ActiveDirectory灾难恢复.docx

ActiveDirectory灾难恢复.docx

《ActiveDirectory灾难恢复.docx》由会员分享，可在线阅读，更多相关《ActiveDirectory灾难恢复.docx（48页珍藏版）》请在冰豆网上搜索。

ActiveDirectory灾难恢复

ActiveDirectory灾难恢复

ActiveDirectory服务以及保证其顺利运行所需的系统是Windows2000Server操作系统的核心。

系统管理员必须了解如何使这些关键的系统保持正常运行，以及在出现故障时如何采取应对措施。

在ActiveDirectory基础结构中，域控制器可以充当多种角色—全局编录（GC）、操作主机（OM）以及单一域控制器。

本文中介绍了在出现故障后恢复ActiveDirectory数据库的步骤，而且还介绍了将服务器还原为特定角色所必需的特殊要求。

引言

本文讨论将域控制器从灾难状态（例如由于硬件或软件故障引起的数据库故障）进行恢复的步骤。

此类灾难通常会导致域控制器失效，而且会使计算机无法正常引导。

导致灾难的另一个原因是人为因素，例如将包含错误的数据复制到公司的其它域控制器上。

本文提供有关对运行ActiveDirectory的域控制器（不运行其它服务）进行恢复的信息。

如果该计算机上还安装有其它服务，例如域名系统（DNS）或Internet信息服务（IIS），则可能还需要其它步骤，但是这些步骤不包括在本文中。

本文中的大多数示例都是基于Windows2000备份实用程序（ntbackup.exe）的，该程序是Windows2000中附带的默认备份应用程序。

有关该工具的更多信息，可以在附录IV中找到。

用户可以有自己喜欢的备份应用程序，但是本文中的内容仍然适用。

本文不讨论涉及ActiveDirectory的故障排除问题。

而是用于解决如下情况：

所有的故障排除手段都已经失败，并且ActiveDirectory无法正常运行，在这种情况下用户无法将域管理器引导到正常模式。

本文假定用户具有关于ActiveDirectory及其相关组件的预备知识。

有关ActiveDirectory的信息，请阅读Windows2000ServerResourceKit中的DistributedSystemsGuide一书。

系统管理员可以使用本文中的信息来制定灾难恢复规划，但是本文还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合。

