AD活动目录灾难恢复的研究与实践
灾难恢复:Active Directory 用户和组
概览:∙复制和对象链接结构∙使用 NTDSUTIL 备份和还原∙权威还原和非权威还原Active Directory 是 Windows 网络中最为关键的服务之一。
为了避免出现停机时间和损失生产力,对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。
这一点听起来容易,但令人吃惊的是,有很多管理员甚至没有为最常见的一个 Active Directory®故障方案 - 意外删除数据 - 制定计划。
意外删除对象是服务失败最常见的根本原因之一。
当我参加研讨会和会议时,我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。
而每次几乎所有人都举手。
要理解为何数据恢复是如此复杂,必须先理解以下内容:Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。
存储对象Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。
数据存储(称为目录信息树或 DIT)基于可扩展存储引擎 (ESE),这是一个索引顺序访问方法 (ISAM) 数据库引擎。
从概念上说,Active Directory 将 DIT 存储在两张表中:数据表(包含实际的 Active Directory 对象和属性)和链接表(包含对象之间的关系)。
每个 Active Directory 对象存储在数据表中单独的一行,每个属性一列。
数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。
在一个常规 DC 上,数据表包含来自域 NC(命名上下文)、配置 NC 和架构 NC 的条目。
在全局编录上,数据表包含林中每个对象的条目。
Active Directory 使用可分辨名称标记 (DNT)(一个 32 位的整数)来唯一标识数据表中的每一行。
用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID(一个 16 字节的二进制结构)都小得多。
数据备份与灾难恢复的最佳实践
数据备份与灾难恢复的最佳实践在当今数字化时代,数据备份与灾难恢复已成为企业和个人保护重要信息的必备措施。
然而,如何进行数据备份以及在灾难发生时进行高效恢复,是一个非常重要的话题。
本文将介绍数据备份与灾难恢复的最佳实践,旨在帮助读者了解如何保护数据安全,并在灾难时刻迅速恢复所需信息。
一、制定数据备份策略在制定数据备份策略时,首先需要明确以下几个方面的考虑:1.制定备份频率:备份频率取决于数据的敏感程度和更新速度。
对于日常操作频繁的重要数据,建议实时或每日备份;对于少量更新的文件,可选择每周或每月备份。
2.选择备份介质:备份介质包括硬盘、磁带、云存储等多种形式。
硬盘备份速度快、容量大,适合小规模数据备份;磁带备份容量大、成本低,适合大规模数据备份;云存储备份方便、可靠性高,适合远程备份与存储。
3.确定备份位置:数据备份的目的是避免单点故障,因此选择备份位置非常重要。
备份位置应远离源数据,避免被同一灾难影响。
常见的备份位置包括离线存储设备、远程服务器以及云存储服务提供商。
4.制定备份策略:根据备份频率和容量需求,制定备份策略。
可采用完全备份、增量备份或差异备份等方式。
完全备份是将所有数据都备份一次,适用于小量数据备份;增量备份仅备份自上次备份之后发生的更改,适用于大量数据备份;差异备份则备份自上次完全备份或增量备份后发生的更改,适用于中等规模的数据备份。
二、实施数据备份计划制定好备份策略后,需要按计划实施数据备份。
以下是实施备份计划的主要步骤:1.选择备份工具:选择适合自己需求的备份工具,常见的有各类备份软件和云备份服务。
确保备份工具功能完善、易于操作,并具备数据加密和压缩功能,以保护备份数据的安全性和节省存储空间。
2.定期检查备份:备份数据并不等于数据安全,定期检查备份的有效性非常重要。
通过定期还原备份数据,确保备份的完整性和可用性,并及时修复备份过程中出现的问题。
3.备份日志记录与存档:备份过程应有完整的日志记录,包括备份的起止时间、备份成功与否等信息。
第七章灾难恢复
第七章灾难恢复实验任务一:备份和还原域控制器的系统状态实验环境介绍实验准备(1)1人1组。
(2)准备1台Windows2003VM(为DC)。
(3)(3)VM网卡1块,类型为VMnet0,目的是使网络联通。
