复活墓碑对象
复活墓碑对象允许你恢复活动目录对象而不从备份还原对象。这样避免了还原时需要域控离线的情况。然而,墓碑对象是具有属性的。因此,被复活的墓碑对象不会具备所有一个被权威还原对象所具有的属性。举个例子,当一个用户对象被删除,许多属性,类似于地址信息都被移除了。当一个用户墓碑对象被复活时这个信息不会被复原。
当一个用户被复活,一系列重要的属性被保留。objectSID属性的保留允许被直接指派到用户的所有许可被保留。这是一个取代重建被删除用户帐号的重大进步。objectGUID属性,唯一辨识每个活动目录对象的属性,也被保留。保留对象和使用该属性的程序之间的关系是很重要的。
可以通过修改架构来修改墓碑对象中哪个属性会被保留。对你想要保留的每个属性,设置相应的attributeSchema对象的searchFlags属性值的第3位。然而,链接属性,就像组成员关系,即使设置也不能保留。
重要 当一个用户墓碑被复活时,组成员关系没有被还原。你必须采用另一机制来还原组成员关系。如果组成员关系被记录在你组织的文档中,你可以手动重建组成员关系。
复活过程
一个被复活的墓碑对象仍有一些修改要做。第一个要修改的地方就是移除idDeleted属性。第二个要修改的地方是变更distinguishedName属性,该属性将对象移至新的位置。对象新的位置基于lastKnownParent属性,该属性会将对象返回到它被删除的同一个OU。对新对象的objectCategory属性在墓碑对象中被配置成最明确的objectClass。
去执行一个墓碑对象的复活,你必须使用一个可以修改活动目录对象的工具。你可以使用工具Ldp.exe来编辑活动目录对象和复活墓碑对象,如图15-9所示。另外,AdRestore是特定被设计用来复活对象而且总是复活对象到lastKnownParent属性指定的位置。
注意 AdRestore可从Windows Sysinternal网页下载,网址: http://www.microsoft.com/technet/sysinternals/utilities/AdRestore.mspx
clip_p_w_picpath002
图15-9 使用Ldp.exe来复活墓碑对象
注意 老版本的Windows Server中会要求你单独下载Ldp.exe。在Windows Server 2008中,Ldp的建立包含在活动目录域服务角色安装之中。
使用Ldp.exe复活墓碑对象,需要遵照以下步骤:
1. 点击Start,点击Run,键入 ldp,然后回车。
2. 点击Connection菜单,点击Connect。
3. 输入服务器的名字,点击OK。
4. 点击Connection菜单然后点击Bind。
5. 选择Logon Credentials With Sufficient Rights To Perform The Reanimation Process然后点击OK。
6. 点击Option菜单,点击Controls。
7. 在Load Predefined下拉菜单,选择Return Deleted Objects然后点击OK。这对于预览已删除对象容器是必需的。
8. 点击View菜单,然后点击Tree。
9. 在BaseDN下拉菜单选择域然后点击OK。
10. 扩展域然后双击CN=Deleted Objects。这样列出了域中所有被删除对象。如果需要,你可以限定只搜索用户对象来进行查找。
11. 右键点击要复活的对象,选择Modify。
12. 在Attribute框中,键入 isDeleted,点击Delete,然后点击回车键。
13. 在Attribute框中,键入 distinguishedName
14. 在Values框中,键入用户对象的新的可辨认名称。举个例子,CN=Paul West,OU=Accounting,DC=Adatum,DC=com.
