活動(dòng)目錄的恢復(fù)策略WIN310

活動(dòng)目錄的恢復(fù)策略-WIN3102024/3/25活動(dòng)目錄的恢復(fù)策略WIN310活動(dòng)目錄的恢復(fù)策略WIN310本次議題的價(jià)值從還原了解備份的重要性和策略從各種災(zāi)難情況下恢復(fù)AD的最佳實(shí)踐活動(dòng)目錄的恢復(fù)策略WIN310課程要求對(duì)以下工具的使用或概念都比較了解RepadminGPMCNtdsutilSystemStatusbackupRID，SID五個(gè)FSMOrolesGC,DC活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310單臺(tái)DC的恢復(fù)

問(wèn)題描述因?yàn)锳D錯(cuò)誤或者硬件出錯(cuò)損失了DCAD信息變化產(chǎn)生后無(wú)法復(fù)制到其他DC上FSMO/GC/DNS角色的失效其他DC負(fù)荷的提高活動(dòng)目錄的恢復(fù)策略WIN310單臺(tái)DC的恢復(fù)

恢復(fù)方式方式I:使用該DC原有備份文件恢復(fù)DC使用DSRM模式啟動(dòng)OS或者重新安裝OS使用備份文件還原系統(tǒng)重啟機(jī)器方式II:升級(jí)為DC強(qiáng)制DC降級(jí)或者重新安裝OS從其他舊DC上刪除Metadata安裝AD:通過(guò)復(fù)制自動(dòng)完成從備份文件還原(只適用WindowsServer2003)獲取FSMO的角色(如果需要的話)活動(dòng)目錄的恢復(fù)策略WIN310單臺(tái)DC的恢復(fù)

方式Ivs.方式II方式I恢復(fù)速度比依靠復(fù)制的恢復(fù)要快需要的操作較少不需要dcpromo;不需要清理metadata不要求獲取FSMO的角色(除非機(jī)器已經(jīng)出了問(wèn)題很長(zhǎng)時(shí)間)方式II不需要對(duì)該DC有很好的備份，但需要有多臺(tái)DC可適用于不同的硬件活動(dòng)目錄的恢復(fù)策略WIN310單臺(tái)DC的恢復(fù)

最佳實(shí)踐保證即使有一臺(tái)DC失去作用后，仍有足夠的DC可以應(yīng)付客戶端的訪問(wèn)負(fù)荷保證可以快速訪問(wèn)到備份的媒體把最近的一個(gè)備份文件保存在磁盤保證有一個(gè)已經(jīng)定義好并且已經(jīng)經(jīng)過(guò)維護(hù)人員預(yù)演過(guò)的恢復(fù)流程保證知道DSRM模式下的密碼(或有OS的安裝光盤)知道該機(jī)器擔(dān)任了FSMO的哪個(gè)角色知道該機(jī)器安裝了哪些應(yīng)用和服務(wù)活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310多臺(tái)DC恢復(fù)

問(wèn)題描述在一個(gè)domain里面失去了不止一臺(tái)DC(潛在影響整個(gè)domain)物理站點(diǎn)由于突發(fā)事件，部分或全部被破壞掉(比如火災(zāi))暫時(shí)性地失去某個(gè)站點(diǎn)的控制客戶端需要去找其他DC（可能存在于其他站點(diǎn)）活動(dòng)目錄的恢復(fù)策略WIN310多臺(tái)DC恢復(fù)

恢復(fù)方式像單臺(tái)DC的還原方式一樣，只是做多次重復(fù)操作如果整個(gè)domain被徹底破壞，請(qǐng)執(zhí)行下面的額外步驟進(jìn)行恢復(fù)在還原操作中，需要把其中一臺(tái)DC的SYSVOL設(shè)置為“primary”這樣可以讓SYSVOL的數(shù)據(jù)強(qiáng)制推送到其他DC把RID計(jì)數(shù)池的數(shù)值設(shè)置為一個(gè)大一點(diǎn)的數(shù)值讓新的安全策略能得到新的SIDs活動(dòng)目錄的恢復(fù)策略WIN310多臺(tái)DC恢復(fù)