(4)实验室网络为192.168.1.0/24。
(5)IP设置分别为192.168.1.X/24(X由教员指定)。
(6)已经在域中创建5个OU以及用户账户(参见第4章的任务三)。
完成标准(1)备份DC的系统状态数据。
(2)还原成功DC的系统状态数据,能看到已被删除的用户账户。
操作步骤Step1在域控制器上备份系统状态。
(1)使用域管理员账户Administrator登录DC。
(2)打开“备份工具”,单击“备份”标签。
(3)选中系统状态(Sytem State)复选框。
(4)单击“开始备份”,按提示完成备份。
Step2删除某个域账户(1)域管理员Administrator打开“Active Directory 用户和计算机”。
(2)右击域账户StuY,选择“删除”,单击“是”按钮。
Step3在域控制器上还原系统状态(1)重启DC,在显示启动菜单时按F8键。
(2)选择“目录服务还原模式”。
(3)在登录提示符出,输入账号Administrator,输入还原密码,进入系统。
(4)单击“开始”—“程序”—“附件”—“系统工具”—“备份”,打开“还原和管理媒体”选项卡。
(5)单击适当的备份媒体和要还原的系统状态,单击“开始还原”按钮,按提示完成还原。
(6)重启DC。
Step4验证还原效果(1)使用域管理员账户Adminidtrator登录DC,打开“Active Directory用户和计算机”。
(2)查看域账户StuY是否存在。
任务二:指定备份任务计划实验环境介绍BENET公司服务器上的文件夹C:\doc,存储员工日常工作文档,需要定期做常规备份和差异备份。
每星期一22:00做常规备份,星期二到星期五22:00做差异备份。
Microsoft活动目录(AD)解决方案
Microsoft活动目录(AD)解决方案Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
从信息技术部门人员来说,如何整合现有IT环境中的资源,将IT 环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。
从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。
作用:1.集中的组织与管理网络内的服务器及客户端2.统一的数据组织与资源管理3.单一登录的网络环境4.集中化的软件部署与运行限制5.功能强大并易于扩展的IT基础架构整合现有信息技术环境,就是将客户端与服务器由现有的工作组模式的环境平滑迁移至基于活动目录的域模式,统一管理及身份验证信息,将信息统一由服务器发布,减少信息孤岛,增强信息技术易用性和安全性。
我们选择的Windows Server 活动目录产品融合了一些新的技术特点,使我们有理由相信我们推荐的企业网目录管理服务方案最能适合企业的应用,这些特点包括:•DNS 集成活动目录使用域名系统( Domain Name System ,简称 DNS )。
这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。
DNS 域和 Windows Server 的域自然而有机的结合在一起,使得整个目录结构成树型分布,具有了DNS 的层次感觉,也使得Windows Serever 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。
•目录定位服务通过 DNS 服务中的 Service Resource Record ( SRV RR )记录公布提供目录服务的服务器地址,SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。
DNS 记录也可以集成到目录中,随着目录复制而达到 DNS 复制的目的。
ad活动目录解决方案ppt
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案客户现状:现在客户在各地共有4个办公点。
每个点采用的是独立的域环境。
现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。
一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。
客户的方案如下:拓扑图如下:由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发:作用:处理本地没有应答的DNS查询。