15. 点击Replace,然后点击回车。
16. 选择Extended复选框,当修改删除对象时需要这样做。
17. 点击Run修改对象。
18. 点击Close,关闭Ldp。
使用AdRestore来复活墓碑对象,遵照以下步骤:
1. 打开命令提示符。
2. 键入 adrestore然后回车。这会列举出所有可被还原的对象。
3. 键入 adrestore text,这里的 text被包含在对象名称里,然后回车。这一命令被用于搜寻特定的对象。
4. 键入 adrestore –r text,这里的text含在对象名称里,然后回车。
5. 对于每一个使用AdRestore找到的对象,你都会被提示是否要复活它。
更多信息 想了解复活墓碑对象的更多信息,可以阅读Technet杂志网页的“复活活动目录墓碑对象”,网址: http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx
使用活动目录数据挖掘工具
Windows Server 2008包括一种新的活动目录数据挖掘工具(Dsamain.exe)。该工具在不重启域控进入DSRM情形下可以揭示活动目录的快照。活动目录数据挖掘工具作为轻量级目录访问协议(LDAP)服务器的角色来允许访问快照。LDAP浏览工具例如LDP.exe和ADSIEDIT被用于浏览快照的内容。
当活动目录信息被还原,你可能需要浏览几个备份的内容来确定哪个是最恰当的。举个例子,你可能需要浏览几个备份来确定一个对象是何时被删除的。之前的Windows Server版本,你需要在DSRM中执行一个系统状态数据的还原来浏览活动目录备份中的内容。在Windows Server 2008中,你可以还原活动目录数据库到一个其他位置然后使用活动目录数据挖掘工具揭示数据库的内容。
你也可以使用Ntdsutil创建活动目录的快照然后使用Dsamain.exe来揭示他们。这种方式创建的快照比关键卷的备份要占用少得多磁盘空间。这些快照对于审核被修改删除的对象时很有用的。Ntdsutil创建的快照不能用于还原活动目录对象。為了長期审核这些信息,你可以制定计划任务来创建活动目录快照。
管理活动目录快照
Ntdsutil可被用于创建和管理活动目录快照。使用快照上下文管理快照。你可以在域控和活动目录轻量级目录服务服务器上创建快照。
遵照以下步骤使用Ntdsutil创建活动目录快照:
1. 打开命令提示符。
2. 在命令提示符,键入 ntdsutil然后回车。
3. 在Ntdsutil提示符,键入 snapshot然后回车。
4. 在Snapshot提示符,键入 activate instance ntds然后回车。
5. 在Snapshot提示符,键入 create然后回车。这创建了一个新的快照。一个标识符被列出。
遵照以下步骤使用Ntdsutil挂载活动目录的快照:
1. 打开一个命令提示符。
2. 在命令提示符,键入 ntdsutil然后回车。
3. 在Ntdsutil提示符,键入 snapshot然后回车。
4. 在Snapshot提示符,键入 activate instance ntds然后回车。
5. 在Snapshot提示符,键入 list all然后回车。这列出了所有可用的快照。
6. 在Snapshot提示符,键入 mount number,这里的number是你想要用活动目录数据挖掘工具揭示的快照,然后回车。
7. 记录更新显示的挖掘的快照。当使用活动目录挖掘工具揭示快照时这是必需的。
注意 unmount number命令用于当你完成浏览数据之后被挖掘的数据库的卸载工作。 delete number命令用于删除不再需要的快照。
揭示并访问活动目录快照
活动目录数据挖掘工具揭示的活动目录快照可以是那些通过Ntdsutil创建并挖掘的或是通过Windows Server Backup存储到另一个地点的。在任何一种情形,你可以指定到Ntds.dit的路径和对LDAP服务器的端口号。端口号不能被服务器上运行的其他服务使用,一般采用端口51389。
默认情况下,只有企业管理员和域管理员可以访问活动目录数据挖掘工具揭示的数据。你可以通过使用/allowNonAdminAccess参数更改这一限制。
Dsamain.exe的语法如下:
Dsamain /dbpath PathToDatabaseFile /ldapport PortNumber
当你访问活动目录数据挖掘工具揭示的数据库内容时,你必须链接到活动目录数据库挖掘工具运行的端口号。这是一个非默认的端口,当你创建链接时必须手动输入到Ldp.exe或是ADSI Edit。你也可以使用Active Directory Users And Computers通过特定的域控和指定的恰当的端口号去浏览揭示的数据,如图15-10所示。
clip_p_w_picpath004
图15-10 访问挖掘的数据库快照
当活动目录数据挖掘工具运行时,命令提示符保持打开。想要关闭活动目录数据挖掘工具,请按Ctrl+C。
恢复 SYSVOL 信息
到目前为止,本章的重点是恢复活动目录数据库-也就是,保存域,林的帐号和相关设置的数据库。然而,每个域控上的SYSVOL文件夹也包含重要的域信息,例如网络上计算机和用户使用的组策略模板和脚本。因此,SYSVOL信息的恢复和活动目录数据库的恢复同样重要。
当你从关键卷执行系统状态的恢复,SYSVOL文件夹也包括其中。然而,SYSVOL文件夹不能被活动目录复制,在需要时通过单独的程序被设定成是权威的。当你想要从一个非授权组策略变更或是登录脚本被删除的情况下还原,你可以标记SYSVOL为权威的。
在Windows Server 2008之前的所有版本中,SYSVOL被文件复制服务(FRS)复制且可以在包括Windows Server 2008 域控在内的的混合环境下使用。如果域是在Window Server 2008功能级别上,Windows Server 2008使用分布式文件系统(DFS )来复制SYSVOL。当FRS用于SYSVOL复制,Burflags注册码会自动配置为标记还原的复制文件为权威的。当DFS被用于SYSVOL复制,authsysvol选项随着Wbadmin.exe被用于标记被还原的复制文件为权威的。-authsysvol选项被用于活动目录非授权还原时。在两种情形下,其他同时被还原的复制文件也被标记为权威的,不仅仅是SYSVOL文件夹。
更多信息 了解更多关于Burflags注册码和FRS的信息,可以到微软官网阅读“Using the BurFlags Registry Key to Reinitialize File Replication Service Replica Sets”,网址:
如果你只有少量的SYSVOL文件需要被还原,例如登录脚本,那么考虑还原特定的文件而不是标记所有的SYSVOL文件为权威的。你可以通过执行SYSVOL的恢复到另一个位置,然后拷贝必要的文件到SYSVOL。拷贝到SYSVOL的文件被视为正常变更并会被复制到其他的域控。
恢复操作主机和全局编录服务器
当规划灾难恢复时,对操作主机服务器角色要额外的考虑。操作主机角色可被分布到多台域控,但每个角色在一个时间点只能被域或林中的一台域控持有。因此,恢复这些角色不同于恢复不包含这些角色的域控。恢复这些域控的实际程序本质上和恢复其他域控是一样的;不同的是规划必须纳入灾难恢复。举个例子,因为只有一台域控可以持有特定的角色,你必须决定没有这台操作主机网络能运行多久。在有些情形下,没有操作主机可能数天不会导致任何问题,在有些情形下,可能会立马产生影响。如果你不是很急需操作主机角色正常工作,你可以执行服务器的非授权还原从而修复域控。当服务器恢复时,操作主机也被恢复。
在一些情形下,你可能发现重建失效的域控会花费的时间比你的网络能维持没有操作主机的时间要长。或者你可能决定不要还原域控,而是创建新的域控并将操作主机角色转移到新的域控上。如果两个域控都在线,那么转移操作主机角色非常简单,因为在角色转移前,域控可以确认其完成了复制。然而,如果操作主机失效,你需要移动角色到另一台域控,那你就需要夺取角色。
操作主机的安置
因为操作主机服务器在网络中扮演着重要角色,你必须仔细地计划好这些角色的安装和管理。操作主机应该被包括到日常的备份中。同时,操作主机还应该被安排在位于同样站点的至少其他一台域控以确保至少多一台的域控包含操作主机相同的信息。
