Active directory 灾难恢复
发表于:2007-07-02来源:作者:点击数:
标签:
由于下面这两个原因之一,Active Directory 常常需要灾难恢复措施。 ·数据库损坏 ·数据损坏 数据库损坏 在本文档中,我们假定数据库是因为下列原因之一而损坏的: 磁盘损坏。 域控制器发生硬件故障,需要更换。 数据损坏 在本文档中,我们假定数据是因为下
由于下面这两个原因之一,Active Directory 常常需要灾难恢复措施。
· 数据库损坏
· 数据损坏
数据库损坏
在本文档中,我们假定数据库是因为下列原因之一而损坏的:
磁盘损坏。
域控制器发生硬件故障,需要更换。
数据损坏
在本文档中,我们假定数据是因为下列原因之一而损坏的:
· Active Directory 数据损坏,而这些数据已经复制到其他的域控制器。
· 错误删除 Active Directory 对象,而这些对象已经复制到该域/目录林的其他域控制器。现在这些对象必须在 Active Directory 中恢复。
恢复 Active Directory
恢复 Active Directory 的方法有两种。您可以重新安装 Windows 2000,然后通过正常复制过程,重新导入 Active Directory。另外一种方法就是从备份恢复 Active Directory。第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。第二种方法是将 Active Directory 恢复为前一个已知状态(前次备份时的状态)。
通过重新安装和复制来恢复 Active Directory
您可以在受损的系统上重新安装 Windows 2000 Server,把该
服务器当作域控制器,然后在安装 Active Directory时,让正确信息自动复制,借此恢复域控制器。通过 WAN 来安装 Active Directory,可能会大量消耗可用的 WAN 带宽。如果 Active Directory 很大,还会耗费许多时间。若要解决这个问题,建议您在中央位置安装新的域控制器,然后将它运送到远程位置。
对于分支机构环境来说,这可能不是很好的方法。因为它实质上是在远程位置安装新的域控制器,替代出故障的副本。但这需要新的域控制器在 Active Directory 中作为域控制器升级过程的一部分来进行复制,会用很长时间。
接移和运送域控制器
在进行 Active Directory 部署作业时,许多单位都在中央位置安装域控制器,待安装完毕之后,再将它们运送到远程位置。有关这一方法的详细信息,请参阅《Active Directory 分支机构规划指南》第 5 章“规划分支机构环境的接移站点”。
从备份媒体恢复 Active Directory
您也可以从备份媒体恢复“系统状态”数据,以恢复域控制器上的 Active Directory。这样可恢复 Active Directory 和 Active Directory 所依赖的“系统状态”组件。
当您从备份媒体恢复 Active Directory 时,请注意下列几项:
· 如果域控制器计算机因为故障而被替换,或者
网络适配器已被换掉,您可能需要以手动方式重新配置网络设置。
· 如果域控制器的硬件问题很严重,必须重新建立,则请务必确保磁盘卷的数目和大小必须大于或等于前一个系统。如果您必须从空的磁盘开始重建系统,请先把 Windows 2000 Server 安装到与以前相同的磁盘上,按照在损坏的系统上的原样重新创建分区和卷,然后再恢复 Active Directory。这意味着您手头上有该服务器配置的文档,才能重新创建它。
系统密钥 (Syskey) 和 Active Directory 恢复过程
域控制器上有
安全敏感信息,例如,进行域身份验证所用的用户密钥副本。建议您最好将域控制器放置在物理安全地点,限制访问权限。物理访问域控制器会让入侵者取得加密的密码数据副本,用来进行脱机密码攻击。为了避免这种情况发生,Microsoft 提供了 Syskey 这个工具,它可以用 128 位的随机密钥,将所有的密钥加密。这个密钥可以存储在域控制器的本地注册表中,也可以存储在软盘上。为了保证最大程度的安全性,建议您将 Syskey 存储在软盘上。
将 Active Directory 恢复到不同的硬件上
您可以将 Active Directory 恢复到原计算机以外的计算机上,但是这部计算机的驱动器数量必须等于或多于原计算机的驱动器数量。“硬件抽象层”和 Boot.ini 文件也必须完全一样。同时,如果替换的域控制器有不同的
