论文部分内容阅读
【摘 要】随着校园网络规模的逐步增长与管理规范化要求的不断提高,活动目录Active Directory工作的稳定性与可靠性表现对整个网络的运营有着极大的影响。其本身是一项不容易被用户感知的网络应用,但却切切实实承担着网络架构的核心支持工作,邮件交换、VPN接入、RADIUS认证等皆依赖于其服务。当其出现故障且不能恢复时,将出现不可估量的巨大影响。本文从实践出发,以活动目录的故障为源点、恢复为目标,通过从备份策略到活动目录迁移方式的研究,结合域控制器Domain Controller的恢复策略与具体恢复实施方法的探讨与实践,试图对活动目录的灾难恢复进行有益的探索,并在一定程度上进行扩展。
【关键词】活动目录 域控制器 FSMO角色 迁移 恢复
AD(Active Directory)活动目录是笔者学校校园网的关键网络服务之一,承担着域用户登录认证、校内DNS解析及配合RADIUS完成拨入认证等重要工作。随着本校网络硬件水平逐年提升,由于服务器组更新原因曾完成过一次活动目录迁移,正常运行将近两年未发生故障。但因当初迁移任务紧迫且实施工作过程较为顺利,因此对灾难控制与恢复方面一直不够重视。直到故障发生,使笔者充分认识到对于AD各种灾难恢复的重要性,故本文将着重探讨如何对DC(Domain Controller)域控制器出现故障以及域对象被删除这两种最为常见的灾难恢复的策略与方法,并在此基础上加以扩展,试图将简单灾难恢复中的思路与技巧应用于重大灾难恢复之中,希望对兄弟院校及后来者有所帮助或借鉴作用。
一、备份策略
(一)系统备份策略
无论是服务器系统还是数据库,备份的策略就意味着另两字,“冗余”,即至少保证域内有两个域控制器,所幸本校的DC结构(DNS Server+Mail Server)恰好满足了这种备份策略的最低限度,不必再占用更多的硬件资源。如图1为本文实践的拓扑结构及主要应用功能,而之后本文所探讨的也主要是虚线框内DC间相互操作的情况。(见图1)
此外,另一个极为重要的策略是必须具有良好的系统状态恢复方式。但值得注意的是,被广大网络管理人员津津乐道、百试不厌的Ghost在恢复域控制器时显得不如它在其它环境中那样得心应手,由于USN Rollback情况的存在,依赖于磁盘镜像或虚拟机快照技术的备份工具会出现与AD不兼容的情况,还是更建议使用基于VSS的备份工具。笔者亲身遇到的情况是使用Ghost 11恢复DC后会出现部分客户端无法正常使用域账户登录的问题,有时还会发生其它DC域连接出错的情况。
另外值得一提的是,当服务器系统为Windows Server 2003R2时,其自带的备份工具为NTBackup,而在2008中,其自带的备份工具已变更为Windows Server Backup,两者皆是基于VSS的。
(二)文件备份策略
两个DC的数据信息及文件相互备份,互为冗余。具体方式可以通过局域网共享配合脚本自动备份工具实现,不过如今云备份的崛起给我们提供了一种更为便利、有效的方式与途径。这样当一台DC发生故障时,另一台可以立即通过本地的备份进行还原,而不需要依赖于下线DC的强行恢复。
二,活动目录的迁移方式
(一)主控角色FSMO(灵活单主机操作)
首先,AD定义了五种操作主控角色(FSMO),分别为架构主控Schema Master(作用于林级别)、域命名主控Domain Naming Maseter(作用于林级别)、相对标识号(RID)主控RID Master(作用于域级别)、主域控制器模拟器PDC(作用于域级别)以及基础结构主控Infrastructure Master。
架构主控:控制对架构的所有更新和修改。若要更新目录林的架构,必须有权访问架构主机。在整个目录林中只能有一个架构主机。
域命名主控:控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。
结构主控:负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。
相对标识号(RID)主控:负责处理来自特定域中所有域控制器的 RID 池请求。任何时刻,在域中只能有一个域控制器充当 RID 主机。
