活動目錄的恢復(fù)策略WIN310

WIN310

活動目錄的恢復(fù)策略蘇永銳Windows技術(shù)專家技術(shù)服務(wù)部微軟有限公司第一頁，共五十頁。第二頁，共五十頁。本次議題的價值從還原了解備份的重要性和策略從各種災(zāi)難情況下恢復(fù)AD的最佳實踐第三頁，共五十頁。課程要求對以下工具的使用或概念都比較了解RepadminGPMCNtdsutilSystemStatusbackupRID，SID五個FSMO

rolesGC,DC第四頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第五頁，共五十頁。單臺DC的恢復(fù)

問題描述因為AD錯誤或者硬件出錯損失了DCAD信息變化產(chǎn)生后無法復(fù)制到其他DC上FSMO/GC/DNS角色的失效其他DC負荷的提高第六頁，共五十頁。單臺DC的恢復(fù)

恢復(fù)方式方式I:使用該DC原有備份文件恢復(fù)DC使用DSRM模式啟動OS或者重新安裝OS使用備份文件還原系統(tǒng)重啟機器方式II:升級為DC強制DC降級或者重新安裝OS從其他舊DC上刪除Metadata安裝AD:通過復(fù)制自動完成從備份文件還原(只適用WindowsServer2003)獲取FSMO的角色(如果需要的話)第七頁，共五十頁。單臺DC的恢復(fù)

方式Ivs.方式II方式I恢復(fù)速度比依靠復(fù)制的恢復(fù)要快需要的操作較少不需要dcpromo;不需要清理metadata不要求獲取FSMO的角色(除非機器已經(jīng)出了問題很長時間)方式II不需要對該DC有很好的備份，但需要有多臺DC可適用于不同的硬件第八頁，共五十頁。單臺DC的恢復(fù)

最佳實踐保證即使有一臺DC失去作用后，仍有足夠的DC可以應(yīng)付客戶端的訪問負荷保證可以快速訪問到備份的媒體把最近的一個備份文件保存在磁盤保證有一個已經(jīng)定義好并且已經(jīng)經(jīng)過維護人員預(yù)演過的恢復(fù)流程保證知道DSRM模式下的密碼(或有OS的安裝光盤)知道該機器擔(dān)任了FSMO的哪個角色知道該機器安裝了哪些應(yīng)用和服務(wù)第九頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第十頁，共五十頁。多臺DC恢復(fù)

問題描述在一個domain里面失去了不止一臺DC(潛在影響整個domain)物理站點由于突發(fā)事件，部分或全部被破壞掉(比如火災(zāi))暫時性地失去某個站點的控制客戶端需要去找其他DC（可能存在于其他站點）第十一頁，共五十頁。多臺DC恢復(fù)

恢復(fù)方式像單臺DC的還原方式一樣，只是做多次重復(fù)操作如果整個domain被徹底破壞，請執(zhí)行下面的額外步驟進行恢復(fù)在還原操作中，需要把其中一臺DC的SYSVOL設(shè)置為“primary”這樣可以讓SYSVOL的數(shù)據(jù)強制推送到其他DC把RID計數(shù)池的數(shù)值設(shè)置為一個大一點的數(shù)值讓新的安全策略能得到新的SIDs第十二頁，共五十頁。多臺DC恢復(fù)

最佳實踐提供冗余的DC保存整個domain的信息，并且這些DC不要都放在同一個物理區(qū)域?qū)τ诿總€domain，在不同的物理區(qū)域都要有多臺DC（GC）的備份保存?zhèn)浞莸牡胤阶詈每梢允钱惖刈詈糜邢嗤布渲玫目捎脵C器做后備保證有一個可行的操作流程和一份企業(yè)AD環(huán)境的拷貝第十三頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第十四頁，共五十頁。森林恢復(fù)

問題描述在這個森林里面的每臺

DC都因為復(fù)制失敗的問題而受到“影響”受影響的DC可以提供部分服務(wù)，甚至有些根本不能提供任何服務(wù)第十五頁，共五十頁。正常工作的森林CProduct.CSales.C第十六頁，共五十頁。發(fā)生災(zāi)難一些錯誤被更新到機器中CProduct.CSales.C第十七頁，共五十頁。錯誤被復(fù)制錯誤被復(fù)制到其他DC上X受影響的DCXCProduct.CSales.C第十八頁，共五十頁。錯誤被復(fù)制到其他站點XXXCProduct.CSales.C受影響的DCX第十九頁，共五十頁。錯誤通過復(fù)制在森林中蔓延XXXXXXCProduct.CSales.C受影響的DCX第二十頁，共五十頁。整個森林全部受影響XXXXXXXXXXXCProduct.CSales.C受影響的DCX第二十一頁，共五十頁。森林恢復(fù)

需要考慮的問題錯誤可以從受影響的DC復(fù)制到還原后的DC上，導(dǎo)致恢復(fù)失敗在還原后的DC被放上網(wǎng)絡(luò)前，不能關(guān)掉所有受影響的DC每個domain需要從備份中還原出一臺可正常使用的DC，因為避免出現(xiàn)恢復(fù)后，無法使用，需要重新恢復(fù)的情況備份需要在每臺還原的DC上成功進行測試多臺DC會被獨立啟動必須保證在每臺DC上還原后，都進行正確性測試第二十二頁，共五十頁。森林恢復(fù)

需要考慮的問題不能選擇了一個有錯誤產(chǎn)生后進行的備份如果該AD集成了DNS，最好的備份就是，它也是一臺DNS服務(wù)器還原至少一臺GC，因為沒有GC:用戶和計算機無法正常獲得認證無法安裝DC無法安全的進行動態(tài)DNS更新MSExchange無法正常提供服務(wù)還原一臺GC可以被用于在稍后去清除那些舊有的對象第二十三頁，共五十頁。受影響的森林XXXXXXXXXXXCProduct.CSales.C第二十四頁，共五十頁。XXXXXXXXXXX1.校驗備份CProduct.CSales.C第二十五頁，共五十頁。XXXXXXXXXXX2.選擇一個最適合的備份GCDNSDCDCDNSDNSCProduct.CSales.C第二十六頁，共五十頁。XXXXXXXXXXXGCDNSDCDCDNSDNSCProduct.CSales.C3.把該DC隔離開來準備還原第二十七頁，共五十頁。4.還原隔離起來的DCXGCDNSCProduct.CSales.CXXXXXXXXXXDCDCDNSDNSGCDNS啟動Windows，進入DSRM(需要DSRM的AD還原密碼)從備份中還原SystemState把SYSVOL共享文件夾設(shè)置為primary重新啟動進入正常模式使用超級管理員身份登陸(這是在沒有GC的情況下可以正常工作的帳號)把該根DC設(shè)置為primaryDNS服務(wù)器把RID計數(shù)池的數(shù)值增大一個很大的數(shù)字(如增加100,000)獲取FSMO五個角色

刪除其他DC在domain里面的metadata

刪除其他DC在DNS里面的數(shù)據(jù)

通過截斷相互間信任關(guān)系，阻止從受影響DC發(fā)過來的復(fù)制Reset計算機帳號的密碼(輸入兩次)Resetkrbtgt密碼從domain里面把所有其他的DC計算機記錄統(tǒng)統(tǒng)刪除從信任的一方把相互信任的密碼重新設(shè)置(輸入兩次)第二十八頁，共五十頁。4.恢復(fù)其他隔離的DCGCDNSDCDCDNSDNSXXXXXXXXCProduct.CSales.C第二十九頁，共五十頁。GCDNSDCDCDNSDNSXXXXCProduct.CSales.C強制把DC降級或重新安裝OS5.從受影響的DC上把AD移除第三十頁，共五十頁。GCDNSDCDNSDCDNSXXXCProduct.CSales.C6.把隔離起來的DC放到網(wǎng)上第三十一頁，共五十頁。GCDNSDCDNSDCDNSXXCProduct.CSales.C7.確認復(fù)制是正常的第三十二頁，共五十頁。GCDNSDCDNSDCDNSXCProduct.CSales.C通過復(fù)制進行或者通過IFM（Integrated）

8.把其他機器都升級為DC第三十三頁，共五十頁。森林恢復(fù)

