发布时间 : 星期一 文章AD常用命令更新完毕开始阅读
Active Directory的还原
AD的修理和恢复
1、AD的维护和修复,都是通过一个命令行工具--NTDSUTIL来实现的。修复命令为: ntdsutil repair
2、AD的恢复
恢复模式:AD有两种恢复模式--授权恢复和非授权恢复,其区别在于:
1)授权恢复:当其他的域控制器包含了无效的复制和数据时,可以采用授权恢复方式,这种情况下,你可以手工指定你要恢复整个数据库或某个分支,并指定本地的恢复操作是权威的。所谓的权威,就是当发生目录复制时,以本地数据为准。授权恢复要修改AD的升级序号,这样它的序号就高于其他的DC了,从而使本地的恢复数据能复制给其他的DC。
2)非授权恢复:大多数的恢复操作都是非授权的。当你发现一台DC的数据有问题,而确信其他的DC数据是正常的,就可以使用非授权恢复。恢复完成后,DC会重新比较升级序号并参与正常的复制。也就是说,通过非授权恢复的数据可能在复制中被再次改写。
注意点:
如果你没有达到以下要求,恢复操作必定失败 * 服务器名趁应和备份时一样
* 系统文件夹所在驱动器应与备份时相同 * 目录保存路径应和备份时相同
3、恢复的操作
1)非授权恢复:启动DC,进入”目录恢复模式“,执行备份的还原操作。
2)授权恢复:在执行完非授权恢复后,继续以下操作: * ntdsutil
authoritative restore restore database
该命令将授权还原整个数据库,如果只想还原某个分支,可以用: restore subtree ou=eng,dc=mycompany,dc=com 系统提示是否正确,回答YES。 quit退出。
注意:在恢复完成后,系统会自动的提示是否需要重新启动服务器,授权恢复一定要选择”NO“,否则一旦服务器重新启动,本次授权恢复就会变成非授权恢复了。另外,需要注意的是,授权恢复一同还原了SYSVOL文件目录,当计算机帐户没有禁用时,系统会每7天查询确认一次计算机密码,授权恢复同样也还原了这一信任密码,有可能会导致计算机信任关系丢失,这也需要注意。
4、AD的灾难性恢复处理
1)重新安装恢复AD
还原AD的最简单方法是重新安装操作系统,重新提升DC。这样就产生了一个新的DC,但要考虑一个问题,如果原DC的数据已经损坏,我们将无法使用DCPROMO命令删除该DC上的AD数据,这样就可能导致AD数据的不同步性,而且更糟糕的是,在AD用户和计算机的管理单元里,你也不能删除DC对象。这是你只能从”AD站点和服务“里先删除该服务器,才能删除该DC。如果你不幸的需要新的DC和原来的DC一样的名字,那么你必须先使用NTDSUTIL命令删除AD里的对象信息后,才能建立新的DC。具体操作如下: ntdsutil
metadata cleanup connections
connect to server
select operation target list site
select site
select domain
以上命令,就可以删除坏掉的DC信息。更详细的资料,请参考
NTDSUTIL的帮助,执行NTDSUTIL ?即可阅读帮助信息。 注意:在删除原DC之前,应确认原DC上不包含任何角色,如果有,请使用NTDSUTIL命令夺取角色,方法如下: ntdsutil roles
Seize domain naming master - 在已连接的服务器上改写域角色
Seize infrastructure master - 在已连接的服务器上改写结构角色
Seize PDC - 在已连接的服务器上改写 PDC 角色 Seize RID master - 在已连接的服务器上改写 RID 角色 Seize schema master - 在已连接的服务器上改写架构角色 被夺取角色的DC在没有重新安装操作系统前,不能重新连入网络!!
2)从备份中还原AD
从备份文件恢复AD是非常适合的。但要注意使用的还原模式,如果因恢复错误操作的信息,应记得使用授权恢复模式。 注意点:
* 过期的备份:前面我们提到,AD的备份不能还原60天前的数据,如果你需要还原60天的备份,需要按KB216993要求修改全局标记时间后才能还原。其的位置在AD里的 CN=Directory
Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名称为:tombstoneLifetime,该操作需要直接编辑AD