文档介绍:WIN 310�活动目录的恢复策略
苏永锐
Windows技术专家
技术服务部
微软有限公司
本次议题的价值
从还原了解备份的重要性和策略
从各种灾难情况下恢复AD的最佳实践
课程要求
对以下工具的使用或概念都比较了解
R算机无法正常获得认证
无法安装DC
无法安全的进行动态DNS更新
MS Exchange无法正常提供服务
还原一台GC可以被用于在稍后去清除那些旧有的对象
受影响的森林
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
1. 校验备份
X
X
X
X
X
X
X
X
X
X
X
2. 选择一个最适合的备份
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
X
X
X
X
X
X
X
GC
DNS
DC
DC
DNS
DNS
3. 把该DC隔离开来准备还原
4. 还原隔离起来的DC
X
GC
DNS
X
X
X
X
X
X
X
X
X
X
DC
DC
DNS
DNS
GC
DNS
启动Windows,进入DSRM (需要DSRM的AD还原密码)
从备份中还原System State
把SYSVOL共享文件夹设置为primary
重新启动进入正常模式
使用超级管理员身份登陆(这是在没有GC的情况下可以正常工作的帐号)
把该根DC设置为 primary DNS 服务器
把RID计数池的数值增大一个很大的数字 (如增加100,000)
获取FSMO五个角色
删除其他DC在domain里面的metadata
删除其他DC在DNS里面的数据
通过截断相互间信任关系,阻止从受影响DC发过来的复制
Reset 计算机帐号的密码 (输入两次)
Reset krbtgt 密码
从domain里面把所有其他的DC计算机记录统统删除
从信任的一方把相互信任的密码重新设置 (输入两次)
4. 恢复其他隔离的DC
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
X
X
X
X
GC
DNS
DC
DC
DNS
DNS
X
X
X
X
强制把DC降级
或
重新安装OS
5. 从受影响的DC上把AD移除
GC
DNS
DC
DNS
DC
DNS
X
X
X
6. 把隔离起来的DC放到网上
GC
DNS
DC
DNS
DC
DNS
X
X
7. 确认复制是正常的
GC
DNS
DC
DNS
DC
DNS
X
通过复制进行
或者
通过IFM(Integrated File Management)
8. 把其他机器都升级为DC
森林恢复�完成恢复的步骤
恢复DNS的原始设置
添加l台新的GC和DNS服务器
修复出现问题的 用户/机器 的密码
把FSMO的角色转移到合适的DC上
恢复丢失的对象
修复出现问题的Exchange邮箱
修复其他在AD上运行的应用
删除掉在GC中标志为lingering那些对象
森林恢复�最佳实践
最好的方法就是对于能够迅速和准确的还原森林有一个很好的准备
编写一个符合贵公司实际情况的修复流程文档
把该修复流程分发给其他参与AD管理的人员,那些人员最好都通过实验室进行过修复流程的实际培训
准备好相关的符合贵公司AD部署环境的工具和脚本
议程
单台DC的恢复
多台DC的恢复
森林恢复
对象恢复
最佳备份实践
总结
对象恢复�问题描述和恢复
对象被误删除(OU)
或者进行了错误的修改
对象很难被重新建立
AD相关的复杂对象
拥有不同的GUID & SID
恢复方式
权威恢复
里程碑式
采用GPMC恢复被删除的GPO
对象恢复�权威恢复
启动DC进入DS restore mode
还原System State后,不要选择重启
然后运行Ntdsutil并且把object标志为