举个例子,如果一个用户使用低等级客户端变更了他/她的密码,这个变更会传递给PDC仿真主机。PDC仿真主机会在15秒内复制这一更改到同一站点的复制伙伴。如果在同一站点内没有复制伙伴,密码复制不会发生直至下一次预定的站内复制时。如果域控在这个排定时间前发生故障了,那么这个密码变更不会被复制到其他的站点。如果同一站点内的一台域控作为操作主机服务器,那么不完全复制的几率会更小。在同一站点内作为操作主机的域控是夺取主机角色的最佳选择,因为它会有来自操作主机的最新信息。如果在一个站点内不止有一台域控,你也可以使用repadmin/showvector namingcontext命令来决定哪一台域控有来自失效域控的最新更新。
使用Ntdsutil来夺取操作主机角色,需遵照以下步骤:
1. 打开命令提示符。
2. 在命令提示符,键入 ntdsutil然后回车。
3. 在Ntdsutil提示符,键入 roles然后回车。
4. 在FsmoMaintenance提示符,键入 connections然后回车。
5. 在Server Connection提示符,键入 connect to server ServerName,这里的 ServerName是你想要放置操作主机角色的服务器的名称,然后回车。
6. 在Server Connection提示符,键入 quit然后回车。
7. 在FsmoMaintenance提示符,键入 seize role,这里的 role是你想要夺取的操作主机角色,然后回车。角色的有效值为schema master,domain naming master, infrastructure master, RID master, 和 PDC。
8. 接受警告。服务器会第一次尝试执行特定操作主机角色的正常转移。当这个因为域控不能被联系上而失败时,这个角色会被夺取。
9. 使用 quit命令退出Ntdsutil。
注意 活动目录用户和计算机也可以被用于夺取PDC仿真主机和基础设施主机操作角色。
PDC 仿真主机
PDC仿真主机失效具有立刻影响到用户的潜在危险。因此,当其可能会失效一段时间时,你应该迅速夺取PDC仿真主机角色。当PDC仿真主机不可用时,Windows NT 4.0 备份域控无法同步目录变更,Windows 2000之前的客户端无法修改密码。PDC仿真主机是修改组策略后的存放位置,也被用于密码修改复制。
夺取PDC仿真主机没有负面的结果。当原始的PDC仿真主机被恢复且被连接回网络,它会察觉到新PDC仿真主机的存在并放弃PDC仿真主机角色。如果想要的话,PDC仿真主机角色可在恢复之后被移回原来的服务器,但一般不需要这样。
架构主机
在Windows Server 2008域中,架构主机扮演着一个基本的角色。但也同时是一个不常用的角色。架构主机是唯一可以修改架构的域控。如果这台服务器故障,你就不可以修改架构直至服务器被还原或是该角色被其他域控夺取。
架构主机的故障不会影响到用户。在大多数情形下,你应该等待并恢复架构主机而不是夺取架构主机角色。如果你一定要夺取架构主机角色到另一台域控,那么原来的架构主机决不能在网络中被恢复。
域命名主机
域命名主机是另一个不经常使用的角色。该操作主机仅在添加和移除域时需要。该角色的失效不会影响到用户。管理员是唯一被影响的角色,而且只在新的域被添加或是原有的域从林中移除时。
在大多数情形,你应该等待原来的域命名主机被恢复。然而,当你必须要添加或移除域且没有时间等待域命名主机恢复时,你可以夺取这个角色。如果你夺取了域命名主机到另一台域控,那么原来的域命名主机决不能在网络中被恢复。
基础结构主机
从灾难恢复的角度来看,基础结构主机角色可能是最不重要的。基础结构主机为多个域的用户和组帐号监控显示名称的变更。这是仅当管理员在浏览组成员关系时的结果。甚至网络管理员可能注意不到故障除非大量的帐号被移动或重命名。
在大多数情形下,你应该等待并恢复基础结构主机而不是抓取基础结构主机角色。如果在多域环境下,你决定抓取基础结构角色到另一个域控,你应该确保目标域控不是一个GC服务器。一个被放置在全局编录服务器上的基础结构主机不能适当地起到其功能。如果你夺取了该角色,你可以随后还原原来的基础结构主机。
相对标识号( RID )主机
RID主机是域级别的操作主机,它在新的安全主体创建时分派RID池到其他的域控。如果RID主机长期失效,那么域控可能会用完RIDs而无法为新的安全主体分配。当一个域控用完了RIDs,它就不能创建新的安全主体,诸如用户和安全组。
