活动目录概念和灾难恢复

1、什么是活动目录？ AD是一种事务性数据库，它是一种预先写入记录的模式，使用了ESE97的技术。在磁盘上，AD显示为几个文件，它们是ntds.dit（AD数据库），一组交易记录（即日志）和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词，它包括有目录数据存储和可以让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢？目录可提供企业网络全部重要数据的一个集中存放区域，这些数据包括用户账户、计算机、打印机、应用程序、安全性与系统原则等各类资源。将大部分的重要的资源集中的放在某个共享的网络资源中，这样一来能够改善企业的效率与大幅减小网络的总拥有成本（TCO）。WIN 2K的目录服务使用的是多控制器模式，也就是说，能够在任意的一个控制器上修改目录资源。因此，从上咱们能够得知，AD实际是个数据库，而每一个DC都是重要的数据库服务器，因此，咱们应象保护重要数据库同样来保护DC。 2、活动目录的几个概念 一、域：一个安全边界。 二、树：多个域的集合。 三、林：多个有关联的树。 四、DNS：通向AD的网关。DNS中的服务记录，是应用系统查询AD的根本所在。 五、GC：一个常常被查询的AD对象的索引。在本机模式下，GC参与网络客户端的登陆请求处理，提供通用组成员资格，出非域管理员组成员，才能够不须要GC的协助登陆网络。在混合模式下，GC就不参与登陆处理了但GC对网络中进行目录查询与搜寻仍旧很重要。 六、操做主机：虽然多控制器模式是AD的核心功能，但多服务器之间的潜在冲突也使这样的方式运做出在必定的不适用性，为了解决这一问题，AD选择了一些特殊的机器来担任特殊的角色。每一个角色负责处理特定AD区域的改变。 3、AD的维护和备份 一、AD的维护：经过性能监视工具监视AD的运行状态和组件状态，能够有效的发现AD故障并及时解决。 二、AD的备份：AD能够经过备份系统状态来备份，你能够在系统工具里找到备份工具来完成此工做，也可使用第三方软件来实现。但要注意备份AD的一些约束条件： * AD只备份当前有效的数据，对于已经标记删除的对象，不备份。而AD中的对象删除并非当即的，须要有60天的删除标记时间。所以，应避免恢复60天前的AD备份，以避免致使AD不完整。 * AD的备份类型没法选择，只能使用彻底备份。 * 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。 * 你只能用原服务器的备份来恢复该服务器，不能用另外一台服务器的备份恢复该服务器。 三、AD的整理：AD系统默认每12小时会运行自动在线整理一次。可是在线整理不能减小数据库的大小，要减小数据库的大小，须要使用离线整理，其操做为： 在DC启动的时候，按F8进入启动菜单，选择“目录恢复模式：进入系统，在命令行下输入以下命令。 ntdsutil files info 注意此时输出的目录文件路径！ comnpact to c:\mydir 经过这个命令将在指定目录下的创建一个压缩后的数据库文件。 quit两次，退出工具。 接下来，你须要用压缩后的文件替换原始的文件。并从新启动计算机 4、AD的架构 AD的架构是以结构化的方式定义的数据组成，它经过描述元数据来定义这些结构，一般包括属性名称、类型、长度、关系等。看起来，有点象关系数据库里的字段定义。同时还包括一些扩展的属性。包括： 一、命名上下文：有三个，它们是域命名上下文（保存当前AD域的数据），配置命名上下文（保存主要基础对象和配置信息），架构命名上下文（保存定义了全部的AD对象和属性）。 二、类别：描述了AD对象及与之相关的特性和属性。 AD架构的管理：架构管理由架构主机角色控制，默认状况下看不到该管理单元，须要先注册.schmmgmt.dll，才能够在MMC里找到它。注册方法是运行：regsvr32 %systemroot%\system32\schmmgmt.dll。架构内容是禁止删除的。 5、AD的修理和恢复 一、AD的维护和修复，都是经过一个命令行工具--NTDSUTIL来实现的。修复命令为： ntdsutil repair 二、AD的恢复 恢复模式：AD有两种恢复模式--受权恢复和非受权恢复，其区别在于： 1）受权恢复：当其余的域控制器包含了无效的复制和数据时，能够采用受权恢复方式，这种状况下，你能够手工指定你要恢复整个数据库或某个分支，并指定本地的恢复操做是权威的。所谓的权威，就是当发生目录复制时，以本地数据为准。受权恢复要修改AD的升级序号，这样它的序号就高于其余的DC了，从而使本地的恢复数据能复制给其余的DC。 2）非受权恢复：大多数的恢复操做都是非受权的。当你发现一台DC的数据有问题，而确信其余的DC数据是正常的，就可使用非受权恢复。恢复完成后，DC会从新比较升级序号并参与正常的复制。也就是说，经过非受权恢复的数据可能在复制中被再次改写。 