方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。
2、信任关系的建立作用:为了使不同域可以互相访问。
方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。
在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。
) 3、 WINS服务器的安装作用:信任域间可以通过主机名称进行访问。
方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。
各域客户端WINS服务器指向本地服务器。
说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。
二、单域多站点结构方案拓扑图:方案描述如下:所有站点处于同一个域下,每个站点的子网不相同。
在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法:1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS上做转发,实现对外网的访问。
在A站点建立域内主DC,DNS地址指向本地地址。
3. 额外DC的建立:首先DC的DNS指向主DC的DNS地址。
在新建DC的时候选择创建“额外域控制器”。
活动目录常(AD)实用手册
Active Directory(AD)实用手册Active Directory(AD)实用手册活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
在本期专题里,我们提供了活动目录的使用技巧,如解决在Active Directory环境里Windows 登录性能问题与使用Active Directory标识和追踪虚拟机等,涵盖了虚拟化、灾难恢复等方面。
AD介绍在本系列第一篇文章中,我们将介绍如何使用Active Directory跟踪虚拟化资源。
第二篇文章讨论如何使用脚本进行Active Directory计算机对象Description查询;第三部分在Active Directory范式的基础上做了进一步扩展,其中包括用一个自定义属性来标识计算机是物理平台还是虚拟平台。
使用Active Directory标识和追踪虚拟机查询Active Directory的方法介绍如何自定义Active Directory模式?AD与灾难恢复对于活动目录,什么因素会产生一个良好的灾难恢复计划?在多域林中如何恢复活动目录根域?我们以两个分别为和的域作为例子……如何在多域林中恢复活动目录根域?活动目录林的灾难预防策略活动目录林的灾难预防最佳方式AD与lingering object对于任何活动目录管理员来说,最让其烦恼的,是一些被称为延迟对象的奇怪小东西。
本系列文章详细介绍如何查找、删除与恢复lingering object的操作步骤。
如何查找活动目录中的lingering object?如何删除活动目录里的lingering object?修复活动目录林中的lingering object问题AD技巧集Active Directory环境里Windows登录性能问题如何解决?在Windows Server 2008 R2版本里,AD有哪些新的改动?快照功能如何使用?在虚拟化平台vSpere里,AD能做什么事情……本部分介绍AD的一些实用技巧。
企业数据备份和灾难恢复的最佳实践是什么
企业数据备份和灾难恢复的最佳实践是什么在当今数字化的商业世界中,企业数据已成为最宝贵的资产之一。
数据的丢失或损坏可能导致业务中断、客户流失、法律责任以及声誉受损等严重后果。
因此,建立有效的数据备份和灾难恢复策略对于企业的生存和发展至关重要。
那么,企业数据备份和灾难恢复的最佳实践究竟是什么呢?首先,明确数据备份的目标和需求是关键的第一步。
企业需要全面评估自身的业务性质、数据类型、数据量以及恢复时间目标(RTO)和恢复点目标(RPO)。
RTO 是指在灾难发生后,业务能够容忍的最长停机时间;RPO 则是指能够容忍的数据丢失量。
例如,对于一家在线金融交易公司,可能要求 RTO 为几分钟,RPO 接近于零,以确保交易的连续性和数据的完整性。
而对于一家小型制造企业,可能可以接受数小时的 RTO 和一天内的数据丢失。
选择合适的备份方法是接下来的重要环节。
常见的备份方法包括完整备份、增量备份和差异备份。
