从其他域控制器开始复制。如果你这样做的话,域控制器会从复制伙伴那里接收到OU已被删除的信息,当你打开活动目录用户和计算机管理工具时,OU会再次被删除。
在此情形下,你必须使用权威还原确保该OU的还原被复制到其他域控制器。当你执行权威还原时,你还原一个数据还未被删除的AD备份版本,然后强制将数据复制到所有其他的域控。强制复制通过对恢复信息使用USN来完成。默认情形下,如果你执行权威还原,还原对象上的USN增加100,000,导致还原对象成为整个域的授权版本。
还原计算机帐号
权威还原可能会导致打破域和计算机帐号之间的信任关系。当运行Microsoft Windows NT,Windows 2000,Windows XP Professional或是Windows Server 2003的计算机被添加到域,一个仅对域控和成员计算机开放的密码被创建。这一密码用于维护计算机和与之间的信任关系。然而,默认情形下,该密码每30天变更一次。
当你执行权威还原时,它还原了备份时使用的信任密码。如果成员计算机已经更改了不同的信任密码,域和成员计算机之间的信任关系就会失效。活动目录域和Windows NT域之间的NTLM信任使用相似的过程来维护这种信任;当旧的密码被还原时这些信任就失效了。在任何一种情形,信任关系必须要重建。域信任重建可以通过删除现有域信任,重新创建来实现。域的工作站信任可以通过使用NetDom命令行工具或从域中移除工作站然后重新添加来重建。
执行权威还原
执行活动目录的权威还原的基本过程和非权威还原基本一样,除了其中一步。在DSRM中,在活动目录还原完成后,你使用Ntdsutil来指定哪些对象是授权的,如图15-8所示。你可以在域中指定单独的对象或是一个子树。
图15-8 在还原后使用Ntdsutil指定授权对象
当权威还原完成后,组成员关系没有被适当的更新。下一节“还原组成员关系”讲述如何实现还原组成员关系。Ntdsutil创建一个LDAP交互格式(LDIF)的文件来帮助执行这一过程。在权威还原时记下这个文件名。
当执行活动目录的权威还原时SYSVOL文件夹的内容没有被标记为授权。如何执行SYSVOL内容的权威还原说明在“Restoring SYSVOL Information”一节中讲述。
执行权威还原,需遵照以下步骤:
1. 修理失效域控,在这一点上,除了活动目录,服务器是有功能的。
2. 重启服务器,按F8键进入高级启动选项菜单。
3. 选择目录服务还原模式。
4. 使用DSRM管理员帐号登录。使用该用户登录,键入.\Administrator作为用户名。
5. 打开命令提示符。
6. 键入wbadmin get versions –backuptarget:backuplocation,这里backpacklocation是存储备份的盘符或UNC路径,然后回车。这列出了存储在该位置的所有备份。
7. 记录你想要还原的备份的版本标识符。这一标识符是备份被执行的时间。
8. 键入wbadmin start systemstaterecovery –version:identifier -backuptarget:backuplocation,这里 identifier是第七步中提到的版本标识符,backuplocation是存储备份的盘符或UNC路径,然后回车。
9. 键入Y然后回车开始还原系统状态。
10. 还原完成后,键入ntdsutil然后回车。
11. 在Ntdsutil提示符,键入activate instance ntds然后回车。
12. 在Ntdsutil提示符,键入authoritative restore然后回车。
13. 还原单个对象,在权威还原命令符,键入restore object“DN”,这里的DN是权威还原对象的可分辨名称。还原过程指定了所有被还原的修复反向链接对象的LDIF文件的位置。
14. 还原一个OUs的层级,在权威还原命令符键入restore subtree “DN”,这里的DN是开始权威还原层级的OU的可分辨名称。还原过程指定了所有被还原的修复反向链接对象的LDIF文件的位置。
15. 退出Ntdsutil然后重启服务器。
注意 架构分区不能进行权威还原。
还原组成员关系
组成员关系的还原在活动目录中是一个复杂的过程。虽然从Windows Server 2003开始,该过程已被改善,但仍然要求你知道当组成员被指派时组成员的位置和林功能水平。去理解这个恢复过程,你还需要知道组成员关系如何维护以及组成员关系如何复制。
组成员关系维护
活动目录通过用户对象和组对象之间链接的使用来维护组成员关系。这些链接是依据一个可辨认名称标签来创建。在一台域控上DNT是每个域对象的本地唯一标识符。因为是本地的,所以每个对象在每台域控上的DNT是不同的。
组对象的成员关系列表包含了组成员的DNT。因为这些链接最初是建立在组对象上的,这些被称为正向链接。反向链接是建立在用户对象上指向组的。反向链接被活动目录维护且不能被管理员修改。反向链接也不可复制,只有正向链接可被复制。每个域控维护自身的基于正向链接的反向链接。
如果组成员管理列表包含不在本地域的成员,那么一个影子在活动目录的本地副本上创建。该影子包括objectGUID,SID,和组成员的DN属性。该对象允许DNT被创建。影子的DN属性通过域中的基础结构主机FSMO角色周期性的更新。影子不创建在已经有原成员对象的副本的全局编录的域控上。