ActiveDirectory概述

ActiveDirectory服务是Windows2000的目录服务。

它是操作系统的核心组件，为企业和操作系统中的其它组件提供基本数据。

ActiveDirectory为管理员提供组织网络资源，管理用户、计算机和应用程序所需要的中心服务。

在ActiveDirectory中可以存储许多不同的对象，包括：

用户。

组。

安全凭据，例如证书。

系统资源，例如计算机（或服务器）和打印机。

复制组件，设置本身也是ActiveDirectory中的对象。

COM组件配置，以前它存储在WindowsNT中的注册表中，现在则存储在ActiveDirectory的类中。

控制工作环境的规则和策略。

下面的图1描述了集中存储在ActiveDirectory中的许多不同对象。

图1可以存储在ActiveDirectory中的许多不同对象。

ActiveDirectory数据库

ActiveDirectory是一个事务处理数据库系统，它使用日志文件来支持回滚语法，从而确保将事务提交到数据库中。

与ActiveDirectory关联的文件包括：

Ntds.dit—数据库。

Edbxxxxx.log—事务日志。

Edb.chk—检查点文件。

Res1.log和Res2.log—预留的日志文件。

Ntds.dit会随着数据库的填充而不断增大。

但是，日志的大小却是固定的（10MB）。

对数据库进行的任何更改都会被追加到当前的日志文件中，而且其磁盘映像会不断保持更新。

Edb.log是当前的日志文件。

对数据库进行更改后，会将该更改写入到Edb.log文件中。

当Edb.log文件充满事务之后，它会被重新命名为Edbxxxxx.log。

（从00001开始，并使用十六进制累加。

）由于ActiveDirectory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。

在任何时刻都可以找到edb.log文件，而且还可能有一个或多个Edbxxxxx.log文件。

Res1.log和Res2.log是“占位符”—用来在此驱动器上预留（在此情况下）最后的20MB磁盘空间。

这是为了给日志文件提供足够的空间，以便在其它所有磁盘空间都已使用的情况下可以正常关机。

Edb.chk文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。

出于性能考虑，日志文件应该位于数据库所在磁盘以外的其它磁盘上，以减少磁盘争用情况。

在进行备份时，可能会创建新的日志文件。

如前所述，由于要进行循环记录，所以需要删除该日志文件（如常规旧日志文件）。

ActiveDirectory服务器和角色

authenticationservice域控制器（DC）是上面驻留有域数据库并执行验证服务的服务器。

在Windows2000Server中，域数据库是ActiveDirectory数据库的一部分。

在Windows2000中，对象更改可以在该环境内的任何DC上执行，而不是象在WindowsNTServer4.0中那样，只能在主域控制器（PDC）上进行。

DC必须启动并执行复制操作，以确保环境中的所有DC上都驻留有当前和正确的目录版本。

另外，在特定目录林中的所有域控制器上都驻留有目录林配置和架构容器的副本。

域控制器还可以作为全局编录或充当如下所述的特定角色。

为应对可能出现的故障情况，知道特定DC是一个GC还是承担了操作主机角色非常重要，因为只有这样才能采取正确的行动。

全局编录

全局编录的主要功能是在整个ActiveDirectory目录林内进行快速和有效的搜索。

GC拥有它所属的域中所有对象的可读/写的完全副本，以及目录林中其它每一个域中的只读部分副本（所有对象，但不包括部分属性集）。

因此，全局编录使目录林内的目录结构对于最终用户而言是透明的，从而为用户创造了一个使得在目录中查找对象变得简单和有效的搜索机制。

另外，为在本机Windows2000域中进行通用组成员和用户主要名称（UPN）枚举，也需要全局编录。

因此，如果DC不能在客户端登录时联系到GC，则客户端将只接收到缓存的本地登录凭据，而对远程资源进行的访问将被拒绝。

注意若要知道DC是否为全局编录服务器，请查看站点和服务管理单元中的ntdsDSA对象的属性。

（在域控制器的Ntds设置上单击鼠标右键，然后选择属性。

）如果选中全局编录复选框，则该DC就是一台全局编录服务器。

可以在任何现用的DC上查看该管理单元，以检查出现故障的DC是否为GC。

操作主机服务器

ActiveDirectory支持多主机更新。

在每一个DC上都驻留有其目录分区的可读/写版本。

因此，ActiveDirectory必须可以进行存在冲突的更改，例如在不同的DC上同时对目录中同一对象进行的更改。

ActiveDirectory使用定义完善的冲突解决方法，从而使所有的DC最终都趋近相同的值。

尽管具有该定义完善的方法，但有时防止出现冲突比在出现问题之后解决冲突要好。

在冲突解决方法不适用时，ActiveDirectory中的操作主机会防止进行冲突更新。

ActiveDirectory定义了五种操作主机角色：

架构主机

域命名主机

相对标识号（RID）主机

主域控制器模拟器（PDCE）

基础结构主机

架构主机和域命名主机是按目录林分配的角色，表示在整个目录林中只有一个架构主机和一个域命名主机。

其它操作主机角色都是按照域分配的角色，表示目录林中的每一个域都有自己的RID主机、PDCE和基础结构主机。

若要检查哪一台DC具有域命名主机角色，请打开“域和信任”管理单元。

若要检查架构主机，请打开“架构”管理单元。

对于任意按照域分配的角色，请检查“用户和计算机”管理单元。

在每一个管理单元的最高层容器（在左侧窗格中），单击鼠标右键并选择操作主机。

“架构”管理单元不是随Windows2000Server一起提供的默认MMC管理单元。

若要使它出现在可用管理单元列表中，必须从Windows2000ServerCD中安装管理工具软件包（Adminpak.msi）。

若要注册“架构”管理单元，请在命令提示符下或在开始菜单上的运行命令中键入Regsvr32schmmgmt.dll。

架构主机

具有架构主机角色的DC是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

域命名主机

具有域命名主机角色的DC是可以执行以下任务的唯一DC：

向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号（RID）主机

此操作主机负责向其它DC分配RID池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID与域范围内的标识符相结合，以创建唯一的安全标识符（SID）。