最佳實(shí)踐提供冗余的DC保存整個(gè)domain的信息，并且這些DC不要都放在同一個(gè)物理區(qū)域?qū)τ诿總€(gè)domain，在不同的物理區(qū)域都要有多臺(tái)DC（GC）的備份保存?zhèn)浞莸牡胤阶詈每梢允钱惖刈詈糜邢嗤布渲玫目捎脵C(jī)器做后備保證有一個(gè)可行的操作流程和一份企業(yè)AD環(huán)境的拷貝活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310森林恢復(fù)

問(wèn)題描述在這個(gè)森林里面的每臺(tái)DC都因?yàn)閺?fù)制失敗的問(wèn)題而受到“影響”受影響的DC可以提供部分服務(wù)，甚至有些根本不能提供任何服務(wù)活動(dòng)目錄的恢復(fù)策略WIN310正常工作的森林CProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310發(fā)生災(zāi)難一些錯(cuò)誤被更新到機(jī)器中CProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310錯(cuò)誤被復(fù)制錯(cuò)誤被復(fù)制到其他DC上X受影響的DCXCProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310錯(cuò)誤被復(fù)制到其他站點(diǎn)XXXCProduct.CSales.C受影響的DCX活動(dòng)目錄的恢復(fù)策略WIN310錯(cuò)誤通過(guò)復(fù)制在森林中蔓延XXXXXXCProduct.CSales.C受影響的DCX活動(dòng)目錄的恢復(fù)策略WIN310整個(gè)森林全部受影響XXXXXXXXXXXCProduct.CSales.C受影響的DCX活動(dòng)目錄的恢復(fù)策略WIN310森林恢復(fù)

需要考慮的問(wèn)題錯(cuò)誤可以從受影響的DC復(fù)制到還原后的DC上，導(dǎo)致恢復(fù)失敗在還原后的DC被放上網(wǎng)絡(luò)前，不能關(guān)掉所有受影響的DC每個(gè)domain需要從備份中還原出一臺(tái)可正常使用的DC，因?yàn)楸苊獬霈F(xiàn)恢復(fù)后，無(wú)法使用，需要重新恢復(fù)的情況備份需要在每臺(tái)還原的DC上成功進(jìn)行測(cè)試多臺(tái)DC會(huì)被獨(dú)立啟動(dòng)必須保證在每臺(tái)DC上還原后，都進(jìn)行正確性測(cè)試活動(dòng)目錄的恢復(fù)策略WIN310森林恢復(fù)

需要考慮的問(wèn)題不能選擇了一個(gè)有錯(cuò)誤產(chǎn)生后進(jìn)行的備份如果該AD集成了DNS，最好的備份就是，它也是一臺(tái)DNS服務(wù)器還原至少一臺(tái)GC，因?yàn)闆]有GC:用戶和計(jì)算機(jī)無(wú)法正常獲得認(rèn)證無(wú)法安裝DC無(wú)法安全的進(jìn)行動(dòng)態(tài)DNS更新MSExchange無(wú)法正常提供服務(wù)還原一臺(tái)GC可以被用于在稍后去清除那些舊有的對(duì)象活動(dòng)目錄的恢復(fù)策略WIN310受影響的森林XXXXXXXXXXXCProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310XXXXXXXXXXX1.校驗(yàn)備份CProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310XXXXXXXXXXX2.選擇一個(gè)最適合的備份GCDNSDCDCDNSDNSCProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310XXXXXXXXXXXGCDNSDCDCDNSDNSCProduct.CSales.C3.把該DC隔離開來(lái)準(zhǔn)備還原活動(dòng)目錄的恢復(fù)策略WIN3104.還原隔離起來(lái)的DCXGCDNSCProduct.CSales.CXXXXXXXXXXDCDCDNSDNSGCDNS啟動(dòng)Windows，進(jìn)入DSRM(需要DSRM的AD還原密碼)從備份中還原SystemState把SYSVOL共享文件夾設(shè)置為primary重新啟動(dòng)進(jìn)入正常模式使用超級(jí)管理員身份登陸(這是在沒有GC的情況下可以正常工作的帳號(hào))把該根DC設(shè)置為primaryDNS服務(wù)器把RID計(jì)數(shù)池的數(shù)值增大一個(gè)很大的數(shù)字(如增加100,000)獲取FSMO五個(gè)角色