更多信息 更多关于链接和影子的信息,查看Technet 杂志“灾难恢复:活动目录用户和组” 网址http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/
链接值复制
当林功能水平提升到Windows Server 2003或是Windows Server 2003过渡版,Windows Server 2003引入了对多值属性的链接值复制(LVR)。LVR允许组成员关系的个别变更而不是整个组成员关系列表。
当林功能水平被提升到支持LVR时,现存组的成员关系不会对LVR自动更新。只有组成员关系的变更会被更新到LVR。举个例子,一个新的组成员会用LVR存储,但已有的成员不会。
当一个用户被权威还原,Windows Server 2003 SP1和Windows Server 2008中的Ntdsutil版本使用已还原用户对象的反向链接属性来更新LVR可用后创建的组中的成员关系。如果还原用户的成员关系在LVR不可用时被存储,那么Ntdsutil不会自动更新组成员关系。取而代之,Ntdsutil创建一个文本文件列出被还原的反向链接对象和一个可将这些反向链接对象恰当地更新到本地域的LDIF。在Windows Server 2003 SP1之前,Ntdsutil不能提供任何确定反向链接对象的功能。
重点 如果权威还原在全局编录服务器上执行,那么多个LDIF文件被创建。一个LDIF文件为本地域创建,另一个为其用户是通用组成员的每个域创建。
从反向链接回复组成员关系
在权威还原完成后,你可以还原在LVR可用前的身为组成员的用户的组成员关系。这可以通过Ntdsutil创建的LDIF文件来完成。这一过程只能在权威还原被复制到所有的复制伙伴之后才能执行。这一过程还原所有的反向链接不仅仅是那些和组成员关系相关的。
注意 该过程不还原其他域中的与本地组的反向链接。本地域中的组和通用组被修复。
遵照以下步骤从反向链接恢复组成员关系:
1. 当权威还原完成且域控被正常启动后,打开命令提示符。
2. 在命令提示符,键入repadmin/syncall DCName/a/d/A/P/q, 这里DCName是被还原域控的名称,然后回车。这执行了到所有复制伙伴的复制。
3. 切换至目录,其包含在权威还原中被Ntdsutil创建的LDIF文件。
4. 在命令提示符,键入ldifde –i –k –f filename,这里的filename是被Ntdsutil创建的IDIF文件名,然后回车。对所有被Ntdsutil创建的LDIF文件重复此步骤。
注意 在Windows Server 2003 SP1前,Groupadd和LDifde功能被用于还原反向链接。
恢复远程域中的域本地组成员关系
恢复远程域中的域本地成员组关系,每个远程域的附加程序是需要的。该程序使用在其成员已被权威还原的域中的Ntdsutil创建的文本文件。该文本文件包括一串反向链接的对象。这些对象被用于远程域生成对那个域的LDIF文件。它也需要对远程域的域控的非授权还原。
遵照以下步骤恢复远程域中的域本地组成员关系:
1. 复制域中的Ntdsutil创建的文本文件,该域中的用户帐号被权威还原到远程域的域控中。
2. 在远程域的域控上执行非授权还原且不要重启服务器。
3. 在DSRM中,打开命令提示符。
4. 在命令提示符,键入ntdsutil然后回车。
5. 在Ntdsutil提示符,键入authoritative restore然后回车。
6. 在权威还原提示符,键入create ldif file from filename,这里的filename是复制到远程域的域控中的文本文件的名字,然后回车。
7. 读取第6步中的结果,并记录LDIF文件名。
8. 重启远程域的域控,然后正常重启Windows。
9. 打开命令提示符然后切换到第6步中Ntdsutil创建的包含LDIF文件的目录。
10. 在命令提示符,键入ldifde –i –k –f filename,这里的filename是Ntdsutil创建的LDIF文件然后回车。对所有的Ntdsutil创建LDIF文件重复此步骤。
还原群组
当群组被权威还原,该组成员关系被还原回备份被执行的那点。权威还原的组成员关系不考虑在备份执行后发生的任何变更。这可能导致用户会拥有超出你期盼的权限和许可。你应该在还原完成后检验组成员关系。
当用户和群组同时被权威还原,该组成员关系也许不正确。这些发生在当还原的组信息在用户信息复制之前复制到目标域控。当目标域控接收到一个群组并且注意到一个和多个用户帐号被罗列到没有有效用户帐号的群组中,它从群组中删除了那些用户。稍后,当一个用户帐号被复制到目标域控时,它没有被加到群组中。如果用户信息在组信息之前复制,该组成员关系会被正确地指派。不幸的是,没有方法控制哪个对象会被优先复制。
为确保正确的组成员关系,执行两个权威还原。第一个权威还原确保所有的用户和组对象的存在。第一个还原复制后,第二个组对象的权威还原是必需的以确保组成员关系的正确。
更多信息 需要更多关于还原用户和群组的信息,在微软知识库读阅“如何在活动目录删除用户帐号和他们的组成员关系”, 网址:Http://support.microsoft.com/kb/840001/