每一个Windows2000DC都会收到用于创建对象的RID池（默认为512）。

RID主机通过分配不同的池来确保这些ID在每一个DC上都是唯一的。

通过RID主机，还可以在同一目录林中的不同域之间移动所有对象。

PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许WindowsNT4.0备份域控制器（BDC）加入到新的Windows2000环境。

本机Windows2000环境将密码更改转发到PDCE。

每当DC验证密码失败后，它会与PDCE取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC中。

时间同步—目录林中各个域的PDCE都会与目录林的根域中的PDCE进行同步。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。

当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符（GUID）、安全标识符（SID）和可分辨的名称（DN）。

如果被引用的对象移动，则在域中担当结构主机角色的DC会负责更新该域中跨域对象引用中的SID和DN。

ActiveDirectory复制

由于Windows2000DC拥有其所在域中的所有对象的副本，并且具有这些对象的读/写权限，所以通过该域中的任一DC都可以对该域进行管理。

这些操作会影响对象的状态，因此必须要将这些操作复制到其它DC中。

复制是在DC中传播对象更新的过程。

已更改对象的复制并不会立即执行。

在一段时间后，复制操作会触发，该操作将收集所有的更改并将这些信息提供给集合中的其它DC。

因此在正常操作中，可以认为任何DC上的ActiveDirectory始终处于松散的一致状态。

也就是说，由于复制更改可能正处在从其它DC传送的过程中或正在等待触发，所以有关Windows2000环境中所有DC的信息很可能是不同的。

最终，这些更改会到达，每一个DC会与其它DC同步。

在考虑ActiveDirectory的恢复技术时，复制和松散一致性是非常重要的概念。

ActiveDirectory备份

ActiveDirectory灾难恢复规划的一个重要部分，是理解ActiveDirectory备份的含义和注意事项。

系统状态

ActiveDirectory会被作为系统状态的一部分进行备份，而系统状态是相互依赖的系统组件的集合。

这些组件必须一起备份（和还原）。

组成域控制器上系统状态的组件包括：

系统启动文件（引导文件）。

这些文件是引导Windows2000所必需的文件。

它们会作为系统状态的一部分自动进行备份。

系统注册表。

当您备份系统状态数据时，会自动备份注册表的内容。

另外，注册表文件的副本保存在%SystemRoot%\Repair\Regback文件夹中，您可还原注册表，而不用还原整个系统状态。

COM+的类注册数据库。

组件对象模型（COM）是一个二进制标准，用于在分布式系统环境中编写组件软件。

组件服务类注册数据库与系统状态数据一起进行备份和还原。

SYSVOL。

系统卷为那些必须在域中共享以供访问的文件，提供默认的ActiveDirectory位置。

域控制器上的SYSVOL文件夹包括以下内容：

NetLogon共享。

（其中通常驻留着用于基于非Windows2000网络客户端的登录脚本和策略对象。

）

文件系统联接。

基于Windows2000Professional的客户端以及运行Windows95、Windows98或WindowsNT4.0的客户端的用户登录脚本。

Windows2000组策略。

需要在域控制器上可用并需要在域控制器间同步的文件复制服务（FRS）分段目录和文件。

ActiveDirectory。

包括：

Ntds.dit。

ActiveDirectory数据库。

Edb.chk。

检查点文件。

Edb*.log。

事务日志；每一个大小为10MB。

Res1.log和Res2.log。

预留的事务日志。

注意如果您具有集成ActiveDirectory的DNS，则区域数据会作为ActiveDirectory数据库的一部分进行备份。

如果您没有集成ActiveDirectory的DNS，则区域文件必须单独进行备份。

但是，如果您与系统状态一起备份系统磁盘，则该数据会作为系统磁盘的一部分进行备份。

如果域控制器上安装了群集服务或证书服务，则它们会作为系统状态的一部分进行备份。

这些组件的详细信息不属于本文的讨论范围。

备份类型

Windows2000中的备份工具支持多种类型的备份，包括：

普通备份

副本备份

增量备份

差异备份

每日备份

但是，由于ActiveDirectory作为系统状态的一部分进行备份，所以ActiveDirectory可用的备份类型只有普通备份。

在域控制器联机时，普通备份会创建整个系统状态的备份。

另外，它还会将每一个文件都标记为已备份，这样就会清除文件的存档属性。

什么才算是好的备份？

为确保能从备份中成功进行还原，了解什么备份才算是“好的备份”十分重要。

对于ActiveDirectory，必须考虑两件事情：

内容

时限

内容

备份的首要方面是它的内容。

好的备份至少包括系统状态、系统磁盘的内容以及SYSVOL文件夹（如果不在系统磁盘上）。

如前所述，系统状态包括许多用于还原域控制器的关键文件和设置。

备份系统磁盘和SYSVOL文件夹结构，可确保成功还原所需的所有系统文件和文件夹都位于备份中。

注意为获得最佳性能，ActiveDirectory的日志和数据库文件应位于单独的磁盘中。

如果您是按这种方式配置DC的，则ActiveDirectory的各个组件会分散在多个驱动器中，例如D:

\Winnt\NTDS用于存储日志，而E:

\Winnt\NTDS用于存储数据库。

由于ActiveDirectory日志文件和数据库作为系统状态的一部分进行备份，所以只须备份系统磁盘和系统状态，即可获得一个好的备份，即使是在这种分布式安装的情况下。

