文档介绍:WIN 310�活动目录的恢复策略
苏永锐
Windows技术专家
技术效劳部
微软
本次议题的价值
从复原了解备份的重要性和策略
从各种灾难情况下恢复AD的最正确实践
课程要求
对以下工具的使用或概念都比较了解
Repadmin
GPMC
Ntdsutil
System Status backup
RID,SID
五个FSMO roles
GC,DC
议程
单台DC的恢复
多台DC的恢复
森林恢复
对象恢复
最正确备份实践
总结
单台DC的恢复�问题描述
因为AD错误或者硬件出错损失了DC
AD信息变化产生后无法复制到其他DC上
FSMO/GC/DNS角色的失效
其他DC负荷的提高
单台DC的恢复�恢复方式
方式 I: 使用该DC原有备份文件恢复DC
使用DSRM模式启动OS或者重新安装OS
使用备份文件复原系统
重启机器
方式 II: 升级为DC
强制DC降级或者重新安装OS
从其他旧DC上删除Metadata
安装AD:
通过复制自动完成
从备份文件复原(只适用Windows Server 2003)
获取FSMO的角色(如果需要的话)
单台DC的恢复�方式 I vs. 方式 II
方式 I
恢复速度比依靠复制的恢复要快
需要的操作较少
不需要dcpromo; 不需要清理metadata
不要求获取FSMO的角色(除非机器已经出了问题很长时间)
方式 II
不需要对该DC有很好的备份,但需要有多台DC
可适用于不同的硬件
单台DC的恢复�最正确实践
保证即使有一台DC失去作用后,仍有足够的DC可以应付客户端的访问负荷
保证可以快速访问到备份的媒体
把最近的一个备份文件保存在磁盘
保证有一个已经定义好并且已经经过维护人员预演过的恢复流程
保证知道DSRM模式下的密码(或有OS的安装光盘)
知道该机器担任了FSMO的哪个角色
知道该机器安装了哪些应用和效劳
多台DC恢复�问题描述
在一个domain里面失去了不止一台DC (潜在影响整个domain)
物理站点由于突发事件,局部或全部被破坏掉(比方火灾)
暂时性地失去某个站点的控制
客户端需要去找其他DC〔可能存在于其他站点〕
多台DC恢复�恢复方式
像单台DC的复原方式一样,只是做屡次重复操作
如果整个domain被彻底破坏,请执行下面的额外步骤进行恢复
在复原操作中,需要把其中一台DC的SYSVOL设置为“primary〞
这样可以让SYSVOL的数据强制推送到其他DC
把RID计数池的数值设置为一个大一点的数值
让新的平安策略能得到新的SIDs