PDC 模拟器:将自身作为PDC,并向运行Windows早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运行XP或2000客户端软件的计算机,或者如果包含NT备份域控制器,则PDC模拟器主机充当Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
(二)活动目录迁移策略
当一台DC发生故障时,根据故障的严重性可以分为两种情况,DC还能正常启动与DC已无法正常工作。根据两种不同情况采取不同方式:
1.Transfer:转移,在旧的DC还能正常工作或者还能启动的情况下,我们可以使用Transfer操作,转移可以分别在图形化界面和命令行下完成。在转移之后旧的DC可以重新安装操作系统,其原有的FSMO角色能正常移交到其它DC上。
2.Seize:抓取(也可译为捕获),是指旧的DC已经不能正常工作,或已经不能启动,那么此时域中的部分计算机可能已经不能正常登录到域中,transfer操作不再完全适用,此时便需要使用强行抓取,將五种操作主机角色都强制捕获到可用的DC上。
(三)迁移实施过程
此处以Transfer为例,Seize的实施过程基本相同,只是方式不同,且操作均在抢夺(或称捕鱼)域控制器上发生。假设原主域控服务器(192.168.6.9/24)发生故障但还能正常启动,需要将其拥有的五种FSMO角色(此处我们考虑最坏情况,5个角色全在故障DC之中)transfer到另一台备份域控服务器(192.168.6.7/24)上,如图2所示: 图2活动目录迁移
1.查看FSMO(五种主控角色)的Owner(拥有者)
安装Support Tools工具(Windows Server 2003自带,位于系统安装盘中Support目录下),打开提示符输入:netdom query fsmo,查看五种主控角色的分布情况。
2.将域控角色转移到备份域控服务器
(192.168.6.7/24)
在主域控服务器(192.168.6.9/24)进行如下操作:
进入命令提示符窗口,在命令提示符下输入:
ntdsutil 回车
roles 回车
connections 回车
connect to server 192.168.6.7(连接到额外域控制器)
提示绑定成功后,输入quit退出。再依次输入以下命令:
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
以上的每一条命令在输入完成后都会有提示“是否传送角色到新的服务器”,选择yes,完成后输入quit退出界面。五个步骤完成以后,进入192.168.6.7,检查确认是否全部FSMO角色均已转移到备份服务器上,打开提示符输入:netdom query fsmo,再次查看域控制器的5个FSMO主控角色分布。
3.转移全局编录:
打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开新主域控服务器DC(192.168.6.7),修改其NTDS Settings属性,设为全局编录。然后展开旧主域控服务器(192.168.6.9),修改NTDS Settings属性,去掉全局编录设置。
(四)注意事项
当遇到DC损坏时,往往DC也是DNS服务器(事实上笔者遇到的情况正是如此),那么意味着DNS服务器也损坏了,如果创建额外的DC,那么同时还需再创建一个额外的DNS(不是辅助的),在DNS创建时选择“与AD集成的区域”, 使DNS的数据可自动复制到额外的DNS中,这样也可避免DNS损坏所带来的一系列问题。
三、域控制器恢复策略
域控制器DC可以担任一个或多个FSMO角色,在拥有两个以上的DC时其实可以完成互为副本匹配。当某个DC因故障导致无法正常运行时,可以不需要从系统备份来进行复杂的还原,而只需要重新安装服务器操作系统,使用dcpromo将服务器升级为域控制器,将所有数据复制回来即可,这种方式更为稳妥且不容易出错。当然,这种方式也不是完美无缺的,由于恢复原理是基于冗余DC的数据通过网络复制,因此恢复速度取决于整个系统的拓扑结构以及硬件通信设备的传输速率。
(一)清理活动目录
