[原创]windows server 2012 AD架构 试验 系列 – 6 AD的授权还原

xywuyiba6

[原创]windows server 2012 AD架构 试验 系列 – 6 AD的授权还原
　　当域控制器们发现彼此的 Active Directory 的内容不一致，他们就需要分析一下 Active Directory 的优先级，从而决定以哪个域控制器的 Active Directory 内容为准。Active Directory 的优先级比较主要考虑三方面因素，分别是：
　　1、版本号：版本号指的是 Active Directory 对象的修改次数，版本号高者优先。例如域中有两个域控制器 A 和 B，A 域控制器上的用户 administrator 口令被修改了 4 次，最后被改为 12345；B 域控制器上的用户 administrator 口令被修改了 5次，最后被改为 123456。那么 A 和 B 发现他们的 Active Directory 中 administrator 口令不一致，这时 A 和 B 会分析版本号，发现版本号分别是 4 和 5，这时 A就会把 B 的 Active Directory内容复制到本机的 Active Direcotry中。 经过这么一轮复制后，A 和 B 的 Active Directory 内容就达到了新的平衡，他 们 Active Directory 中所有对象的版本号也都完全一致了(版本号高,优先级高)。
　　2、时间：如果 A 和 B 两个域控制器都是对 administrator 口令修改了 4 次，那么版本号 就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。这里我们顺便提及一下，Active Directory 中时间是个非常重要的因素，域内计算机的时间误差不能超过 5 分钟，而且 Active Directory 还有一个墓碑时间的限制，这些我们以后再详细加以说明。
　　3、GUID：如果 A 和 B 两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的 GUID 了，显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见，因此 GUID 这个因素只是一个备选方案。
　　下面我们引入一个具体的例子让大家加深理解。
　　1、域中有两个域控制器 DC1和 DC2。
　　2、域中有一个用户fuyi，我们在 DC2 上对 Active Directory 已经进行了备份。
　　3、我们在 DC1 上不小心把张建国误删除了，显然 DC2 会很快把 Active Directory 中的张建国也删除，以便和 DC1 的 Active Directory 保持一致。
　　那么我们应该怎么做才能把张建国给恢复回来呢？
　　可能我们会想到利用 DC2上的 Active Directory 备份来解决这个问题，既然备份中有fuyi这个账号，那么把备份还原回来不就 OK 了吗？这个问题没这么简单，如果域中只有一个域控制器，那么用备份还原是成立的。但现在域中有两个域控制器，我们就要好好考虑一下了。
　　发现问题：DC2 从备份还原后，Active Directory 中已经拥有了fuyi的用户账号，但DC2 会和 DC1比较 Active Directory 内容，并且DC1的版本号要高，所以DC2 认为 DC1 的 Active Directory 比自己的优先级高，因此 DC2会把 DC1的 Active Directory 复制过来， 这样一来，刚被还原的张建国肯定会被重新删除掉！
　　解决思路：在 DC2从备份还原 Active Directory 之后，我们可以利用一个工具NTDSUTIL.EXE来修改Active Directory对象的版本号，让DC2的版本号大于DC1的版本号，这样我们就可以利用达到目的了。这种还原方式我们称为授权还原，
　　试验环境:沿用上次的试验环境
　　现在的场景是 DC2已经对 Active Directory 进行了备份，备份中包含了域用户fuyi。在备份之后我们误删除了fuyi，现在我们在DC2 上开始利用备份进行主要还原。首先在DC2 上重启计算机，BIOS 自检后按下 F8， 如下图所示，选择进入目录服务还原模式。目录服务还原模式可以把 Active Directory 挂起，适合我们从备份还原 Active Directory。
　　怎么备份和还原DC2 ,请参考上节试验
　　注意的地方: 还原结束后，千万别选择重启计算机，我们还没有修改Active Directory的版本号呢，保持以下界面，打开命令提示符窗口。

　　在命令提示符中，运行了 NTDSUTIL，再运行 Authoritative restore 来修改 AD 对象的版本号。
　　我们可以简单地运行 restore database，这样整个 AD 内所有对 象的版本号都将加到最大，版本号加到最大是什么含义呢？微软规定，AD 对象 的版本号每天最多可以增加10万。在本例中我们不需要把AD中所有对象的版本号都增加到最大，只要账号fuyi的版本号就可以了.

　　点是, 看下完整命令效果

　　结果就是预想的结果拉!