|
还原活动目录 通过系统状态的还原,可以回复活动目录中误删除的对象。如果域控制器的系统文件损坏造成启动失败,你可以使用关键卷的备份还原整个系统。 12.4.1活动目录恢复的方法当你备份一个域控制器,你也就备份了服务器上作为系统组件的活动目录数据,比如SYSVOL目录和注册表。 当你恢复活动目录,将恢复所有备份的数据。这将恢复到以前的状态,将影响组策略的设置和域之间的信任关系。 你可以使用下面三种方法中的一个方法从备份媒体中恢复活动目录:原始还原,AD DS 的未经授权还原,和授权恢复。 u 原始恢复。当没有其他的方法重建域时,这种方式将重建域中的第一个域控制器。只有当域中的所有域控制器都失效时,你想从备份中重建域。 u AD DS 的未经授权还原(非授权恢复)。非授权恢复重新初始化活动目录数据,使它回到备份前的状态。如果备份前有对象被更新或删除,当复制时,恢复的数据将被更新到对象的当前状态。 u 权威还原,授权恢复是一种用多个域控制器在该域中恢复单个活动目录对象的方法。通过使用授权恢复,可以在数据库中标注出当前特定信息,从而阻止复制重写该信息。当恢复容器对象时,在组织单元(OU)的所有目标也被恢复 AD DS 的未经授权还原 可以使用备份执行域控制器的未经授权还原。未经授权还原将目录服务返回到其在创建备份时的状态。还原操作完成后,AD DS 复制会通过自创建备份后发生的更改来更新域控制器。这样,域控制器就恢复到了当前的状态。 必须在 DSRM 中重新启动域控制器才能执行未经授权还原。 对已删除的 Active Directory 对象执行权威还原 授权还原提供了一种可恢复已从 AD DS 删除的对象和容器的方法。授权还原包含以下四个步骤: 1. 在 DSRM 中启动域控制器。 2. 还原所需的备份,一般情况下该备份是最新的备份。 3. 使用 Ntdsutil.exe 将所需的对象、容器或分区标记为已经授权。 4. 在正常模式下重新启动以传播更改。 注意: 某些对象(如用户和安全组)具有正向链接和后向链接。这些对象要求您执行两次授权还原,或者还原已删除的用户帐户或组帐户,然后使用 Ldifde.exe 还原安全组的成员身份。 在非授权恢复期间,域控制器上的分布式服务从备份介质中恢复,恢复后的数据通过常规复制来更新。每个恢复的目录表通过它的复制部分来更新。这种使用非授权恢复的一个例子是更换域控制器上的硬盘引起的硬件失败。格式化新硬盘,在出错之前重新创建分区,恢复计算机上的数据文件,然后恢复包括整个活动目录在内的分布式服务。 备份程序只执行活动目录的非授权恢复。当非授权恢复后的域控制器联机时,它接受备份执行后没有更新的数据。因此,在恢复活动目录后,Windows Server 2008自动: u 执行连续的检查,重新计算数据库里的索引 u 使用复制部分的数据来更新活动目录和文件复制服务(FRS) 授权恢复。授权恢复是一种用多个域控制器在该域中恢复单个活动目录对象的方法。通过使用授权恢复,可以在数据库中标注出当前特定信息,从而阻止复制重写该信息。当恢复容器对象时,在组织单元(OU)的所有目标也被恢复。 授权恢复在非授权恢复执行后发生。授权恢复典型用法是用来恢复活动目录到一个先前已知的状态;例如,恢复到活动目录对象被错误删除前的状态。不能授权标注架构目录分区表;因此架构更改不能使用授权恢复来恢复。 当标注对象为授权时,它在活动目录中拥有最高版本号。版本是一个从1开始的数字,在每次自然更新活动目录数据库时增长。默认的,标注为授权的每个对象版本号,在备份发生时间到恢复发生时间之间每天增长100000。增长版本号能够确保该对象进行复制时,授权对象能够取代备份后任何更新的值。前提是该对象从备份后达不到每天100000次的更改。在复制期间,时间标志前的版本号被检查以避免复制冲突。版本号以64位值存储。可以改变默认的增长数为新版本号。 当两个域控制器对相同的对象有不同版本号时,高版本号的更改覆盖对象的另一份副本。通过赋予对象最高的版本号,确保备份后对象的更新不会在复制时覆盖授权的对象。删除和更改只有对授权恢复的对象才起作用。 注意:不能从比墓碑默认的60天生存时间更旧的系统状态数据的备份中恢复活动目录。域控制器仅保留这个期间内的删除对象记录。 12.4.2恢复系统状态如果您需要从某种与 Active Directory 相关的问题中恢复(例如从备份中恢复删除的 OU),则应将 Active Directory 域服务 (ADDS) 数据库还原至早期状态,而不是还原整个系统。尽管您可以像在 Windows Server 2008 中的服务那样停止 ADDS,但仍需将服务器引导到目录服务还原模式 (DSRM) 中,以对域控制器执行系统状态还原。 更改引导选项以将 Windows Server 2008 引导到 DSRM 中并不像以前那样容易。整个 Windows 引导环境经过了重新设计,以支持新的可扩展固件接口 (EFI),而老式的 boot.ini 文件不再存在。Windows Server 2008 代之以使用引导配置数据 (BCD) 来管理引导过程。 管理 BCD 的最简单方法是使用 BCDEDIT 命令行程序。说明所有 BCDEDIT 命令和选项需要一整篇文章,我在此处只向您显示某些有用的示例。 要将 Windows Server 2008 DC 重新引导到 DSRM 中,请使用以下命令: 要执行该过程,您必须是本地计算机 Administrators 组的成员,或者您必须被委派适当的权限。如果将计算机加入域,Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。 12.4.3通过系统状态备份进行授权恢复授权恢复是一种用多个域控制器在该域中恢复单个活动目录对象的方法。通过使用授权恢复,可以在数据库中标注出当前特定信息,从而阻止复制重写该信息。当恢复容器对象时,在组织单元(OU)的所有目标也被恢复。 授权恢复在非授权恢复执行后发生。授权恢复典型用法是用来恢复活动目录到一个先前已知的状态;例如,恢复到活动目录对象被错误删除前的状态。 Ntdsutil.exe是可以标注活动目录对象为授权工具使得它接受更高的版本,这将防止其它域控制器在复制最近更改的数据时重写该对象。 u 删除活动目录中的对象 u 强制活动目录复制 u 以活动目录恢复模式启动系统 u 进行系统状态恢复 u 对李文斌用户进行授权恢复 步骤 5. 如图12-59所示,在essDC上,打开Active Directory用户和计算机管理工具,删除一个域用户。 6. 如图12-60所示,打开Active Directory站点和服务管理工具,强制活动目录复制。