完成恢復(fù)的步驟恢復(fù)DNS的原始設(shè)置

添加l臺新的GC和DNS服務(wù)器修復(fù)出現(xiàn)問題的用戶/機器的密碼把FSMO的角色轉(zhuǎn)移到合適的DC上恢復(fù)丟失的對象修復(fù)出現(xiàn)問題的Exchange郵箱修復(fù)其他在AD上運行的應(yīng)用刪除掉在GC中標志為lingering那些對象第三十四頁，共五十頁。森林恢復(fù)

最佳實踐最好的方法就是對于能夠迅速和準確的還原森林有一個很好的準備編寫一個符合貴公司實際情況的修復(fù)流程文檔把該修復(fù)流程分發(fā)給其他參與AD管理的人員，那些人員最好都通過實驗室進行過修復(fù)流程的實際培訓(xùn)準備好相關(guān)的符合貴公司AD部署環(huán)境的工具和腳本第三十五頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第三十六頁，共五十頁。對象恢復(fù)

問題描述和恢復(fù)對象被誤刪除（OU）或者進行了錯誤的修改對象很難被重新建立AD相關(guān)的復(fù)雜對象擁有不同的GUID&SID恢復(fù)方式權(quán)威恢復(fù)里程碑式采用GPMC恢復(fù)被刪除的GPO第三十七頁，共五十頁。對象恢復(fù)

權(quán)威恢復(fù)啟動DC進入DSrestoremode還原SystemState后，不要選擇重啟然后運行Ntdsutil并且把object標志為

authrestored需要知道對象的fullDN如果不知道，請首先獨立啟動DC，在被刪除對象集合中查看該FullDN如果被刪除的對象是間接被某應(yīng)用所調(diào)用，還需要恢復(fù)相關(guān)的的那些對象重啟第三十八頁，共五十頁。對象恢復(fù)

權(quán)威恢復(fù)要考慮恢復(fù)后，某些users/groups/computers,groupmemberships可能會丟失如果組中的成員被添加到postLVR，Domain里面的Groupmembership會自動恢復(fù)LVR(LinkValuedReplication)是MicrosoftWindowsServer2003森林里面的功能WindowsServer2003SP1權(quán)威恢復(fù)可以使用LDIF文件恢復(fù)groupmemberships重啟后，運行LDIF文件來修復(fù)membershipResource(4)保存有詳細的信息第三十九頁，共五十頁。對象恢復(fù)

最佳實踐永遠不要使用權(quán)威恢復(fù)來還原整個AD數(shù)據(jù)要記住DSRMadmin密碼在WindowsServer2003SP1中使用權(quán)威恢復(fù)來恢復(fù)GC從森林的每個domain中生成相關(guān)的LDIF文件在每個domain中運行LDIF來還原groupmembership備份在磁盤上可以保證還原時的速度通過GPMC來備份組策略第四十頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第四十一頁，共五十頁。最佳備份實踐怎么做備份?MicrosoftWindows2003:SystemStateMicrosoftWindows2000:SystemStateandSystemdrive每個domain都需要備份多臺DC和GC保證所有的應(yīng)用都可以被覆蓋到經(jīng)常進行備份工作在WindowsServer2003SP1版本中我們新增加了一個事件(ID:2089)提醒我們有一部分的備份出現(xiàn)問題了經(jīng)常檢查那些備份是否都可以正?；謴?fù)第四十二頁，共五十頁。最佳備份實踐第四十三頁，共五十頁。議程單臺DC的恢復(fù)多臺DC的恢復(fù)森林恢復(fù)對象恢復(fù)最佳備份實踐總結(jié)第四十四頁，共五十頁?？偨Y(jié)要還原必須保證先有可用的備份檢查這些備份都是正確的可以使用的備份有一個針對各種不同情況下，可采取的AD還原流程為進行恢復(fù)工作，要注意進行相關(guān)流程的正式培訓(xùn)第四十五頁，共五十頁。第四十六頁，共五十頁。第四十七頁，共五十頁。問題：GPMC工具是做什么的？使用哪個命令查看AD復(fù)制的信息？采用哪個命令可以進行FSMO角色的強制獲取？第四十八頁，共五十頁。第四十九頁，共五十頁。內(nèi)容總結(jié)WIN310

活動目錄的恢復(fù)策略。FSMO/G