刪除其他DC在domain里面的metadata

刪除其他DC在DNS里面的數(shù)據(jù)

通過(guò)截?cái)嘞嗷ラg信任關(guān)系，阻止從受影響DC發(fā)過(guò)來(lái)的復(fù)制Reset計(jì)算機(jī)帳號(hào)的密碼(輸入兩次)Resetkrbtgt

密碼從domain里面把所有其他的DC計(jì)算機(jī)記錄統(tǒng)統(tǒng)刪除從信任的一方把相互信任的密碼重新設(shè)置

(輸入兩次)活動(dòng)目錄的恢復(fù)策略WIN3104.恢復(fù)其他隔離的DCGCDNSDCDCDNSDNSXXXXXXXXCProduct.CSales.C活動(dòng)目錄的恢復(fù)策略WIN310GCDNSDCDCDNSDNSXXXXCProduct.CSales.C強(qiáng)制把DC降級(jí)或重新安裝OS5.從受影響的DC上把AD移除活動(dòng)目錄的恢復(fù)策略WIN310GCDNSDCDNSDCDNSXXXCProduct.CSales.C6.把隔離起來(lái)的DC放到網(wǎng)上活動(dòng)目錄的恢復(fù)策略WIN310GCDNSDCDNSDCDNSXXCProduct.CSales.C7.確認(rèn)復(fù)制是正常的活動(dòng)目錄的恢復(fù)策略WIN310GCDNSDCDNSDCDNSXCProduct.CSales.C通過(guò)復(fù)制進(jìn)行或者通過(guò)IFM（IntegratedFileManagement）

8.把其他機(jī)器都升級(jí)為DC活動(dòng)目錄的恢復(fù)策略WIN310森林恢復(fù)

完成恢復(fù)的步驟恢復(fù)DNS的原始設(shè)置添加l臺(tái)新的GC和DNS服務(wù)器修復(fù)出現(xiàn)問(wèn)題的用戶/機(jī)器的密碼把FSMO的角色轉(zhuǎn)移到合適的DC上恢復(fù)丟失的對(duì)象修復(fù)出現(xiàn)問(wèn)題的Exchange郵箱修復(fù)其他在AD上運(yùn)行的應(yīng)用刪除掉在GC中標(biāo)志為lingering那些對(duì)象活動(dòng)目錄的恢復(fù)策略WIN310森林恢復(fù)

最佳實(shí)踐最好的方法就是對(duì)于能夠迅速和準(zhǔn)確的還原森林有一個(gè)很好的準(zhǔn)備編寫一個(gè)符合貴公司實(shí)際情況的修復(fù)流程文檔把該修復(fù)流程分發(fā)給其他參與AD管理的人員，那些人員最好都通過(guò)實(shí)驗(yàn)室進(jìn)行過(guò)修復(fù)流程的實(shí)際培訓(xùn)準(zhǔn)備好相關(guān)的符合貴公司AD部署環(huán)境的工具和腳本活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310對(duì)象恢復(fù)

問(wèn)題描述和恢復(fù)對(duì)象被誤刪除（OU）或者進(jìn)行了錯(cuò)誤的修改對(duì)象很難被重新建立AD相關(guān)的復(fù)雜對(duì)象擁有不同的GUID&SID恢復(fù)方式權(quán)威恢復(fù)里程碑式采用GPMC恢復(fù)被刪除的GPO活動(dòng)目錄的恢復(fù)策略WIN310對(duì)象恢復(fù)

權(quán)威恢復(fù)啟動(dòng)DC進(jìn)入DSrestoremode還原SystemState后，不要選擇重啟然后運(yùn)行Ntdsutil并且把object標(biāo)志為

authrestored需要知道對(duì)象的fullDN如果不知道，請(qǐng)首先獨(dú)立啟動(dòng)DC，在被刪除對(duì)象集合中查看該FullDN如果被刪除的對(duì)象是間接被某應(yīng)用所調(diào)用，還需要恢復(fù)相關(guān)的的那些對(duì)象重啟活動(dòng)目錄的恢復(fù)策略WIN310對(duì)象恢復(fù)

權(quán)威恢復(fù)要考慮恢復(fù)后，某些users/groups/computers,groupmemberships可能會(huì)丟失如果組中的成員被添加到postLVR，Domain里面的Groupmembership會(huì)自動(dòng)恢復(fù)LVR(LinkValuedReplication)是MicrosoftWindowsServer2003森林里面的功能WindowsServer2003SP1權(quán)威恢復(fù)可以使用LDIF文件恢復(fù)groupmemberships重啟后，運(yùn)行LDIF文件來(lái)修復(fù)membershipResource(4)保存有詳細(xì)的信息活動(dòng)目錄的恢復(fù)策略WIN310對(duì)象恢復(fù)

最佳實(shí)踐永遠(yuǎn)不要使用權(quán)威恢復(fù)來(lái)還原整個(gè)AD數(shù)據(jù)要記住DSRMadmin密碼在WindowsServer2003SP1中使用權(quán)威恢復(fù)來(lái)恢復(fù)GC從森林的每個(gè)domain中生成相關(guān)的LDIF文件在每個(gè)domain中運(yùn)行LDIF來(lái)還原groupmembership備份在磁盤上可以保證還原時(shí)的速度通過(guò)GPMC來(lái)備份組策略活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310最佳備份實(shí)踐怎么做備份?MicrosoftWindows2003:SystemStateMicrosoftWindows2000:SystemStateandSystemdrive每個(gè)domain都需要備份多臺(tái)DC和GC保證所有的應(yīng)用都可以被覆蓋到經(jīng)常進(jìn)行備份工作在WindowsServer2003SP1版本中我們新增加了一個(gè)事件(ID:2089)提醒我們有一部分的備份出現(xiàn)問(wèn)題了經(jīng)常檢查那些備份是否都可以正?；謴?fù)活動(dòng)目錄的恢復(fù)策略WIN310最佳備份實(shí)踐以下是一些不被支持的AD備份方法:直接復(fù)制AD文件到磁帶或者磁盤中復(fù)制virtualPC文件做磁盤鏡像或者ghosting在Win2000中的SAN采用Splittingmirror方式以上的方法都會(huì)導(dǎo)致復(fù)制沖突問(wèn)題/default.aspx?scid=kb;en-us;875495

如果想在WindowsServer2003中使用SAN進(jìn)行快速備份/還原，請(qǐng)參考:/windowsserver2003/technologies/activedirectory/W2K3ActDirFastRec.mspx

活動(dòng)目錄的恢復(fù)策略WIN310議程單臺(tái)DC的恢復(fù)多臺(tái)DC的恢復(fù)森林恢復(fù)對(duì)象恢復(fù)最佳備份實(shí)踐總結(jié)活動(dòng)目錄的恢復(fù)策略WIN310總結(jié)要還原必須保證先有可用的備份檢查這些備份都是正確的可以使用的備份有一個(gè)針對(duì)各種不同情況下，可采取的AD還原流程為進(jìn)行恢復(fù)工作，要注意進(jìn)行相關(guān)流程的正式培訓(xùn)活動(dòng)目錄的恢復(fù)策略WIN310ForestRecoveryWhitepaper:

/downloads/details.aspx?displaylang=en&FamilyID=3EDA5A79-C99B-4DF9-823C-933FEBA08CFE

WindowsServer2003OperationGuide:

/technet/itsolutions/cits/mo/winsrvmg/adpog/adpog1.mspx

WindowsServer2003SP1authoritativerestorehelp:

/technet/prodtechnol/windowsserver2003/library/Operations/690730c7-83ce-4475-b9b4-46f76c9c7c90.mspx

Tombstonereanimationhelp:

/library/default.asp?url=/library/en-us/ad/ad/active_dir