视频适配器或多个网卡,请先将它们卸下,再恢复数据。当您重新启动计算机时,“即插即用”功能会进行相应的更新。
通常从备份媒体恢复 Active Directory 有下面两种方法:
· 非权威性恢复
· 权威性恢复
非权威性恢复
在恢复 Active Directory 时,非权威性恢复是默认的方法。大部分的恢复情形都采用这种方法,例如域控制器硬盘故障时,而且此方法也是分支机构最有可能选择的方法。在这种情况下,Windows 2000 操作系统已经完整地重新安装完毕,包括 Service Pack 在内。然后使用 Windows 2000“备份”工具,将 Active Directory 从备份媒体恢复到域控制器。
这样就会将 Active Directory 恢复到域控制器上,其状态与进行备份时一致。域控制器在正常 Active Directory 复制过程中,就会接收到自备份后所进行的任何目录服务变更。
由于恢复过程不会将之前删除的数据恢复到 Active Directory,因此称之为非权威性。
使用 Windows 2000 备份工具进行非权威性恢复
在多种不同的情况下需要恢复 Active Directory。在某些情形中,域控制器可能因为操作系统故障或硬件故障而发生故障。而在另外一些情形中,域控制器上的 Active Directory 会出现故障、停止响应、或者受到损坏。出现这些情形时 Active Directory 恢复过程稍有差异,详述如下:
这种情况下,整个计算机,包括操作系统和 Active Directory 在内,都需要完全重新建立。
要将 Active Directory 恢复到发生故障的域控制器,步骤如下:
1. 在同一个域中状态良好的域控制器中,单击“开始”、“程序”、“管理工具”,然后再单击“Active Directory 站点和服务”。
2. 在“Active Directory 站点和服务”中,导航到发生故障的域控制器所属的站点上。
3. 删除到发生故障的域控制器的任何引用。
4. 在要替代发生故障的服务器的计算机上,完整安装适当版本的 Windows 2000 操作系统,包括必要的 Service Pack 在内。
5. 在安装 Windows 2000 Server 时,在出现提示时,将发生故障的域控制器名称指定为计算机名称。
6. 安装之后,请确保含有 Active Directory 的备份媒体可以使用。或者,将备份文件 (.bkf) 通过本地网络复制到此计算机上。
7. 在“开始”菜单,单击“运行”,然后键入 Ntbackup。
8. 在“欢迎”页面上,单击“恢复向导”。
9. 单击“下一步”,选择您要从中进行恢复的备份集。然后选“系统状态”,再单击“下一步”。
10. 单击“完成”。
将 Active Directory 恢复到发生故障的 Active Directory 所在的域控制器
在此情形中,Windows 2000 Server 并没有发生故障,相反, Active Directory 可能在域控制器上无法正常运行。这可能是因为 Active Directory 损坏、注册表损坏,或是因为 Active Directory 一直依赖的一项服务发生故障所导致。这种情况并不需要重新安装 Windows 2000 操作系统,而是需要从此域控制器的前一个备份恢复“系统状态”,以确保 Active Directory 返至稳定的运行状态。
Active Directory 无法恢复到运行 Active Directory 的计算机上。如果要完成这个过程,必须将计算机置于目录服务恢复模式下。在目录服务恢复模式下,Windows 2000 操作系统虽在运行,但 Active Directory 却是在脱机状态。
如果要将 Active Directory 恢复到 Active Directory 发生故障的域控制器上,步骤如下:
1. 重新启动该域控制器。
2. 在操作系统选择菜单上,选择您要启动的操作系统,然后按 F8。
3. 在选择菜单上,选择“目录服务恢复模式”,然后按 ENTER 键。
注意:当您在目录服务恢复模式下重新开机时,必须以本地系统管理员的身份登录到本地计算机。必须使用存储在本地帐户数据库的帐户名称和密码登录,此数据库称为“安全帐户管理器 (SAM)”数据库。这是在运行“Active Directory 安装向导”时所提供的管理员用户帐户和密码。您不能使用 Active Directory 管理员名称和密码,因为 Active Directory 是在脱机状态,无法验证帐户。