时限

如果备份的时限超出在ActiveDirectory中设置的逻辑删除时限，则该备份就不能算是一个好的备份。

在Windows2000中删除一个对象后，在其上删除了该对象的DC会通过称为“逻辑删除”的复制来通知环境中的其它DC，告知它们已执行了此次删除操作。

逻辑删除表示已删除的、但并没有完全从目录中删除的对象。

根据逻辑删除存留时间设置（默认设置为60天），最终会删除该逻辑删除。

如果将DC还原到对象删除之前的状态，而在该对象的逻辑删除到期之前，没有将该逻辑删除复制到已还原的DC上，则该对象只在该还原DC上存在，这样就会导致不一致的情况。

因此，必须在逻辑删除到期之前还原该DC，而且要保证在该逻辑删除到期之前，完成从包含该逻辑删除的DC中到已还原的DC的入站复制。

ActiveDirectory可以通过禁止执行还原操作，来防止其自身还原比逻辑删除存留时间长的数据。

因此，备份的可用时限与企业的“逻辑删除存留时间”设置相等。

出于这种考虑，备份的间隔应该是在逻辑删除存留时间内至少有一次。

但是，Microsoft强烈建议管理员要更加频繁地备份系统状态和系统磁盘，以确保在任何给定的时间都有包含最新版本数据的备份。

重要信息某一DC的备份数据只能用于还原该DC。

不能使用一个DC的备份来还原另一个DC。

为确保对环境进行彻底的备份，必须对每一个域控制器都进行备份。

在制定备份策略时应切记这一点。

最低的要求是要备份所有的OM角色和GC。

而且，始终要备份根域中的第一个域控制器。

所需权限

在Windows2000中，备份和还原权限是相互独立的。

要想备份ActiveDirectory，您必须是BackupOperators或Administrators组的成员。

备份性能

了解备份某一活动DC所需的时间，是确定企业最佳备份策略的重要方面。

为便于理解这一点，下面的图2说明了备份不同大小的ActiveDirectory数据库所需的表征时间。

由于在DC联机时对域控制器进行备份，在这种情况下，时间不应是主要考虑因素。

但是，建议不要将备份安排在高峰期进行，因为这样会影响域控制器进行其它活动的性能。

在下面提及的测试中备份的数据只针对系统状态。

由于好备份的定义还包括系统磁盘和SYSVOL的备份，所以根据附加文件的大小，好备份所需的时间会稍稍长一些。

此外，所需要的时间可能会根据磁带驱动器速度和系统配置的不同而不同。

图2备份不同大小的ActiveDirectory数据库所需的时间。

ActiveDirectory灾难恢复流程图

本文的以下篇幅将带您完成实施涉及ActiveDirectory灾难恢复规划的概念所需的步骤和注意事项。

图3、4、5和6是这些步骤的示意图。

在下面几页将详细说明这些步骤。

注意下面的流程图并没有说明每一种灾难情况。

而是说明可用的做法及其正确的用法。

灾难类型

在面临灾难时，必须首先确定灾难的类型。

本文主要介绍两种灾难的故障排除方法：

数据库损坏—在这种情况下发生以下几种情况之一：

磁盘损坏，例如由于电源故障和坏电池而导致没有保存写回缓存。

域控制器出现严重的硬件故障，需要进行更换。

软件故障使得计算机无法以正常模式进行引导。

数据损坏—在这种情况下，管理员或具有适当权限的某个人意外地删除了某一对象，而且该删除操作已经复制到环境中的其它DC。

图3灾难恢复方案

图4磁盘损坏灾难恢复步骤。