完整备份会复制所有数据,恢复速度快但存储成本高;增量备份只备份自上次备份以来更改的数据,节省存储空间但恢复过程较为复杂;差异备份则备份自上次完整备份以来更改的数据,在存储空间和恢复速度之间取得一定平衡。
企业应根据自身的数据变化频率和恢复需求,灵活选择或组合使用这些备份方法。
备份存储介质的选择也不容忽视。
传统的磁带存储仍然在一些企业中使用,因其成本相对较低且适合长期存储。
然而,磁带的恢复速度较慢,管理也较为复杂。
随着技术的发展,基于磁盘的存储如外部硬盘、网络附加存储(NAS)和存储区域网络(SAN)越来越受欢迎,它们提供了更快的读写速度和更便捷的管理。
此外,云存储作为一种新兴的选择,具有高扩展性、灵活性和异地存储的优势,但需要考虑数据传输速度和成本。
备份频率是影响数据恢复效果的重要因素。
对于关键业务数据,应尽可能实现实时备份或至少每天进行备份。
对于非关键但重要的数据,可以根据数据的变化频率,选择每周或每月备份。
同时,要确保备份数据的完整性和一致性,定期进行备份验证和恢复测试,以确保在需要时能够成功恢复数据。
信息灾难恢复实验报告(3篇)
第1篇一、实验背景随着信息技术的飞速发展,信息系统的稳定性和安全性日益受到重视。
然而,由于自然灾害、人为错误、恶意攻击等原因,信息系统仍可能遭受灾难性破坏,导致数据丢失、系统瘫痪,从而对企业和个人的工作生活造成严重影响。
为了提高信息系统的抗灾能力,确保在灾难发生时能够迅速恢复,本实验旨在通过模拟信息灾难,测试和验证信息灾难恢复方案的有效性。
二、实验目的1. 理解信息灾难恢复的基本概念和原理。
2. 掌握信息灾难恢复方案的制定和实施方法。
3. 通过实验验证信息灾难恢复方案的有效性。
4. 提高对信息系统安全性的认识,增强灾难防范意识。
三、实验内容1. 信息灾难模拟- 模拟场景:选择一个典型的信息系统,如企业内部网络、数据中心等,模拟自然灾害(如地震、洪水)、人为错误(如误删除文件)、恶意攻击(如病毒感染)等灾难性事件。
- 模拟方法:利用网络攻击工具、虚拟机软件等手段,模拟上述灾难性事件。
2. 信息灾难恢复方案制定- 分析信息系统的关键业务和数据,确定恢复重点。
- 制定数据备份策略,包括备份频率、备份介质、备份存储位置等。
- 制定系统恢复策略,包括恢复顺序、恢复方法、恢复时间等。
- 制定人员职责和应急响应流程。
3. 信息灾难恢复方案实施- 按照恢复方案,进行数据备份和系统恢复操作。
- 监控恢复过程,确保恢复效果。
4. 信息灾难恢复效果评估- 评估恢复时间,与恢复方案中设定的目标时间进行对比。
- 评估恢复质量,确保关键业务和数据得到有效恢复。
- 分析恢复过程中存在的问题,为后续改进提供依据。
四、实验结果与分析1. 信息灾难模拟- 模拟过程中,成功模拟了自然灾害、人为错误、恶意攻击等灾难性事件,验证了实验场景的合理性。
2. 信息灾难恢复方案制定- 根据信息系统的实际情况,制定了合理的恢复方案,包括数据备份策略、系统恢复策略、人员职责和应急响应流程。
3. 信息灾难恢复方案实施- 按照恢复方案,成功进行了数据备份和系统恢复操作,验证了恢复方案的有效性。
(仅供参考)AD的备份与恢复
Active Directory活动目录的备份与恢复作者:产品:版本:页数:制作日期:更新日期:华顺 HuashunMicrosoft Windows Server 2003 R2 Enterprise EditionService Pack 2总25页2008年7月11日星期五2008年7月11日星期五Active Directory活动目录的备份与恢复作者:华顺 Huashun出版日期:2008年7月11日星期五审核日期:2008年7月11日星期五文档修改记录序号修改日期修改原因备注12345678910目录Active Directory活动目录的备份和恢复方法1 方法一:使用ntbackup进行活动目录的备份和恢复 (2)1.1 使用ntbackup进行活动目录的备份 (2)1.2 使用ntbackup进行活动目录的恢复 (9)2 方法二:部署额外的域控制器进行活动目录的备份和恢复 (17)2.1 部署额外的域控制器进行活动目录的备份 (17)2.2 部署额外的域控制器进行活动目录的恢复 (19)3 方法三:使用第三方备份工具进行活动目录的备份和恢复 (25)Active Directory活动目录的备份与恢复方法方法一:使用ntbackup进行活动目录的备份与恢复。
1)创建两个账户,作为测试使用。
点击【开始】→【管理工具】→【Active Directory用户和计算机】。
右键【】→【新建】→【组织单位】,新建一个名为IT的组织单元。