RID主机的失效不影响现存的用户。仅当你计划在原来的RID主机被恢复前创建大量的安全主体或是你不打算恢复原来的RID主机时,该角色需要被夺取。如果你夺取了RID主机角色到另一个域控,那么原来的RID主机不应该再被恢复到网络中。
全局编录服务器
全局编录服务器不需要在备份和恢复方面比其他服务器做多余的考虑。如果你恢复了一台被配置为全局编录的失效的服务器,那么不需要其他额外的配置,它将继续扮演全局编录服务器这一角色。
快速访问全局编录服务器对于一些应用程式和登录程序很关键。如果一个站点没有全局编录服务器,性能会被降级且错误可能产生。理想状态下,一个站点有多个全局编录服务器,当一台故障时,用户可以自动使用其他良好的全局编录服务器。你也可以在全局编录服务器发生故障后,手动指定另一个域控为全局编录服务器。
总结
这一章内容覆盖了Windows Server 2008 活动目录灾难恢复的基本话题。灾难恢复是一项你希望永远用不上的网管任务。然后,任何一个有经验的管理员都知道,你一定会在某个时间需要使用灾难恢复程序。本章从讨论活动目录的基本数据组成开始,然后讨论了活动目录备份的实践操作。接下来介绍了权威和非授权两种模式下活动目录恢复的程序。复活墓碑和恢复SYSVOL也被包括其中。最后,操作主机角色的管理和恢复这些角色需考虑的特殊的计划事项也被罗列。
最佳实践
■ 最小化关键卷备份的大小,不要在关键卷上存储应用程序或用户数据。
■ 在域控上执行关键卷的日常备份。这将允许你还原活动目录和SYSVOL信息。安排备份时间并确保会被执行。
■ 使用单独的内置或外置磁盘驱动器上划出卷来放置备份。
■ 为了简化还原,在单独的分区安装Windows RE。当Windows RE被安装在本地服务器上时,你不需要使用CD来执行完全恢复。
■ 在实验环境下测试还原策略,在灾难发生前确保其能正常运作。
■ 设置适合你环境的墓碑寿命。墓碑寿命决定了活动目录备份的有效期。
■ 在一个域中部署多个域控以避免执行权威还原活动目录是AD挂起的需要。
■ 使用活动目录数据挖掘工具来浏览执行还原前的活动目录备份的内容。
额外的资源
一下资源包括一些和此话题相关的额外信息。
相关信息
■ 更多还原整个活动目录林的信息,到微软下载中心查看“Planning for Active Directory Forest Recovery”,网址: http://www.microsoft.com/downloads/details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-C522DEE35D85&displaylang=en.
■ 更多关于链接和影子的信息,在Technet杂志网页上查看“Disaster Recovery: Active Directory Users and Groups”,网址: http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/
■ 更多关于恢复用户和组的信息,在微软知识库查看“How to Restore Deleted User Accounts and Their Group Memberships in Active Directory” 网址: http://support.microsoft.com/kb/840001/
■ 更多关于复活墓碑对象的信息,在technet杂志网页查看“Reanimating Active Directory Tombstone Objects” 网址: http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx
■ 更多关于BurFlags注册码和FRS的信息,在微软支持帮助中心查看“Using the BurFlags Registry Key to Reinitialize File Replication Service Replica Sets”,网址: http://support.microsoft.com/default.aspx/kb/290762
相关工具
Windows Server 2008提供一些工具可用于活动目录灾难还原。表15-2列出了这些工具和它们的用途。
15-2 活动目录灾难还原工具
clip_p_w_picpath006