图 12-58 删除用户 图 12-59 强制活动目录复制 7. 如图12-60所示,右击Active Directory用户和计算机,点击“更改域控制器”。 8. 如图12-61所示,在出现的更改目录服务器对话框,选择essBDC.ess.com点击“确定”
图 12-60 更改域控制器 图 12-61 选择域控制器 9. 如图12-62所示,可以看到essBDC上通过活动目录复制,在DCServer删除的用户在essBDC也被删除。 10. 如图12-63所示,重新启动essDC,按F8进入高级启动选项,选择“目录服务还原模式”启动。
图 12-62 检测其他域控制器 图 12-63高级启动选项 11. 如图12-64所示,输入活动目录还原模式下的管理员密码登录。 12. 如图12-65所示,打开命令提示符输入wbadmin get versions查看备份的版本。可以看到整个C盘的备份和系统状态备份两个备份的版本。查看版本标示符,整个C盘的备份可以恢复卷、文件、应用程序、裸机恢复和系统状态恢复。
图 12-64 活动目录还原模式 图 12-65 查看备份的版本 13. 如图12-66所示,在命令提示符下输入wbadmin start systemstaterecovery –version:12/04/2009-02:49 14. 如图12-67所示,在是否要启动系统状态恢复操作提示下输入Y,回车。 15. 如图12-67所示,恢复完成后提示:重启计算机在重启过程中不要打断重新启动过程。
图 12-66 还原系统状态 图 12-67 系统状态还原完成 16. 如图12-68所示,在命令提示符下输入ntdsutil回车: 17. 如图12-68所示,在ntdsutil:提示符下输入Activate Instance ntds回车。 18. 如图12-68所示,在ntdsutil:提示符下输入authoritative restore回车。 19. 如图12-68所示,在authoritative restore:提示符下restore Object cn=李文斌,ou=培训部,dc=ess,dc=com 在出现的确认对话框,点击“是”。 20. 如图12-69所示,授权完成。 提示:如果想授权恢复培训部组织单元中的所有对象,输入restore subtress OU=培训部,dc=ess,dc=com。
图 12-68 授权恢复 图 12-69授权恢复 21. 如图12-70所示,正常重启后,打开Active Directory用户和计算机管理工具,可以看到授权恢复出来的用户。 22. 如图12-71所示,使用管理工具连接到essBDC.ess.com域控制器,可以看到该用户被恢复。如果没有出现,使用Active Directory站点和服务管理工具强制活动目录复制。
图 12-70 检测授权恢复的对象 图 12-71 检查恢复的对象 12.4.3域控制器完整恢复通过系统状态的还原,可以回复活动目录中误删除的对象。如果域控制器的系统文件损坏造成启动失败,你可以使用关键卷的备份还原整个系统。 整个服务器恢复可恢复服务器上的每个卷。使用此种类型的恢复从安装相同操作系统的同一硬件上恢复有故障的硬盘驱动器或损坏的文件。 备份和恢复最激动人心的改进之一是 WinRE 并入安装过程的方式。从安装媒体中启动 Windows Server 2008 时,您可以选择Server 2008 动目修复计算机选项。 从Windows 2008安装光盘引导系统。 23. 如图12-72所示,选择要安装的语言,点击“下一步”。 24. 如图12-73所示,在出现的安装Windows,点击“修复计算机”。由于这一选项极易被错过,所以在此专门做个提醒。
图 12-72 光盘引导 图 12-73 修复计算机 25. 如图12-74所示,在出现的系统恢复选项,选择C:盘安装的Microsoft Windows Server 2008,点击“下一步”。 26. 如图12-75所示,在出现的系统恢复选项对话框,点击“Windows Complete PC还原”。
图 12-74选择要修复的系统 图 12-75 完整系统还原 27. 如图12-76所示,在出现的从备份还原整个计算机对话框,选择“使用最新的可用备份”,点击“下一步”。 28. 如图12-77所示,在出现的选择还原备份的方式对话框,选中“格式化并重新分区磁盘”,点击“下一步”。
图 12-76选择可用备份 图 12-77 指定还原备份的方式 29. 如图12-78所示,在出现的Windows Complete PC还原已经准备好使用以下备份还原你的计算机对话框,点击“完成”。 30. 如图12-79所示,在出现的Windows Complete PC还原对话框,选中“我确认要格式化该磁盘并还原备份”,点击“确定”。
图 12-78 确认选择 图 12-79确认对话框 31. 如图12-80所示,出现还原进度。 32. 如图12-81所示,还原完成后,重启。
图 12-80 还原进度 图 12-81还原完成
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2013-8-19 08:47:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