在IT这个组织单位中,新建两个账户test1,test2,用来测试。
2)点击【开始】→【运行】,输入命令行命令“ntbackup”,然后点击【确定】。
3)弹出“欢迎使用或还原向导”对话框,点击【高级模式】。
4)点击“备份向导(高级)”。
5)弹出“欢迎使用备份向导”对话框,点击【下一步】。
6)勾选“备份选定的文件、驱动器或网络数据”,然后点击【下一步】。
7)点击“我的电脑”,在“System State”前的方框中打勾(我们可以在右边的窗口中看到备份的内容,包括“Active Directory”等项目,但是他们只能同时备份,不能进行选择备份,这也是用ntbackup来备份Active Directory活动目录的缺点。
Windows Server 2012 活动目录项目式教程项目26 AD的备份与还原
相关知识
Active Directory 的优先级比较主要考虑以下三个方面的因素: (1)版本号:版本号指的是 Active Directory 对象修改时增加的值,版本号 高者优先。例如域中有两个域控制器 DC1和DC2,当DC1创建了一个用户, 版本号会随之增加,所以DC2会和DC1进行版本号比较,发现DC1的版本号 要高些,所以DC2就会向DC1同步Active Director内容。 (2)时间:如果 DC1 和 DC2两个域控制器同时对同一对象进行操作,由于 操作间隔相关很小,系统还来不及同步数据,因此它的版本号就是相同的。 这种情况下两个域控制器就要比较时间因素,看哪个域控制器完成修改的时 间靠后,时间靠后者优先。 (3)GUID:如果 DC1和DC2两个域控制器的版本号和时间都完全一致,这 时就要比较两个域控制器的 GUID 了,显然这完全是个随机的结果。一般情 况下时间完全相同的非常罕见,因此 GUID 这个因素只是一个备选方案。
相关知识
2、非授权还原实际应用场景 如果企业的域控制器正常只是想要还原到之前的一个 备份,使用非授权还原可以轻易完成。 如果企业的域控制器出现崩溃且无法修复时,可以将 服务器重新安装系统并升级为域控制器(IP地址和计算 机名不变),然后通过目录还原模式并利用之前备份 的系统状态进行还原。
相关知识
我问你答
(1) 什么是授权还原,它的应用场景是? (2) 什么是非授权还原,它的应用场景是?
项目实训题
按本项目完成验证实训。来自相关知识3、授权还原实际应用场景 当企业部署了多台域控制器时,如果想通过还原来恢复之前被 误删的对象时可以使用授权还原。 如果企业有多台域控制器当你将一台域控制器还原至一个旧的 还原点时,之前的误删对象会暂时被还原,但是因为这台域控 制器被还原到了一个旧的还原点,当接入域网络时,便会和其 他域控制器进行版本比较,发现自己的版本较低便会同步其他 域控制器的AD内容,将还原回来的对象再次删除,这样便无法 还原被误删的对象。如果可以通过授权还原,也就是通过更改 需要还原的对象的版本号,将其的值增加10万,使得他的版本 号非常的高,当接入到网络时,其他的AD域将会因为版本低而 同步这个对象,从而实现误删对象的还原。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD活动目录灾难恢复的研究与实践作者:曹俊捷来源:《数字化用户》2013年第20期【摘要】随着校园网络规模的逐步增长与管理规范化要求的不断提高,活动目录Active Directory工作的稳定性与可靠性表现对整个网络的运营有着极大的影响。
其本身是一项不容易被用户感知的网络应用,但却切切实实承担着网络架构的核心支持工作,邮件交换、VPN接入、RADIUS认证等皆依赖于其服务。
当其出现故障且不能恢复时,将出现不可估量的巨大影响。
本文从实践出发,以活动目录的故障为源点、恢复为目标,通过从备份策略到活动目录迁移方式的研究,结合域控制器Domain Controller的恢复策略与具体恢复实施方法的探讨与实践,试图对活动目录的灾难恢复进行有益的探索,并在一定程度上进行扩展。
【关键词】活动目录域控制器 FSMO角色迁移恢复AD(Active Directory)活动目录是笔者学校校园网的关键网络服务之一,承担着域用户登录认证、校内DNS解析及配合RADIUS完成拨入认证等重要工作。
随着本校网络硬件水平逐年提升,由于服务器组更新原因曾完成过一次活动目录迁移,正常运行将近两年未发生故障。
但因当初迁移任务紧迫且实施工作过程较为顺利,因此对灾难控制与恢复方面一直不够重视。
