AD的授权还原和主还原:深入浅出Active Directory系列(六) 推荐
2009-04-07 17:42
274 查看
企业应用环境中,如果存在多台域控制器,标准还原就显的比较尴尬了。事实上标准还原往往需要和授权还原以及主还原结合起来使用。
Windows Server 2003活动目录的还原方式有三种:
1, 正常还原(标准还原、非授权还原,非验证还原等称谓),在单个域控制器的环境中我们常常使用正常还原来进行灾难恢复。如果结合正常,增量和差异等备份,我们可以保证活动目录数据库的完整性。
2, 授权还原(强制性还原),应用于多个域控制器的环境中,但事实上企业的域环境不是我们想象的那么脆弱,所以授权还原在实际企业环境中,使用的机会非常小,但一旦误删除了域中的对象,授权还原的便排得上用场。
3, 主还原(主要还原),也应用于多个域控制器的环境,但前提是域中所有的域控制器都出现故障 了,当还原第1台域控制器时,这便是主还原的应用场景。
本节实验的环境如下图:
![](http://blog.51cto.com/attachment/200904/200904071239096682718.jpg)
授权还原的应用场景
第四篇博文我们讨论了标准还原,这一节我们继续讨论授权还原和主还原。首先我们要明白授权还原的应用场景:
假如域内有2台域控制器,在域控制器server1(域中的第1台域控制器)上我们做过备份,但是突然今天不小心把server1上“北京分公司”这个OU或者“北京分公司”中的某个用户帐户“Terry”删除了,变动以后的数据会通过AD的复制功能复制到域控制器server2上,即在域控制器server2上“北京分公司”这个OU 或“Terry”账户也会被删除。此时我们会想到,利用正常还原在server1进行还原,将“北京分公司”这个OU 或“Terry”账户恢复。不错,我们确实可以在server1还原“北京分公司”这个OU 或“Terry”账户,可是我们虽然在server1上还原了“北京分公司”这个OU 或“Terry”账户,但在server2上“北京分公司”这个OU 或“Terry”账户已经被标记为“已删除”的对象,那么当下一次server1和server2之间执行AD复制的操作时,server1中被还原的“北京分公司”这个OU 或“Terry”账户会被再次删除,因为对于域控制器来说,server2上被标识为“已删除”的“北京分公司”这个OU 或“Terry”账户的版本号较高,而server1中刚刚还原的“北京分公司”这个OU 或“Terry”账户是旧的数据,其版本号较低。而域控制中当两个对象有冲突时,版本号较高的对象会覆盖掉版本号较低的对象。此时我们不仅需要在server1上执行正常还原,而且还需要接着执行授权还原,以便使server上刚刚被还原的旧“北京分公司”这个OU 或“Terry”账户的版本号增加,而且这个增加是从上一次备份当天到这次授权还原为止,每天会增加100000次,这样授权还原就会保障server1中还原的旧数据的本版号总比server2中被标记为“已删除”的对象的版本号高。这样当server1和server2做AD复制时,就会还原旧的“北京分公司”这个OU 或“Terry”账户。呵呵,这段有点长,但我想我讲明白了。
Active Directory的授权还原
[align=left]步骤1:首先根据上面的实验环境,创建一个域contoso.com,搭建两台域控制器server1和server2。在server1上新建3个OU,创建5个用户账户。他们的关系如下3个图。如何安装域控制器和部署额外的域控制器请参考第2篇和第3篇博文。[/align]
[align=left] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096759440.jpg)
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096783013.jpg)
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096796620.jpg)
步骤2:在server1上执行活动目录数据库的备份。如何备份活动目录数据库请参考第4篇博文AD的备份与标准还原。
步骤3:在server1上删除“北京分公司”下的“研发部”OU,同时删除“销售部”中的“alice”用户账户。这样做的目的是为了测试强制还原OU和用户账户这两类对象。删除后的结果如下图
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096858180.jpg)
[align=center] [/align]
[align=center]步骤4:重启域控制器server1,然后按F8进入“Windows高级选项菜单”,然后我们选择“目录服务还原模式(只用于Windows域控制器)”启动server1,在server1上执行活动目录数据库的正常还原。如何正常还原活动目录数据库请参考第4篇博文AD的备份与标准还原。当正常还原进行到最后一步时,会提示你重启计算机,此时一定不要单击“是”,要确保单击“否”。如下图[/align]
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239097100795.jpg)
[align=center] [/align]
[align=center]步骤5:在server1的“目录服务还原模式”下,“开始”->“运行”->输入cmd打开命令提示符窗口->输入ntdsutil启动ntdsutil.exe程序。如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097221950.jpg)
[align=center] [/align]
步骤6:我们输入?号来获取当前ntdsutil命令的帮助,我们这里需要Authoritative restore来授权还原数据库(其实就是修改AD对象的版本号),所以接着输入Authoritative restore命令,如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097305771.jpg)
[align=center] [/align]
[align=center]步骤7:在“Authoritative restore:”提示符下,针对域中contoso.com内的“北京分公司”下的“研发部”OU执行授权还原。所以我们输入:[/align]
