活动目录的恢复策略-WIN310

WIN310活动目录的恢复策略苏永锐Windows技术专家技术服务部微软有限公司本次议题的价值从还原了解备份的重要性和策略从各种灾难情况下恢复AD的最佳实践课程要求对以下工具的使用或概念都比较了解RepadminGPMCNtdsutilSystemStatusbackupRID，SID五个FSMOrolesGC,DC议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结单台DC的恢复问题描述因为AD错误或者硬件出错损失了DCAD信息变化产生后无法复制到其他DC上FSMO/GC/DNS角色的失效其他DC负荷的提高单台DC的恢复恢复方式方式I:使用该DC原有备份文件恢复DC使用DSRM模式启动OS或者重新安装OS使用备份文件还原系统重启机器方式II:升级为DC强制DC降级或者重新安装OS从其他旧DC上删除Metadata安装AD:通过复制自动完成从备份文件还原(只适用WindowsServer2003)获取FSMO的角色(如果需要的话)单台DC的恢复方式Ivs.方式II方式I恢复速度比依靠复制的恢复要快需要的操作较少不需要dcpromo;不需要清理metadata不要求获取FSMO的角色(除非机器已经出了问题很长时间)方式II不需要对该DC有很好的备份，但需要有多台DC可适用于不同的硬件单台DC的恢复最佳实践保证即使有一台DC失去作用后，仍有足够的DC可以应付客户端的访问负荷保证可以快速访问到备份的媒体把最近的一个备份文件保存在磁盘保证有一个已经定义好并且已经经过维护人员预演过的恢复流程保证知道DSRM模式下的密码(或有OS的安装光盘)知道该机器担任了FSMO的哪个角色知道该机器安装了哪些应用和服务议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结多台DC恢复问题描述在一个domain里面失去了不止一台DC(潜在影响整个domain)物理站点由于突发事件，部分或全部被破坏掉(比如火灾)暂时性地失去某个站点的控制客户端需要去找其他DC（可能存在于其他站点）多台DC恢复恢复方式像单台DC的还原方式一样，只是做多次重复操作如果整个domain被彻底破坏，请执行下面的额外步骤进行恢复在还原操作中，需要把其中一台DC的SYSVOL设置为“primary”这样可以让SYSVOL的数据强制推送到其他DC把RID计数池的数值设置为一个大一点的数值让新的安全策略能得到新的SIDs多台DC恢复最佳实践提供冗余的DC保存整个domain的信息，并且这些DC不要都放在同一个物理区域对于每个domain，在不同的物理区域都要有多台DC（GC）的备份保存备份的地方最好可以是异地最好有相同硬件配置的可用机器做后备保证有一个可行的操作流程和一份企业AD环境的拷贝议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结森林恢复问题描述在这个森林里面的每台DC都因为复制失败的问题而受到“影响”受影响的DC可以提供部分服务，甚至有些根本不能提供任何服务正常工作的森林Contoso.comProduct.Contoso.comSales.Contoso.com发生灾难一些错误被更新到机器中Contoso.comProduct.Contoso.comSales.Contoso.com错误被复制错误被复制到其他DC上X受影响的DCXContoso.comProduct.Contoso.comSales.Contoso.com错误被复制到其他站点XXXContoso.comProduct.Contoso.comSales.Contoso.com受影响的DCX错误通过复制在森林中蔓延XXXXXXContoso.comProduct.Contoso.comSales.Contoso.com受影响的DCX整个森林全部受影响XXXXXXXXXXXContoso.comProduct.Contoso.comSales.Contoso.com受影响的DCX森林恢复需要考虑的问题错误可以从受影响的DC复制到还原后的DC上，导致恢复失败在还原后的DC被放上网络前，不能关掉所有受影响的DC每个domain需要从备份中还原出一台可正常使用的DC，因为避免出现恢复后，无法使用，需要重新恢复的情况备份需要在每台还原的DC上成功进行测试多台DC会被独立启动必须保证在每台DC上还原后，都进行正确性测试森林恢复需要考虑的问题不能选择了一个有错误产生后进行的备份如果该AD集成了DNS，最好的备份就是，它也是一台DNS服务器还原至少一台GC，因为没有GC:用户和计算机无法正常获得认证无法安装DC无法安全的进行动态DNS更新MSExchange无法正常提供服务还原一台GC可以被用于在稍后去清除那些旧有的对象受影响的森林XXXXXXXXXXXContoso.comProduct.Contoso.comSales.Contoso.comXXXXXXXXXXX1.校验备份Contoso.comProduct.Contoso.comSales.Contoso.comXXXXXXXXXXX2.选择一个最适合的备份GCDNSDCDCDNSDNSContoso.comProduct.Contoso.comSales.Contoso.comXXXXXXXXXXXGCDNSDCDCDNSDNSContoso.comProduct.Contoso.comSales.Contoso.com3.把该DC隔离开来准备还原4.还原隔离起来的DCXGCDNSContoso.comProduct.Contoso.comSales.Contoso.comXXXXXXXXXXDCDCDNSDNSGCDNS1.