首先,在任何操作前还是需要使用netdom query fsmo查看当前的5个FSMO角色分布。接着需要在进行重新安装服务器操作系统并重新升级到域控制器之前清理活动目录。
先使用Ntdsutil来Seize故障DC中的FSMO角色(此处我们已认为一台DC已无法正常工作)。需要注意的是,在Seize时,最好不要让担任原始角色的故障DC恢复运行,这样便可放心地对AD中失效的DC进行清理数据,这一步同样可以用Ntdsutil来完成。(P.S.根据微软对WinServer 2008的功能介绍,其之后版本的活动目录用户和计算机(Active Directory Users and Computers)管理单元,只要在域控制器组织单元中删除域控制器的计算机帐户,就可以完成这一步)。
(二)活动目录对象的生存时间
当删除了一个AD对象时,后台其实会完成一系列操作。删除对象与从AD数据库删除记录并没有直接关联。为了保持活动目录复制模型的一致性,对象先要转变成tombstoned(逻辑删除)状态。从AD删除一个对象后,isDeleted属性被设成True,几乎该对象所有的属性都会被删除,且当该对象被转移到Deleted Objects容器后,它的lastKnownParent屬性被修改为父对象的可辨别名称(DN),之后再删除对象。对象被标记为已删除后,查询AD的任何工具都看不到它。这时,对象仍作为逻辑删除对象存留一段时间。其实这有点类似于硬盘删除文件的原理,只是暂时删除了其逻辑索引。
活动目录林(forest)的默认逻辑删除生存时间取决于活动目录林中第一个DC的操作系统,升级AD不会改变活动目录林的逻辑删除生存时间。默认逻辑删除生存时间可从微软官方支持查到,2000S为60天,2003为180天,2003R2为60天,2008及R2均为180天。
此外,在每个DC上还存在着一个垃圾收集的机制,垃圾收集进程(或叫垃圾收集器)会搜索数据库,查找存留期比活动目录林的逻辑删除生存时间更久的逻辑删除对象,然后将它们从AD数据库中删除。直到某个逻辑删除对象被垃圾收集器清除后,才可以使用tombstone reanimation(逻辑删除恢复)的过程来恢复对象。恢复逻辑删除对象时,只能恢复在逻辑删除过程中保留的几个属性,如用户的SID、SID历史和SAMAccountName。
不过在2008R2活动目录功能级别(FFL)层面运行的活动目录林中,新增了一项名为活动目录回收站的新特性。活动目录回收站在对象被删除与被逻辑删除之间添加了一个中间状态。当对象处于这个新的删除状态时,被隐藏起来且不会出现在搜索结果中,但它的所有属性(包括组成员关系等链接属性)都会被保留,可以将删除对象阶段的对象恢复到删除时的状态。 默认情况下,对象留在删除对象阶段的时间与活动目录林的逻辑删除生存时间一样长,但活动目录林的msDS-deletedObjectLifetime属性是可以更改这个时间段的。逻辑删除对象生存时间到期后,垃圾收集器将对象移到回收对象阶段。回收对象的功能相当于原来的逻辑删除对象,不过有一个重要区别:无法恢复回收对象,也无法从备份来还原。
(三)对象恢复机制
隨着AD版本的升级,从Server 2003开始引入了逻辑删除恢复的概念,这样不需要从备份来还原,就可以恢复删除对象的部分拷贝。2008R2则增加了活动目录回收站,这样不需要还原便可完全恢复删除对象。但是,活动目录备份的搁置时间与逻辑删除生存时间一样,如果启用了活动目录回收站,搁置时间是删除对象生存时间或回收对象生存时间中较短的那个。因而,不可能从时间比其中一个都远的备份来还原删除对象。
四、域控制器恢复实施
需要从备份恢复一个对象或一组对象时,强制性还原仍然是最为直接的办法。开机F8选目录服务还原模式(DSRM),在该模式下启动时AD不会开启,数据库处于离线状态。因此可以在进入到DSRM模式后,从备份还原活动目录数据库,然后使用Ntdsutil选择需要还原的对象。需要注意的是,如果禁止了2008及以后版本DC上的活动目录NTDS服务后,就无法进行还原。进行强制性还原时,AD会提高还原对象的内部版本号,这确保DC重新使用后,那些对象被复制到域的其余部分,还原后的版本变成全局有效。