[align=center]Restore subtree OU=研发部,OU=北京分公司,DC=contoso,DC=com。[/align]
[align=center]然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097358443.jpg)
[align=center] [/align]
[align=center]步骤8:开始授权还原“研发部”OU,过程如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097398391.jpg)
[align=center] [/align]
步骤9:我们接着还原“alice”用户账户,在“Authoritative restore:”提示符下继续输入:Restore subtree CN=alice,OU=销售部,OU=北京分公司,DC=contoso,DC=com。
然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图。
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097440888.jpg)
[align=center] [/align]
步骤10:开始授权还原“销售部”OU下的“alice”用户账户,过程如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097647540.jpg)
步骤11,分别在“Authoritative restore:”和“ntdsutil:”提示符下输入quit退出授权还原,授权还原完成。接着重启server1。
步骤12,重启server1之后,server1和server2之间进行复制,需要花费一点时间。最终我们在server1和server2上看到了我们还原后的数据。
主还原
当域中所有的域控制器都出现故障了,当还原第1台域控制器时,我们需要进行“主还原”,之后再利用“正常还原”还原第2台、第3台、。。。。。。域控制器的Active Directory数据库。主还原其实很简单,和“正常还原”类似,只不过需要在还原时候,点击高级,然后勾选第三个复选框。如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097546968.jpg)
Windows Server 2003活动目录的还原方式有三种:
1, 正常还原(标准还原、非授权还原,非验证还原等称谓),在单个域控制器的环境中我们常常使用正常还原来进行灾难恢复。如果结合正常,增量和差异等备份,我们可以保证活动目录数据库的完整性。
2, 授权还原(强制性还原),应用于多个域控制器的环境中,但事实上企业的域环境不是我们想象的那么脆弱,所以授权还原在实际企业环境中,使用的机会非常小,但一旦误删除了域中的对象,授权还原的便排得上用场。
3, 主还原(主要还原),也应用于多个域控制器的环境,但前提是域中所有的域控制器都出现故障 了,当还原第1台域控制器时,这便是主还原的应用场景。
本节实验的环境如下图:
![](http://blog.51cto.com/attachment/200904/200904071239096682718.jpg)
授权还原的应用场景
第四篇博文我们讨论了标准还原,这一节我们继续讨论授权还原和主还原。首先我们要明白授权还原的应用场景:
假如域内有2台域控制器,在域控制器server1(域中的第1台域控制器)上我们做过备份,但是突然今天不小心把server1上“北京分公司”这个OU或者“北京分公司”中的某个用户帐户“Terry”删除了,变动以后的数据会通过AD的复制功能复制到域控制器server2上,即在域控制器server2上“北京分公司”这个OU 或“Terry”账户也会被删除。此时我们会想到,利用正常还原在server1进行还原,将“北京分公司”这个OU 或“Terry”账户恢复。不错,我们确实可以在server1还原“北京分公司”这个OU 或“Terry”账户,可是我们虽然在server1上还原了“北京分公司”这个OU 或“Terry”账户,但在server2上“北京分公司”这个OU 或“Terry”账户已经被标记为“已删除”的对象,那么当下一次server1和server2之间执行AD复制的操作时,server1中被还原的“北京分公司”这个OU 或“Terry”账户会被再次删除,因为对于域控制器来说,server2上被标识为“已删除”的“北京分公司”这个OU 或“Terry”账户的版本号较高,而server1中刚刚还原的“北京分公司”这个OU 或“Terry”账户是旧的数据,其版本号较低。而域控制中当两个对象有冲突时,版本号较高的对象会覆盖掉版本号较低的对象。此时我们不仅需要在server1上执行正常还原,而且还需要接着执行授权还原,以便使server上刚刚被还原的旧“北京分公司”这个OU 或“Terry”账户的版本号增加,而且这个增加是从上一次备份当天到这次授权还原为止,每天会增加100000次,这样授权还原就会保障server1中还原的旧数据的本版号总比server2中被标记为“已删除”的对象的版本号高。这样当server1和server2做AD复制时,就会还原旧的“北京分公司”这个OU 或“Terry”账户。呵呵,这段有点长,但我想我讲明白了。
Active Directory的授权还原
[align=left]步骤1:首先根据上面的实验环境,创建一个域contoso.com,搭建两台域控制器server1和server2。在server1上新建3个OU,创建5个用户账户。他们的关系如下3个图。如何安装域控制器和部署额外的域控制器请参考第2篇和第3篇博文。[/align]
[align=left] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096759440.jpg)
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096783013.jpg)
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096796620.jpg)
步骤2:在server1上执行活动目录数据库的备份。如何备份活动目录数据库请参考第4篇博文AD的备份与标准还原。
步骤3:在server1上删除“北京分公司”下的“研发部”OU,同时删除“销售部”中的“alice”用户账户。这样做的目的是为了测试强制还原OU和用户账户这两类对象。删除后的结果如下图
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239096858180.jpg)