启动Windows，进入DSRM(需要DSRM的AD还原密码)2.从备份中还原SystemState3.把SYSVOL共享文件夹设置为primary4.重新启动进入正常模式5.使用超级管理员身份登陆(这是在没有GC的情况下可以正常工作的帐号)6.把该根DC设置为primaryDNS服务器7.把RID计数池的数值增大一个很大的数字(如增加100,000)8.获取FSMO五个角色9.删除其他DC在domain里面的metadata10.删除其他DC在DNS里面的数据11.通过截断相互间信任关系，阻止从受影响DC发过来的复制•Reset计算机帐号的密码(输入两次)•Resetkrbtgt密码•从domain里面把所有其他的DC计算机记录统统删除•从信任的一方把相互信任的密码重新设置(输入两次)4.恢复其他隔离的DCGCDNSDCDCDNSDNSXXXXXXXXContoso.comProduct.Contoso.comSales.Contoso.comGCDNSDCDCDNSDNSXXXXContoso.comProduct.Contoso.comSales.Contoso.com强制把DC降级或重新安装OS5.从受影响的DC上把AD移除GCDNSDCDNSDCDNSXXXContoso.comProduct.Contoso.comSales.Contoso.com6.把隔离起来的DC放到网上GCDNSDCDNSDCDNSXXContoso.comProduct.Contoso.comSales.Contoso.com7.确认复制是正常的GCDNSDCDNSDCDNSXContoso.comProduct.Contoso.comSales.Contoso.com通过复制进行或者通过IFM（IntegratedFileManagement）8.把其他机器都升级为DC森林恢复完成恢复的步骤恢复DNS的原始设置添加l台新的GC和DNS服务器修复出现问题的用户/机器的密码把FSMO的角色转移到合适的DC上恢复丢失的对象修复出现问题的Exchange邮箱修复其他在AD上运行的应用删除掉在GC中标志为lingering那些对象森林恢复最佳实践最好的方法就是对于能够迅速和准确的还原森林有一个很好的准备编写一个符合贵公司实际情况的修复流程文档把该修复流程分发给其他参与AD管理的人员，那些人员最好都通过实验室进行过修复流程的实际培训准备好相关的符合贵公司AD部署环境的工具和脚本议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结对象恢复问题描述和恢复对象被误删除（OU）或者进行了错误的修改对象很难被重新建立AD相关的复杂对象拥有不同的GUID&SID恢复方式权威恢复里程碑式采用GPMC恢复被删除的GPO对象恢复权威恢复启动DC进入DSrestoremode还原SystemState后，不要选择重启然后运行Ntdsutil并且把object标志为authrestored需要知道对象的fullDN如果不知道，请首先独立启动DC，在被删除对象集合中查看该FullDN如果被删除的对象是间接被某应用所调用，还需要恢复相关的的那些对象重启对象恢复权威恢复要考虑恢复后，某些users/groups/computers,groupmemberships可能会丢失如果组中的成员被添加到postLVR，Domain里面的Groupmembership会自动恢复LVR(LinkValuedReplication)是MicrosoftWindowsServer2003森林里面的功能WindowsServer2003SP1权威恢复可以使用LDIF文件恢复groupmemberships重启后，运行LDIF文件来修复membershipResource(4)保存有详细的信息对象恢复最佳实践永远不要使用权威恢复来还原整个AD数据要记住DSRMadmin密码在WindowsServer2003SP1中使用权威恢复来恢复GC从森林的每个domain中生成相关的LDIF文件在每个domain中运行LDIF来还原groupmembership备份在磁盘上可以保证还原时的速度通过GPMC来备份组策略议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结最佳备份实践怎么做备份?MicrosoftWindows2003:SystemStateMicrosoftWindows2000:SystemStateandSystemdrive每个domain都需要备份多台DC和GC保证所有的应用都可以被覆盖到经常进行备份工作在WindowsServer2003SP1版本中我们新增加了一个事件(ID:2089)提醒我们有一部分的备份出现问题了经常检查那些备份是否都可以正常恢复最佳备份实践以下是一些不被支持的AD备份方法:直接复制AD文件到磁带或者磁盘中复制virtualPC文件做磁盘镜像或者ghosting在Win2000中的SAN采用Splittingmirror方式以上的方法都会导致复制冲突问题=kb;en-us;875495如果想在WindowsServer2003中使用SAN进行快速备份/还原，请参考:议程单台DC的恢复多台DC的恢复森林恢复对象恢复最佳备份实践总结总结要还原必须保证先有可用的备份检查这些备份都是正确的可以使用的备份有一个针对各种不同情况下，可采取的AD还原流程为进行恢复工作，要注意进行相关流程的正式培训ForestRecoveryWhitepaper:=en&FamilyID=3EDA5A79-C99B-4DF9-823C-933FEBA08CFEWindowsServer2003OperationGuide: