AD灾难恢复情景及方案

【引子】

手机中熟悉的旋律响起，接起电话，传来的消息却让人非常不快：紧急故障，有客户处发生AD对象意外删除的灾难，共计百余计算机账号被误删，涉及全国范围诸多生产系统，如不及时处理，将形成大范围业务瘫痪。

刻不容缓，立刻“全副武装”直奔现场。通过几近通宵的鏖战，终于完成灾难恢复。

【思考】

AD做为企业IT基础架构管理的核心，其重要程度不言而喻。可以对AD灾难恢复场景进行冷静的对待及气定神闲的处理，无疑是揽大厦之将倾的重要功劳，也是对一位系统管理员的极大考验。

本文将结合诸多项目经验及AD的理论基础，分享AD管理中可能遇到的灾难场景以及应对策略。声明一点，本文讨论的前提条件是至少有两台DC的合理的AD架构，若是由于只有一台DC，形成部份状况下不可挽回的灾难，请自备香火烧香拜佛。

注：本文只讨论不一样的AD灾难场景，及应对思路，并不涉及技术细节，望读者朋友们，以全局为重，多想多练，关于技术细节的实现，将另外介绍。

一、场景一：误删除对象，有备份，但操做还没有通步至其余DC。

若是异致对象丢失的操做发现及时，还没有同步至其余DC，此时能及时切断该DC与其余DC的联系，则能够将故障限制在一台DC 上，只须要恢复备份（要进入目录服务还原模式），而后正常开机联网，让它与其余DC同步数据，则能够恢复故障。

二、场景二：误删除对象，有备份，操做已通步至其余DC。

一般状况下，当咱们发现AD对象损坏或丢失，都已经同步至其余DC，而此时，若是单纯的利用还原备份的方法，会致使失败。缘由为：被删除的对象的数据并非真正的被删除，而是有一个墓碑生存时间，而此时进行还原操做，还原后的DC是旧的未删除的对象，其余DC上面，是新的，已经被删除的对象，当数据同步时，按照后应用有效的原则，是会以被删除为准的，因此还原后的对象仍是会被删除。

此时，咱们须要一种还原方法，叫作受权还原，简单说，就是将还原回来的对象的版本号人为的提升，将其强行改成最新的数据，使其同步时做为权威数据。

受权还原的思路以下：

• 进入目录服务还原模式，还原备份（注意：不要选择受权还原AD数据库，以避免致使全部数据被还原到备份状态）；

• 还原成功后，不要重启DC，进入命令行工具，准备进行受权还原；

• 命令及关键参数以下：ntdsutil/authoritative restore

• 提示：必定要熟悉被还原对象的LDAP名称的语法。

三、场景三：误删除对象，但无备份。

对于无备份的对象还原，主要有两种解决方法：AD回收站和墓碑还原。

对于林功能级别低于Windows 2008R2的环境，还原无备份的AD对象则只能经过墓碑还原来完成，默认状况下，被删除的对象，会成为Tombstone对象，而这类对象会被删除除登陆名及SID之外的多数属性，包括密码，若是想要还原，则能够经过ldp.exe工具，修改以下两个属性便可：isdeleted、distinguishedname。

若是林功能级别达到windows 2008R2，强烈建议开启AD回收站功能，这样能够很是容易的实现AD对象的无损还原，若是服务器是Windows 2008R2，则AD回收站须要在Windows Powershell 中完成，若是服务器是Windows 2012及以上版本，AD回收站能够在图形界面下完成，就如同桌面系统传统的回收站同样方便。

关于AD回收站的几点注意事项：

 AD回收站一旦开启，则没法禁用；

 没法还原在AD回收站功能开启前，被删除的对象；

 须要林功能级别达到Windows 2008R2才能够开启该功能；

 开启AD回收站后，LDP工具则不能够再使用；

 AD回收站中的对象保留期限是180天。

四、场景四：DC损坏。

对于DC损坏，又没法快速修复的状况，能够考虑重建DC，可是原DC在数据中会成为垃圾数据，须要将其清理。

可使用命令ntdsutil来进行垃圾服务器对象清理，具体参数是metadatacleanup。若是清理的过程当中，发现被清理对象是操做主机，则会弹出提示框，并能够直接迁移操做主机角色。