[align=center] [/align]
[align=center]步骤4:重启域控制器server1,然后按F8进入“Windows高级选项菜单”,然后我们选择“目录服务还原模式(只用于Windows域控制器)”启动server1,在server1上执行活动目录数据库的正常还原。如何正常还原活动目录数据库请参考第4篇博文AD的备份与标准还原。当正常还原进行到最后一步时,会提示你重启计算机,此时一定不要单击“是”,要确保单击“否”。如下图[/align]
[align=center] [/align]
![](http://blog.51cto.com/attachment/200904/200904071239097100795.jpg)
[align=center] [/align]
[align=center]步骤5:在server1的“目录服务还原模式”下,“开始”->“运行”->输入cmd打开命令提示符窗口->输入ntdsutil启动ntdsutil.exe程序。如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097221950.jpg)
[align=center] [/align]
步骤6:我们输入?号来获取当前ntdsutil命令的帮助,我们这里需要Authoritative restore来授权还原数据库(其实就是修改AD对象的版本号),所以接着输入Authoritative restore命令,如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097305771.jpg)
[align=center] [/align]
[align=center]步骤7:在“Authoritative restore:”提示符下,针对域中contoso.com内的“北京分公司”下的“研发部”OU执行授权还原。所以我们输入:[/align]
[align=center]Restore subtree OU=研发部,OU=北京分公司,DC=contoso,DC=com。[/align]
[align=center]然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097358443.jpg)
[align=center] [/align]
[align=center]步骤8:开始授权还原“研发部”OU,过程如下图[/align]
[align=center] [/align]
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097398391.jpg)
[align=center] [/align]
步骤9:我们接着还原“alice”用户账户,在“Authoritative restore:”提示符下继续输入:Restore subtree CN=alice,OU=销售部,OU=北京分公司,DC=contoso,DC=com。
然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图。
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097440888.jpg)
[align=center] [/align]
步骤10:开始授权还原“销售部”OU下的“alice”用户账户,过程如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097647540.jpg)
步骤11,分别在“Authoritative restore:”和“ntdsutil:”提示符下输入quit退出授权还原,授权还原完成。接着重启server1。
步骤12,重启server1之后,server1和server2之间进行复制,需要花费一点时间。最终我们在server1和server2上看到了我们还原后的数据。
主还原
当域中所有的域控制器都出现故障了,当还原第1台域控制器时,我们需要进行“主还原”,之后再利用“正常还原”还原第2台、第3台、。。。。。。域控制器的Active Directory数据库。主还原其实很简单,和“正常还原”类似,只不过需要在还原时候,点击高级,然后勾选第三个复选框。如下图
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097546968.jpg)
![](http://terryli.blog.51cto.com/attachment/200904/200904071239097674744.jpg)
相关文章推荐
- 转载:AD的授权还原和主还原:深入浅出Active Directory系列(六)
- AD的授权还原和主还原:深入浅出Active Directory系列(六)
- AD的授权还原和主还原:深入浅出Active Directory系列(六)
- AD检查与排错:深入浅出Active Directory系列(三) 推荐
- AD的备份与标准还原:深入浅出Active Directory系列(四)
- windows server 2012 AD 活动目录部署系列(七)Active Directory 的授权还原
- windows server 2012 AD 活动目录部署系列(七)Active Directory 的授权还原
- AD的备份与标准还原:深入浅出Active Directory系列(四)
- [原创]windows server 2012 AD架构 试验 系列 – 6 AD的授权还原
- AD的备份与标准还原:深入浅出Active Directory系列(四)
- AD检查与排错:深入浅出Active Directory系列(三)
- [推荐]InfoQ上的深入浅出Node.js的系列文章
- [windows server 2008 站点系列六]启用通用组成员身份缓存优化AD复制效能 推荐
- 打印服务知识系列10--AD部署网络打印机 推荐
- AD应用系列之一——重置AD还原密码
- 活动目录系列之七:AD的备份和还原
- 离线还原活动目录数据库[为企业维护windows server 2008系列一] 推荐
- Active Directory管理之九:授权还原 推荐
- 减肥计划之AD数据库压缩重整[为企业维护windows server 2008系列四] 推荐
- 活动目录实战之十二 windows 2008 r2 AD 备份和还原 (下)-授权还原