文档介绍:WIN 310�活动目录的恢复策略
苏永锐
Windows技术专家
技术服务部
微软有限公司
本次议题的价值
从还原了解备份的重要性和策略
从各种灾难情况下恢复AD的最佳实践
课程要求
对以下工具的使用或概念都比较了解
RC被放上网络前,不能关掉所有受影响的DC
每个domain需要从备份中还原出一台可正常使用的DC,因为
避免出现恢复后,无法使用,需要重新恢复的情况
备份需要在每台还原的DC上成功进行测试
多台DC会被独立启动
必须保证在每台DC上还原后,都进行正确性测试
森林恢复�需要考虑的问题
不能选择了一个有错误产生后进行的备份
如果该AD集成了DNS,最好的备份就是,它也是一台DNS服务器
还原至少一台GC,因为没有GC:
用户和计算机无法正常获得认证
无法安装DC
无法安全的进行动态DNS更新
MS Exchange无法正常提供服务
还原一台GC可以被用于在稍后去清除那些旧有的对象
受影响的森林
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
1. 校验备份
X
X
X
X
X
X
X
X
X
X
X
2. 选择一个最适合的备份
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
X
X
X
X
X
X
X
GC
DNS
DC
DC
DNS
DNS
3. 把该DC隔离开来准备还原
4. 还原隔离起来的DC
X
GC
DNS
X
X
X
X
X
X
X
X
X
X
DC
DC
DNS
DNS
GC
DNS
启动Windows,进入DSRM (需要DSRM的AD还原密码)
从备份中还原System State
把SYSVOL共享文件夹设置为primary
重新启动进入正常模式
使用超级管理员身份登陆(这是在没有GC的情况下可以正常工作的帐号)
把该根DC设置为 primary DNS 服务器
把RID计数池的数值增大一个很大的数字 (如增加100,000)
获取FSMO五个角色
删除其他DC在domain里面的metadata
删除其他DC在DNS里面的数据
通过截断相互间信任关系,阻止从受影响DC发过来的复制
Reset 计算机帐号的密码 (输入两次)
Reset krbtgt 密码
从domain里面把所有其他的DC计算机记录统统删除
从信任的一方把相互信任的密码重新设置 (输入两次)
4. 恢复其他隔离的DC
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
X
X
X
X
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
强制把DC降级
或
重新安装OS
5. 从受影响的DC上把AD移除
GC
DNS
DC
DNS
DC
DNS
X
X
X
6. 把隔离起来的DC放到网上
GC
DNS
DC
DNS
DC
DNS
X
X
7. 确认复制是正常的
GC
DNS
DC
DNS
DC
DNS
X
通过复制进行
或者
通过IFM(Integra