强制性还原最大的长处在于恢复含有大量对象(如用户、用户组、计算机及其他组织单元)的组织单元(OU)。举例来说,假设不小心删除了本校sjdc.edu.cn域中的Executives OU。如果需要还原该OU及里面的所有对象,步骤如下:
(一)进入DSRM模式,用dcpromo时设置的DSRM密码登录;
(二)还原删除操作前创建的系统状态备份(此时不要重启);
(三)开启命令提示符窗口,运行Ntdsutil;
(四)运行命令:authoritative restore
(五)运行命令:restore subtree OU=Executives,DC=sjdc,DC=edu,DC=cn(如果只要还原一个对象,可以使用restore object命令)
(六)检查并核实确认安全提示符,收到响应消息后存下文本和生成的LDAP数据交换格式(LDIF)文件。
(七)重启DC,进入到正常的操作模式。
(八)登录到DC,使用命令ldifde -i –f ar_20130114-151411_links_sjdc.edu.cn.ldf导入步骤6导出的LDIF文件。
五、结语
本文通过实践经验及结果,首先确立了活动目录系统及文件备份策略的基本思路。接着运用迁移的方式给出了当域控制器出现故障时的解决方案与操作方式,使网络管理人员在发生DC故障时能够从容地将网络功能有效恢复。之后又对域控制器的恢复进行了详细的探索与实践,配合对于对象删除机制与逻辑删除生存时间的研究,总结出活动目录灾难恢复的基本策略,并给出了最为直接的恢复实施方案。总体而言,活动目录的灾难恢复工作是极为复杂的,因为存在着太多的出错可能及故障现象,但只要确立了基本的恢复思路及策略,掌握故障DC和对象删除的恢复操作方法,并有效变通,那所有故障均能迎刃而解。
参考文献:
[1] 王淑江. Windows Server 2008 R2活动目录内幕. 北京:电子工业出版社,2010
[2] 商宏图. Windows Server2003活动目录. 北京:机械工业出版社,2005
[3] 戴有炜. Windows Server 2008 R2网络管理与架站. 北京:清华大学出版社,2011
[4] 微软公司. Microsoft官方支持网站. http:// support.microsoft.com,2013
[5](美)Brian Desmond. 个人主页. http://briandesmond.com,2013
【关键词】活动目录 域控制器 FSMO角色 迁移 恢复
AD(Active Directory)活动目录是笔者学校校园网的关键网络服务之一,承担着域用户登录认证、校内DNS解析及配合RADIUS完成拨入认证等重要工作。随着本校网络硬件水平逐年提升,由于服务器组更新原因曾完成过一次活动目录迁移,正常运行将近两年未发生故障。但因当初迁移任务紧迫且实施工作过程较为顺利,因此对灾难控制与恢复方面一直不够重视。直到故障发生,使笔者充分认识到对于AD各种灾难恢复的重要性,故本文将着重探讨如何对DC(Domain Controller)域控制器出现故障以及域对象被删除这两种最为常见的灾难恢复的策略与方法,并在此基础上加以扩展,试图将简单灾难恢复中的思路与技巧应用于重大灾难恢复之中,希望对兄弟院校及后来者有所帮助或借鉴作用。
一、备份策略
(一)系统备份策略
无论是服务器系统还是数据库,备份的策略就意味着另两字,“冗余”,即至少保证域内有两个域控制器,所幸本校的DC结构(DNS Server+Mail Server)恰好满足了这种备份策略的最低限度,不必再占用更多的硬件资源。如图1为本文实践的拓扑结构及主要应用功能,而之后本文所探讨的也主要是虚线框内DC间相互操作的情况。(见图1)
此外,另一个极为重要的策略是必须具有良好的系统状态恢复方式。但值得注意的是,被广大网络管理人员津津乐道、百试不厌的Ghost在恢复域控制器时显得不如它在其它环境中那样得心应手,由于USN Rollback情况的存在,依赖于磁盘镜像或虚拟机快照技术的备份工具会出现与AD不兼容的情况,还是更建议使用基于VSS的备份工具。笔者亲身遇到的情况是使用Ghost 11恢复DC后会出现部分客户端无法正常使用域账户登录的问题,有时还会发生其它DC域连接出错的情况。