直到故障发生,使笔者充分认识到对于AD各种灾难恢复的重要性,故本文将着重探讨如何对DC(Domain Controller)域控制器出现故障以及域对象被删除这两种最为常见的灾难恢复的策略与方法,并在此基础上加以扩展,试图将简单灾难恢复中的思路与技巧应用于重大灾难恢复之中,希望对兄弟院校及后来者有所帮助或借鉴作用。
一、备份策略(一)系统备份策略无论是服务器系统还是数据库,备份的策略就意味着另两字,“冗余”,即至少保证域内有两个域控制器,所幸本校的DC结构(DNS Server+Mail Server)恰好满足了这种备份策略的最低限度,不必再占用更多的硬件资源。
如图1为本文实践的拓扑结构及主要应用功能,而之后本文所探讨的也主要是虚线框内DC间相互操作的情况。
(见图1)此外,另一个极为重要的策略是必须具有良好的系统状态恢复方式。
但值得注意的是,被广大网络管理人员津津乐道、百试不厌的Ghost在恢复域控制器时显得不如它在其它环境中那样得心应手,由于USN Rollback情况的存在,依赖于磁盘镜像或虚拟机快照技术的备份工具会出现与AD不兼容的情况,还是更建议使用基于VSS的备份工具。
笔者亲身遇到的情况是使用Ghost 11恢复DC后会出现部分客户端无法正常使用域账户登录的问题,有时还会发生其它DC域连接出错的情况。
另外值得一提的是,当服务器系统为Windows Server 2003R2时,其自带的备份工具为NTBackup,而在2008中,其自带的备份工具已变更为Windows Server Backup,两者皆是基于VSS的。
(二)文件备份策略两个DC的数据信息及文件相互备份,互为冗余。
具体方式可以通过局域网共享配合脚本自动备份工具实现,不过如今云备份的崛起给我们提供了一种更为便利、有效的方式与途径。
这样当一台DC发生故障时,另一台可以立即通过本地的备份进行还原,而不需要依赖于下线DC的强行恢复。
二,活动目录的迁移方式(一)主控角色FSMO(灵活单主机操作)首先,AD定义了五种操作主控角色(FSMO),分别为架构主控Schema Master(作用于林级别)、域命名主控Domain Naming Maseter(作用于林级别)、相对标识号(RID)主控RID Master(作用于域级别)、主域控制器模拟器PDC(作用于域级别)以及基础结构主控Infrastructure Master。
架构主控:控制对架构的所有更新和修改。
若要更新目录林的架构,必须有权访问架构主机。
在整个目录林中只能有一个架构主机。
域命名主控:控制目录林中域的添加或删除。
在整个目录林中只能有一个域命名主机。
结构主控:负责将参考从其域中的对象更新到其他域中的对象。
任何时刻,在每一域中只能有一个域控制器充当结构主机。
相对标识号(RID)主控:负责处理来自特定域中所有域控制器的 RID 池请求。
任何时刻,在域中只能有一个域控制器充当 RID 主机。
PDC 模拟器:将自身作为PDC,并向运行Windows早期版本的工作站、成员服务器和域控制器公布。
例如,如果该域包含未运行XP或2000客户端软件的计算机,或者如果包含NT 备份域控制器,则PDC模拟器主机充当Windows NT PDC。
它还是“域主浏览器”并负责处理密码差异。
任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
(二)活动目录迁移策略当一台DC发生故障时,根据故障的严重性可以分为两种情况,DC还能正常启动与DC 已无法正常工作。
根据两种不同情况采取不同方式:1.Transfer:转移,在旧的DC还能正常工作或者还能启动的情况下,我们可以使用Transfer操作,转移可以分别在图形化界面和命令行下完成。
在转移之后旧的DC可以重新安装操作系统,其原有的FSMO角色能正常移交到其它DC上。
2.Seize:抓取(也可译为捕获),是指旧的DC已经不能正常工作,或已经不能启动,那么此时域中的部分计算机可能已经不能正常登录到域中,transfer操作不再完全适用,此时便需要使用强行抓取,将五种操作主机角色都强制捕获到可用的DC上。
(三)迁移实施过程此处以Transfer为例,Seize的实施过程基本相同,只是方式不同,且操作均在抢夺(或称捕鱼)域控制器上发生。
假设原主域控服务器(192.168.6.9/24)发生故障但还能正常启动,需要将其拥有的五种FSMO角色(此处我们考虑最坏情况,5个角色全在故障DC之中)transfer到另一台备份域控服务器(192.168.6.7/24)上,如图2所示:图2活动目录迁移1.查看FSMO(五种主控角色)的Owner(拥有者)安装Support Tools工具(Windows Server 2003自带,位于系统安装盘中Support目录下),打开提示符输入:netdom query fsmo,查看五种主控角色的分布情况。
