只适用WindowsServer2003获取FSMO的角色-Microsoft.PPT

WIN 310活动目录的恢复策略 苏永锐 Windows技术专家 技术服务部 微软有限公司 本次议题的价值 从还原了解备份的重要性和策略 从各种灾难情况下恢复AD的最佳实践 课程要求 对以下工具的使用或概念都比较了解 Repadmin GPMC Ntdsutil System Status backup RID，SID 五个FSMO roles GC,DC 议程 单台DC的恢复 多台DC的恢复 森林恢复 对象恢复 最佳备份实践 总结 单台DC的恢复问题描述 因为AD错误或者硬件出错损失了DC AD信息变化产生后无法复制到其他DC上 FSMO/GC/DNS角色的失效 其他DC负荷的提高 单台DC的恢复恢复方式 方式 I: 使用该DC原有备份文件恢复DC 使用DSRM模式启动OS或者重新安装OS 使用备份文件还原系统 重启机器 方式 II: 升级为DC 强制DC降级或者重新安装OS 从其他旧DC上删除Metadata 安装AD: 通过复制自动完成 从备份文件还原(只适用Windows Server 2003) 获取FSMO的角色(如果需要的话) 单台DC的恢复方式 I vs. 方式 II 方式 I 恢复速度比依靠复制的恢复要快 需要的操作较少 不需要dcpromo; 不需要清理metadata 不要求获取FSMO的角色(除非机器已经出了问题很长时间) 方式 II 不需要对该DC有很好的备份，但需要有多台DC 可适用于不同的硬件 单台DC的恢复最佳实践 保证即使有一台DC失去作用后，仍有足够的DC可以应付客户端的访问负荷 保证可以快速访问到备份的媒体 把最近的一个备份文件保存在磁盘 保证有一个已经定义好并且已经经过维护人员预演过的恢复流程 保证知道DSRM模式下的密码(或有OS的安装光盘) 知道该机器担任了FSMO的哪个角色 知道该机器安装了哪些应用和服务 议程 单台DC的恢复 多台DC的恢复 森林恢复 对象恢复 最佳备份实践 总结 多台DC恢复问题描述 在一个domain里面失去了不止一台DC (潜在影响整个domain) 物理站点由于突发事件，部分或全部被破坏掉(比如火灾) 暂时性地失去某个站点的控制 客户端需要去找其他DC（可能存在于其他站点） 多台DC恢复恢复方式 像单台DC的还原方式一样，只是做多次重复操作 如果整个domain被彻底破坏，请执行下面的额外步骤进行恢复 在还原操作中，需要把其中一台DC的SYSVOL设置为“primary” 这样可以让SYSVOL的数据强制推送到其他DC 把RID计数池的数值设置为一个大一点的数值 让新的安全策略能得到新的SIDs 多台DC恢复最佳实践 提供冗余的DC保存整个domain的信息，并且这些DC不要都放在同一个物理区域 对于每个domain，在不同的物理区域都要有多台DC（GC）的备份 保存备份的地方最好可以是异地 最好有相同硬件配置的可用机器做后备 保证有一个可行的操作流程和一份企业AD环境的拷贝 议程 单台DC的恢复 多台DC的恢复 森林恢复 对象恢复 最佳备份实践 总结 森林恢复问题描述 在这个森林里面的 每台 DC 都因为复制失败的问题而受到“影响” 受影响的DC可以提供部分服务，甚至有些根本不能提供任何服务 正常工作的森林 发生灾难 错误被复制 错误被复制到其他站点 错误通过复制在森林中蔓延 整个森林全部受影响 森林恢复需要考虑的问题 错误可以从受影响的DC复制到还原后的DC上，导致恢复失败 在还原后的DC被放上网络前，不能关掉所有受影响的DC 每个domain需要从备份中还原出一台可正常使用的DC，因为 避免出现恢复后，无法使用，需要重新恢复的情况 备份需要在每台还原的DC上成功进行测试 多台DC会被独立启动 必须保证在每台DC上还原后，都进行正确性测试 森林恢复需要考虑的问题 不能选择了一个有错误产生后进行的备份 如果该AD集成了DNS，最好的备份就是，它也是一台DNS服务器 还原至少一台GC，因为没有GC: 用户和计算机无法正常获得认证 无法安装DC 无法安全的进行动态DNS更新 MS Exchange无法正常提供服务 还原一台GC可以被用于在稍后去清除那些旧有的对象 受影响的森林 1. 校验备份 2. 选择一个最适合的备份 3. 把该DC隔离开来准备还原 4. 还原隔离起来的DC 4. 恢复其他隔离的DC 5. 从受影响的DC上把AD移除 6. 把隔离起来的DC放到网上 7. 确认复制是正常的 8. 把其他机器都升级为DC 森林恢复完成恢复的步骤 恢复DNS的原始设置 添加l台新的GC和DNS服务器 修复出现问题的 用户/机器 的密码 把FSMO的角色转移到合适的DC上 恢复丢失的对象 修复出现问题的Exchange邮箱 修复其他在A