另外值得一提的是,当服务器系统为Windows Server 2003R2时,其自带的备份工具为NTBackup,而在2008中,其自带的备份工具已变更为Windows Server Backup,两者皆是基于VSS的。
(二)文件备份策略
两个DC的数据信息及文件相互备份,互为冗余。具体方式可以通过局域网共享配合脚本自动备份工具实现,不过如今云备份的崛起给我们提供了一种更为便利、有效的方式与途径。这样当一台DC发生故障时,另一台可以立即通过本地的备份进行还原,而不需要依赖于下线DC的强行恢复。
二,活动目录的迁移方式
(一)主控角色FSMO(灵活单主机操作)
首先,AD定义了五种操作主控角色(FSMO),分别为架构主控Schema Master(作用于林级别)、域命名主控Domain Naming Maseter(作用于林级别)、相对标识号(RID)主控RID Master(作用于域级别)、主域控制器模拟器PDC(作用于域级别)以及基础结构主控Infrastructure Master。
架构主控:控制对架构的所有更新和修改。若要更新目录林的架构,必须有权访问架构主机。在整个目录林中只能有一个架构主机。
域命名主控:控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。
结构主控:负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。
相对标识号(RID)主控:负责处理来自特定域中所有域控制器的 RID 池请求。任何时刻,在域中只能有一个域控制器充当 RID 主机。
PDC 模拟器:将自身作为PDC,并向运行Windows早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运行XP或2000客户端软件的计算机,或者如果包含NT备份域控制器,则PDC模拟器主机充当Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
(二)活动目录迁移策略
当一台DC发生故障时,根据故障的严重性可以分为两种情况,DC还能正常启动与DC已无法正常工作。根据两种不同情况采取不同方式:
1.Transfer:转移,在旧的DC还能正常工作或者还能启动的情况下,我们可以使用Transfer操作,转移可以分别在图形化界面和命令行下完成。在转移之后旧的DC可以重新安装操作系统,其原有的FSMO角色能正常移交到其它DC上。
2.Seize:抓取(也可译为捕获),是指旧的DC已经不能正常工作,或已经不能启动,那么此时域中的部分计算机可能已经不能正常登录到域中,transfer操作不再完全适用,此时便需要使用强行抓取,將五种操作主机角色都强制捕获到可用的DC上。
(三)迁移实施过程
此处以Transfer为例,Seize的实施过程基本相同,只是方式不同,且操作均在抢夺(或称捕鱼)域控制器上发生。假设原主域控服务器(192.168.6.9/24)发生故障但还能正常启动,需要将其拥有的五种FSMO角色(此处我们考虑最坏情况,5个角色全在故障DC之中)transfer到另一台备份域控服务器(192.168.6.7/24)上,如图2所示: 图2活动目录迁移
1.查看FSMO(五种主控角色)的Owner(拥有者)
安装Support Tools工具(Windows Server 2003自带,位于系统安装盘中Support目录下),打开提示符输入:netdom query fsmo,查看五种主控角色的分布情况。
2.将域控角色转移到备份域控服务器
(192.168.6.7/24)
在主域控服务器(192.168.6.9/24)进行如下操作:
进入命令提示符窗口,在命令提示符下输入:
ntdsutil 回车
roles 回车
connections 回车
connect to server 192.168.6.7(连接到额外域控制器)
提示绑定成功后,输入quit退出。再依次输入以下命令:
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
以上的每一条命令在输入完成后都会有提示“是否传送角色到新的服务器”,选择yes,完成后输入quit退出界面。五个步骤完成以后,进入192.168.6.7,检查确认是否全部FSMO角色均已转移到备份服务器上,打开提示符输入:netdom query fsmo,再次查看域控制器的5个FSMO主控角色分布。
3.转移全局编录:
打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开新主域控服务器DC(192.168.6.7),修改其NTDS Settings属性,设为全局编录。然后展开旧主域控服务器(192.168.6.9),修改NTDS Settings属性,去掉全局编录设置。
(四)注意事项
当遇到DC损坏时,往往DC也是DNS服务器(事实上笔者遇到的情况正是如此),那么意味着DNS服务器也损坏了,如果创建额外的DC,那么同时还需再创建一个额外的DNS(不是辅助的),在DNS创建时选择“与AD集成的区域”, 使DNS的数据可自动复制到额外的DNS中,这样也可避免DNS损坏所带来的一系列问题。
三、域控制器恢复策略
域控制器DC可以担任一个或多个FSMO角色,在拥有两个以上的DC时其实可以完成互为副本匹配。当某个DC因故障导致无法正常运行时,可以不需要从系统备份来进行复杂的还原,而只需要重新安装服务器操作系统,使用dcpromo将服务器升级为域控制器,将所有数据复制回来即可,这种方式更为稳妥且不容易出错。当然,这种方式也不是完美无缺的,由于恢复原理是基于冗余DC的数据通过网络复制,因此恢复速度取决于整个系统的拓扑结构以及硬件通信设备的传输速率。
(一)清理活动目录
首先,在任何操作前还是需要使用netdom query fsmo查看当前的5个FSMO角色分布。接着需要在进行重新安装服务器操作系统并重新升级到域控制器之前清理活动目录。
先使用Ntdsutil来Seize故障DC中的FSMO角色(此处我们已认为一台DC已无法正常工作)。需要注意的是,在Seize时,最好不要让担任原始角色的故障DC恢复运行,这样便可放心地对AD中失效的DC进行清理数据,这一步同样可以用Ntdsutil来完成。(P.S.根据微软对WinServer 2008的功能介绍,其之后版本的活动目录用户和计算机(Active Directory Users and Computers)管理单元,只要在域控制器组织单元中删除域控制器的计算机帐户,就可以完成这一步)。
(二)活动目录对象的生存时间
当删除了一个AD对象时,后台其实会完成一系列操作。删除对象与从AD数据库删除记录并没有直接关联。为了保持活动目录复制模型的一致性,对象先要转变成tombstoned(逻辑删除)状态。从AD删除一个对象后,isDeleted属性被设成True,几乎该对象所有的属性都会被删除,且当该对象被转移到Deleted Objects容器后,它的lastKnownParent屬性被修改为父对象的可辨别名称(DN),之后再删除对象。对象被标记为已删除后,查询AD的任何工具都看不到它。这时,对象仍作为逻辑删除对象存留一段时间。其实这有点类似于硬盘删除文件的原理,只是暂时删除了其逻辑索引。
活动目录林(forest)的默认逻辑删除生存时间取决于活动目录林中第一个DC的操作系统,升级AD不会改变活动目录林的逻辑删除生存时间。默认逻辑删除生存时间可从微软官方支持查到,2000S为60天,2003为180天,2003R2为60天,2008及R2均为180天。
此外,在每个DC上还存在着一个垃圾收集的机制,垃圾收集进程(或叫垃圾收集器)会搜索数据库,查找存留期比活动目录林的逻辑删除生存时间更久的逻辑删除对象,然后将它们从AD数据库中删除。直到某个逻辑删除对象被垃圾收集器清除后,才可以使用tombstone reanimation(逻辑删除恢复)的过程来恢复对象。恢复逻辑删除对象时,只能恢复在逻辑删除过程中保留的几个属性,如用户的SID、SID历史和SAMAccountName。
不过在2008R2活动目录功能级别(FFL)层面运行的活动目录林中,新增了一项名为活动目录回收站的新特性。活动目录回收站在对象被删除与被逻辑删除之间添加了一个中间状态。当对象处于这个新的删除状态时,被隐藏起来且不会出现在搜索结果中,但它的所有属性(包括组成员关系等链接属性)都会被保留,可以将删除对象阶段的对象恢复到删除时的状态。 默认情况下,对象留在删除对象阶段的时间与活动目录林的逻辑删除生存时间一样长,但活动目录林的msDS-deletedObjectLifetime属性是可以更改这个时间段的。逻辑删除对象生存时间到期后,垃圾收集器将对象移到回收对象阶段。回收对象的功能相当于原来的逻辑删除对象,不过有一个重要区别:无法恢复回收对象,也无法从备份来还原。
(三)对象恢复机制
隨着AD版本的升级,从Server 2003开始引入了逻辑删除恢复的概念,这样不需要从备份来还原,就可以恢复删除对象的部分拷贝。2008R2则增加了活动目录回收站,这样不需要还原便可完全恢复删除对象。但是,活动目录备份的搁置时间与逻辑删除生存时间一样,如果启用了活动目录回收站,搁置时间是删除对象生存时间或回收对象生存时间中较短的那个。因而,不可能从时间比其中一个都远的备份来还原删除对象。
四、域控制器恢复实施
需要从备份恢复一个对象或一组对象时,强制性还原仍然是最为直接的办法。开机F8选目录服务还原模式(DSRM),在该模式下启动时AD不会开启,数据库处于离线状态。因此可以在进入到DSRM模式后,从备份还原活动目录数据库,然后使用Ntdsutil选择需要还原的对象。需要注意的是,如果禁止了2008及以后版本DC上的活动目录NTDS服务后,就无法进行还原。进行强制性还原时,AD会提高还原对象的内部版本号,这确保DC重新使用后,那些对象被复制到域的其余部分,还原后的版本变成全局有效。
强制性还原最大的长处在于恢复含有大量对象(如用户、用户组、计算机及其他组织单元)的组织单元(OU)。举例来说,假设不小心删除了本校sjdc.edu.cn域中的Executives OU。如果需要还原该OU及里面的所有对象,步骤如下:
(一)进入DSRM模式,用dcpromo时设置的DSRM密码登录;
(二)还原删除操作前创建的系统状态备份(此时不要重启);
(三)开启命令提示符窗口,运行Ntdsutil;
(四)运行命令:authoritative restore
(五)运行命令:restore subtree OU=Executives,DC=sjdc,DC=edu,DC=cn(如果只要还原一个对象,可以使用restore object命令)
(六)检查并核实确认安全提示符,收到响应消息后存下文本和生成的LDAP数据交换格式(LDIF)文件。
(七)重启DC,进入到正常的操作模式。
(八)登录到DC,使用命令ldifde -i –f ar_20130114-151411_links_sjdc.edu.cn.ldf导入步骤6导出的LDIF文件。
五、结语
本文通过实践经验及结果,首先确立了活动目录系统及文件备份策略的基本思路。接着运用迁移的方式给出了当域控制器出现故障时的解决方案与操作方式,使网络管理人员在发生DC故障时能够从容地将网络功能有效恢复。之后又对域控制器的恢复进行了详细的探索与实践,配合对于对象删除机制与逻辑删除生存时间的研究,总结出活动目录灾难恢复的基本策略,并给出了最为直接的恢复实施方案。总体而言,活动目录的灾难恢复工作是极为复杂的,因为存在着太多的出错可能及故障现象,但只要确立了基本的恢复思路及策略,掌握故障DC和对象删除的恢复操作方法,并有效变通,那所有故障均能迎刃而解。
参考文献:
[1] 王淑江. Windows Server 2008 R2活动目录内幕. 北京:电子工业出版社,2010
[2] 商宏图. Windows Server2003活动目录. 北京:机械工业出版社,2005
[3] 戴有炜. Windows Server 2008 R2网络管理与架站. 北京:清华大学出版社,2011
[4] 微软公司. Microsoft官方支持网站. http:// support.microsoft.com,2013
[5](美)Brian Desmond. 个人主页. http://briandesmond.com,2013