4. 以该服务器的本地管理员帐户作为用户帐户进行登录。
5. 登录之后,在“开始”菜单中单击“运行”,然后键入 Ntbackup。
6. 在“欢迎”页面上,单击“恢复向导”。
7. 单击“下一步”,选择您要从中进行恢复的备份集,再选“系统状态”,然后单击“下一步”。
8. 单击“完成”。
恢复过程完成之后,再以正常方式重新启动域控制器。Active Directory 现在应该可以正常运行了。重新启动之后,域控制器会将它自己重新插入到 Active Directory 复制拓朴当中,接受任何新的更新。
注意:恢复“系统状态”数据时,系统根的位置必须与您在备份“系统状态”数据时的位置一样。
由于“备份”工具可以恢复数据库和注册表设置,因此当它恢复 Active Directory 时,Inte
.net 协议 (IP) 配置也会一并恢复。此外,DNS、“证书服务”数据库文件和“文件复制”服务 (FRS) 也会一并恢复。恢复作业完成之后,其结果如下:
o FRS 被重新设置,可以接受来自 FRS 复制伙伴的复制任务。
o Active Directory 得到验证,可以进行恢复作业。
o 然后服务器在正常操作方式下重新启动,并执行下列动作:
o 检查 Active Directory 文件的一致性,并且重新编制索引。
o 与 FRS 复制伙伴一起复制 FRS 数据。
o 恢复“证书服务”数据库。
非权威性恢复的意义和注意事项
上述过程主要是针对 Active Directory 的非权威性恢复。但是,有些 Active Directory 对象(例如组织单位、域和站点)可能具有关联的组策略,这些组策略存储在 SYSVOL 目录下。
SYSVOL 文件夹及其内容复制到指定域的所有域控制器。与 Active Directory 不同的是,SYSVOL 使用“文件复制服务”(FRS),在域控制器之间复制 SYSVOL 及其内容。即使一个文件中只更改了少量的数据,FRS 也会复制整个文件。
当域控制器从备份恢复之后,当前的 SYSVOL 就被视为过期。在恢复后重新启动之时,整个 SYSVOL 就会从另一个域控制器复制过来。这在大量使用“组策略”的 Windows 2000 域或其他有大量登录脚本的环境中,可能是一项非常大的作业。在远程分支机构的情形中,SYSVOL 复制作业可能非常耗时,具体取决于复制的数据量以及 WAN 上的可用带宽。因此,建议您在下班时间或者在分支机构与集线器的链接不忙时,再执行这项作业。
权威性恢复
权威性恢复的主要目的,是将已经从 Active Directory 删除的对象“放回原处”或恢复。当对象被删除时(不管是有意还是意外),一定要先完成非权威性恢复,才能执行权威性恢复。Windows 2000“备份”工具用来执行非权威性恢复,而 Ntdsutil.exe 则用于执行权威性恢复并恢复被删除的对象。
用非权威性恢复过程从旧版备份图象恢复删除的对象是不可能的,因为恢复所用的备份媒体会含有一个在对象删除前创建的 Active Directory 映像。当域控制器在恢复之后重新启动时,会收到来源于复制伙伴的复制更新,这些复制更新含有备份之后所做的目录服务变更,包括对象的删除。这是因为被删除的对象版本号高于备份媒体上的对象版本号。
权威性恢复过程的执行方式如下:在非权威性恢复完成之后,但在域控制器重新启动之前,权威性恢复过程可用来恢复所需的对象。这一动作会将对象标记为权威性,并将它们恢复到 Active Directory 中。其过程是,更改对象的元数据,以克服将版本号加上 100,000 时可能发生的复制冲突。权威性恢复动作是通过命令行工具 Ntdsutil 完成的。
注意:只有域和配置分区可以标为权威性。架构不可以进行权威性恢复,因为这样可能会危及数据的完整性。比方说,如果修订架构之后,创建了新的或经过修订的类架构对象,那么后续的权威性恢复可能会替换新的或修订的类,从而产生严重的数据不一致问题。
Ntdsutil 工具的权威性恢复功能不应该常用,因为它会将目录恢复到一个较早的状态,而从该时间点以后对此恢复对象所做的任何更新都会丢失。您可以使用权威性恢复,有选择地修改子目录树、组织单位,甚至可以以域为单位有选择地修改整个目录林,但只有在已找出了具体问题,并且确定权威性恢复可将它修复时,才可以进行此类操作。,
原文转自:http://www.ltesting.net