图5域控制器硬件故障灾难恢复步骤。

图6数据损坏灾难恢复步骤。

恢复ActiveDirectory

还原Windows2000DC的方法主要有两种：

通过重新安装进行还原。

从备份中进行还原。

本节将详细介绍执行这些操作的步骤以及与之相关联的注意事项。

通过重新安装进行还原

此方法依赖ActiveDirectory复制将DC还原到工作状态，而且只有在同一域中存在另一台运行正常的DC时此方法才有效。

一旦安装了Windows2000操作系统，则该计算机在故障发生之前又一次被提升为所在域的DC。

在此过程中，在常规（提升过程）DCPROMO操作时执行复制操作，以确保该DC具有ActiveDirectory数据库的最新而且正确的副本。

建议只有在没有域控制器的好备份可用的情况下才采用此方法。

通过重新安装还原DC的注意事项

带宽问题

通过复制操作恢复DC的主要问题是带宽。

通过复制操作还原DC所需的带宽与ActiveDirectory数据库的大小以及需要该DC处于正常工作状态的时间直接相关。

下面的图7说明了在不同网络速度下将一个新DC复制到现有域中所需的时间。

本次测试中使用的ActiveDirectory数据库ntds.dit的大小为2GB。

注意用来收集数据的系统是CompaqProliant1600s，其配置为双PentiumII266Mhz处理器、256MBRAM和一个硬盘驱动器。

使用不同的系统可能会影响测试结果，但是其总体趋势应该是一致的。

图7在不同网络带宽的情况下复制2GB数据库所需的时间。

通过重新安装还原DC所需的步骤

通过重新安装进行恢复的步骤和创建新DC的步骤相同。

要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。

理想情况下，此DC应该和要复制的DC（新的DC）位于同一ActiveDirectory站点中，以减少网络的影响和与此方法相关的还原次数。

有关带宽对此还原方法的影响的详细信息，请参见上面的图7。

此过程中的步骤有：

清除操作，例如从ActiveDirectory中删除出现故障的DC对象。

安装全新的Windows2000Server副本。

运行DCpromo.exe（AD安装工具），以将此计算机提升为域控制器角色。

清理操作如下所述。

步骤2和步骤3是在阅读本文时假设您已具备的知识。

有关提升过程的更多信息，可以在Windows2000ServerResourceKit的DistributedSystemsGuide中获得。

清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：

在命令行中，键入ntdsutil。

在ntdsutil:

提示符下键入metadatacleanup，然后按Enter键。

现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

在metadatacleanup提示符下键入connections，然后按Enter键。

键入connecttoserver<服务器名>，然后按Enter键。

其中<服务器名>是从其上清除元数据的DC（同一域中的任何工作正常的DC）。

键入quit，然后按Enter键。

将返回元数据清除菜单。

键入selectoperationtarget，然后按Enter键。

键入list