注意点： 若是你没有达到如下要求，恢复操做一定失败 * 服务器名趁应和备份时同样 * 系统文件夹所在驱动器应与备份时相同 * 目录保存路径应和备份时相同 三、恢复的操做 1）非受权恢复：启动DC，进入”目录恢复模式“，执行备份的还原操做。 2）受权恢复：在执行完非受权恢复后，继续如下操做： * ntdsutil authoritative restore restore database 该命令将受权还原整个数据库，若是只想还原某个分支，能够用： restore subtree ou=eng,dc=mycompany,dc=com 系统提示是否正确，回答YES。 quit退出。 注意：在恢复完成后，系统会自动的提示是否须要从新启动服务器，受权恢复必定要选择”NO“，不然一旦服务器从新启动，本次受权恢复就会变成非受权恢复了。另外，须要注意的是，受权恢复一同还原了SYSVOL文件目录，当计算机账户没有禁用时，系统会每7天查询确认一次计算机密码，受权恢复一样也还原了这一信任密码，有可能会致使计算机信任关系丢失，这也须要注意。 四、AD的灾难性恢复处理 1）从新安装恢复AD 还原AD的最简单方法是从新安装操做系统，从新提高DC。这样就产生了一个新的DC，但要考虑一个问题，若是原DC的数据已经损坏，咱们将没法使用DCPROMO命令删除该DC上的AD数据，这样就可能致使AD数据的不一样步性，并且更糟糕的是，在AD用户和计算机的管理单元里，你也不能删除DC对象。这是你只能从”AD站点和服务“里先删除该服务器，才能删除该DC。若是你不幸的须要新的DC和原来的DC同样的名字，那么你必须先使用NTDSUTIL命令删除AD里的对象信息后，才能创建新的DC。具体操做以下： ntdsutil metadata cleanup connections connect to server quit select operation target list site select site list domains select domain list servers in site select server remove selected server 以上命令，就能够删除坏掉的DC信息。更详细的资料，请参考NTDSUTIL的帮助，执行NTDSUTIL ？便可阅读帮助信息。 注意：在删除原DC以前，应确认原DC上不包含任何角色，若是有，请使用NTDSUTIL命令夺取角色，方法以下： ntdsutil roles Seize domain naming master - 在已链接的服务器上改写域角色 Seize infrastructure master - 在已链接的服务器上改写结构角色 Seize PDC - 在已链接的服务器上改写 PDC 角色 Seize RID master - 在已链接的服务器上改写 RID 角色 Seize schema master - 在已链接的服务器上改写架构角色 被夺取角色的DC在没有从新安装操做系统前，不能从新连入网络！！ 2）从备份中还原AD 从备份文件恢复AD是很是适合的。但要注意使用的还原模式，若是因恢复错误操做的信息，应记得使用受权恢复模式。 注意点： * 过时的备份：前面咱们提到，AD的备份不能还原60天前的数据，若是你须要还原60天的备份，须要按KB216993要求修改全局标记时间后才能还原。其的位置在AD里的 CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM，名称为：tombstoneLifetime，该操做须要直接编辑AD数据，可以使用ADSI，LDP等工具。 注意：请慎重操做！ * 不一样硬件下还原：一般状况，不建议你将AD的备份还原到不一样的硬件上，除非你确认新机器和原机器的硬件基本一直，并使用一样的硬件抽象层文件（HAL）。 * 远程备份和还原：在BOOT.INI文件后，能够加上/safeboot:dsrepair命令选项，引导远程机器进入恢复模式。 五、结语 本文简单的描述了活动目录的总体概念和基本理论，并重点阐述了AD的备份和恢复技巧和操做，以及灾难性的恢复手段。 附录：NTDSUTIL的帮助 ntdsutil: ? ? - 打印这个帮助信息 Authoritative restore - 权威性的恢复 DIT 数据库 Domain management - 准备新域建立 Files - 管理 NTDS 数据库文件 Help - 打印这个帮助信息 IPDeny List - 管理 LDAP IP 否定列表 LDAP policies - 管理 LDAP 协议策略 Metadata cleanup - 清理不使用的服务器的对象 Popups %s - 用“on”或“off”启用或禁用弹出 Quit - 退出实用程序 Roles - 管理 NTDS 角色全部者令牌 Security account management - 管理安全账户数据库 - 复制 SID 清理 Semantic database analysis - 语法检查器