2.将域控角色转移到备份域控服务器(192.168.6.7/24)在主域控服务器(192.168.6.9/24)进行如下操作:进入命令提示符窗口,在命令提示符下输入:ntdsutil 回车roles 回车connections 回车connect to server 192.168.6.7(连接到额外域控制器)提示绑定成功后,输入quit退出。
再依次输入以下命令:Transfer domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer schema master以上的每一条命令在输入完成后都会有提示“是否传送角色到新的服务器”,选择yes,完成后输入quit退出界面。
五个步骤完成以后,进入192.168.6.7,检查确认是否全部FSMO角色均已转移到备份服务器上,打开提示符输入:netdom query fsmo,再次查看域控制器的5个FSMO主控角色分布。
3.转移全局编录:打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开新主域控服务器DC(192.168.6.7),修改其NTDS Settings属性,设为全局编录。
然后展开旧主域控服务器(192.168.6.9),修改NTDS Settings属性,去掉全局编录设置。
(四)注意事项当遇到DC损坏时,往往DC也是DNS服务器(事实上笔者遇到的情况正是如此),那么意味着DNS服务器也损坏了,如果创建额外的DC,那么同时还需再创建一个额外的DNS (不是辅助的),在DNS创建时选择“与AD集成的区域”,使DNS的数据可自动复制到额外的DNS中,这样也可避免DNS损坏所带来的一系列问题。
三、域控制器恢复策略域控制器DC可以担任一个或多个FSMO角色,在拥有两个以上的DC时其实可以完成互为副本匹配。
当某个DC因故障导致无法正常运行时,可以不需要从系统备份来进行复杂的还原,而只需要重新安装服务器操作系统,使用dcpromo将服务器升级为域控制器,将所有数据复制回来即可,这种方式更为稳妥且不容易出错。
当然,这种方式也不是完美无缺的,由于恢复原理是基于冗余DC的数据通过网络复制,因此恢复速度取决于整个系统的拓扑结构以及硬件通信设备的传输速率。
(一)清理活动目录首先,在任何操作前还是需要使用netdom query fsmo查看当前的5个FSMO角色分布。
接着需要在进行重新安装服务器操作系统并重新升级到域控制器之前清理活动目录。
先使用Ntdsutil来Seize故障DC中的FSMO角色(此处我们已认为一台DC已无法正常工作)。
需要注意的是,在Seize时,最好不要让担任原始角色的故障DC恢复运行,这样便可放心地对AD中失效的DC进行清理数据,这一步同样可以用Ntdsutil来完成。
(P.S.根据微软对WinServer 2008的功能介绍,其之后版本的活动目录用户和计算机(Active Directory Users and Computers)管理单元,只要在域控制器组织单元中删除域控制器的计算机帐户,就可以完成这一步)。
(二)活动目录对象的生存时间当删除了一个AD对象时,后台其实会完成一系列操作。
删除对象与从AD数据库删除记录并没有直接关联。
为了保持活动目录复制模型的一致性,对象先要转变成tombstoned(逻辑删除)状态。
从AD删除一个对象后,isDeleted属性被设成True,几乎该对象所有的属性都会被删除,且当该对象被转移到Deleted Objects容器后,它的lastKnownParent属性被修改为父对象的可辨别名称(DN),之后再删除对象。
对象被标记为已删除后,查询AD的任何工具都看不到它。
这时,对象仍作为逻辑删除对象存留一段时间。
其实这有点类似于硬盘删除文件的原理,只是暂时删除了其逻辑索引。
活动目录林(forest)的默认逻辑删除生存时间取决于活动目录林中第一个DC的操作系统,升级AD不会改变活动目录林的逻辑删除生存时间。
默认逻辑删除生存时间可从微软官方支持查到,2000S为60天,2003为180天,2003R2为60天,2008及R2均为180天。
此外,在每个DC上还存在着一个垃圾收集的机制,垃圾收集进程(或叫垃圾收集器)会搜索数据库,查找存留期比活动目录林的逻辑删除生存时间更久的逻辑删除对象,然后将它们从AD数据库中删除。