详解2003活动目录域中执行非授权模式恢复
如果你的域控制器上的Active Directory不完整,而其他的是正常状态,你就可以通过执行非授权恢复来解决这个问题。你可以选择在线(目录服务同时在运行)或者离线(目录服务停止运行)的方式备份Active Directory数据库,但是你只能在目录服务停止的时候才能恢复。
http://wwww.99191.com
欢迎访问天下网管联盟
要恢复Active Directory需要进入特殊的启动模式。在Windows 2000启动的时候按下 F8,选择“目录服务恢复模式”,然后选择启动,然后Windows 2000将进入安全模式(Safe Mode),之后你就可以通过以下步骤把Active Directory恢复到域控制器上了。
1、以系统管理员或者备份操作员的身份登录Windows。
2、运行备份工具,从“欢迎菜单”中选择“还原向导”,选择“还原项目”,然后选中“系统状态”。在系统状态就包括了注册表、Active Directory和其他系统的关键组件。如果你没有指定文件的还原位置,恢复的系统状态将会替换调当前所有的系统状态文件。如果你指定了位置,Active Directory、证书服务数据库、COM+类库就不会恢复。
3、在完成恢复操作以后,就可以重新启动这台域控制器了。
重新启动之后,这台域控制器将会参与Active Directory的复制,会直接从其他的域控制器上接受最新的更新。在完成非授权恢复操作以后,恢复的数据(可能已经过时了)就可以与其他的同步了。
当你的域控制器停机或者是Active Directory数据库损坏的时候,就可以采用非授权恢复模式。采用非授权模式恢复的数据库会保持备份时原有的升级序号USN(Active Directory通过识别升级序号-USN来跟踪数据库的更新)。
为了减小数据库同步时对网络流量产生的影响,非授权恢复模式为数据库的复制提供了一个起始点(从备份的版本时候开始),只有在原来备份之后修改过的数据(而非整个目录服务数据库)会被复制。如果没有这个起始点的话,就必须复制整个目录服务数据库。还有一个简单的恢复办法,直接重新安装Windows 2000, 然后重新配置(通过运行Dcpromo.Exe)把她升级到域控制器,然后就可以通过Active Directory的复制得到当前最新的目录服务的数据库。
执行授权模式恢复
通过执行授权模式恢复,你可以把域控制器恢复到以前的一个特定的时间并且通知其它的复制伙伴复制经过授权的对象。比如当系统管理员误删除了一个包括很多用户的组织单元的时候,你就可以通过执行授权模式来恢复。通过执行授权模式恢复,第一你可以恢复Active Directory的信息,第二还可以通知域中的其他复制伙伴把这个刚刚恢复的数据库作为标准。
授权模式恢复要修改Active Directory对象的升级序号(USN),从而使每一个对象的版本都比域中其它的域控制器的要高。这样,才会通过Active Directory复制把恢复的对象复制到域中其他的域控制器中。
授权恢复模式的不同之处就在于,通过她可以使Active Directory对象恢复到以前备份的时刻去。正如前面提到的,这个功能对于在整个域内恢复被删除的Active Directory对象的时候是最有用的。例如如果你在误删除了一个Active Directory对象的时候,你就可以通过执行授权模式来恢复这个对象,并且通过Active Directory的复制把她复制到所有其它的域控制器中去。如果你没有采用授权模式来恢复的话,这个恢复的对象就不会通过Active Directory复制把她复制到其它的域控制器中去。原因在于你从以前的备份中恢复的对象的升级序号比域中其他的还要低还要旧,自然也就不会被复制了。
为了保证在恢复后,恢复的对象将被复制到所有其它的域控制器中去,你就必须通过运行Ntdsutil工具来指定使用授权模式恢复,表1列出了授权模式恢复的命令。
使用下列步骤来进行授权模式恢复:
1、打开命令提示符窗口(点击“开始”*“运行”,输入“cmd“ ),在命令符提示窗口中输入:
Ntdsutil
2、在Ntdsutil的提示符下,输入:
authoritative restore
这个命令意味着将进入授权恢复模式。在授权恢复模式提示符下,输入:
restore database
这个命令意味着将整个数据库的内容作为Active Directory复制的标准。同时你也可以选择只恢复数据库的一部分(比如只恢复其中的一个组织单元等)。如果要只恢复数据库的一部分,你必须使用轻量级目录访问协议(Lightweight Directory Access Protocol ,LDAP)的语句来指定授权恢复Active Directory的哪一个部分。例如现在我们只想在Mycompany.Com 中恢复一个叫做Engineering的组织单元的话,请输入如下的命令:
restore subtree ou=engineering,dc=mycompany,dc=com
3、当系统提示需要确认进行授权恢复操作时,回答:
Yes
然后输入:
Quit
回车两次,返回命令提示符状态下。然后就可以关闭这个命令提示符窗口了。
在Active Directory恢复完成后,系统会自动弹出消息框询问是否需要重新启动服务器。请一定记住选择“NO”,这个选择非常重要,否则这次授权恢复就会在服务器重新启动后变成非授权模式的恢复了,你不需要的垃圾数据就又会从其它的域控制器复制到你的计算机上。
还有,每次在进行授权模式恢复之后,Sysvol文件夹也一同被恢复了。这个过程保证了Sysvol和Active Directory的一致。最后,你也要注意到授权模式恢复同样存在几个潜在的问题。
其中一个问题就是关于账号的密码和域的信任关系。如果系统管理员没有禁用计算机账号的话,计算机会每隔7天确认一次。但是在你进行授权模式恢复之后,你同样也恢复了用于维护域之间的信任关系的密码。对于信任关系而言,这样的操作会造成无法与其他域的域控制器通讯。对于计算机帐户而言,这样的操作则会造成域的成员与服务器或者与控制器无法通讯。
在这篇文章中,我们深入了解了当Active Directory失败的时候,关于如何修理和恢复Active Directory的重要的概念和操作方法。然后又给出了一些建议,以帮助你提高服务器稳定性、可用性以及老板对你的信赖程度。
版权声明:原创作品,如需转载,请注明出处。否则将追究法律责任
本文转自9pc9com博客,原文链接:
http://blog.51cto.com/215363/788647
如需转载请自行联系原作者
