繼上文Active Directory災難恢復詳解一之后，本文接著介紹有關Active Directory進行災難恢復的相關內容。

執(zhí)行非權威還原

從備份還原已刪除的 Active Directory 對象分為兩步：首先，重新啟動 DC 進入目錄服務還原模式 (DSRM)，然后使用 Windows NTBACKUP 實用程序或同等的第三方產品從系統(tǒng)狀態(tài)備份還原整個 Active Directory DIT。此過程將覆蓋整個 DIT。

有兩種方法可以啟動 DC 進入 DSRM：如果對 DC 的系統(tǒng)控制臺有訪問權限，關閉并重新啟動 DC，當提示時按 F8 引出 Windows 啟動菜單。從菜單中選擇“目錄服務還原”然后輸入 DSRM 密碼。

如果遠程管理該服務器，則不能訪問 Windows 啟動菜單。替代方法是，通過從“我的電腦”選擇“屬性”，單擊“高級”選項卡，然后按“啟動和恢復”下方的“設置”按鈕，更改系統(tǒng)啟動選項。按“系統(tǒng)”啟動區(qū)中的“編輯”按鈕編輯 boot.ini 文件，然后添加開關 /SAFEBOOT:DSREPAIR 到行尾，如圖 3 所示。（有關 boot.ini 開關的詳細信息，請參閱 microsoft.com/technet/ sysinternals/information/bootini.mspx。）

 

圖 3設置 DSRM 的啟動選項 (單擊該圖像獲得較大視圖)

重新啟動服務器時，它將在 DSRM 中出現(xiàn)。請記住，當您要以正常模式重新啟動 DC 時，必須從 boot.ini 刪除 /SAFEBOOT 開關。

一旦使用 DSRM 密碼登錄后，就可以再次使用 NTBACKUP 命令還原系統(tǒng)狀態(tài)備份而無需指定任何參數(shù)。（不能從命令行使用 NTBACKUP 還原。）當向導出現(xiàn)時，選擇“還原文件和設置”，然后單擊“下一步”。然后選擇備份文件并選中“系統(tǒng)狀態(tài)”框，如圖 4 所示。

圖 4使用“備份或還原向導”還原系統(tǒng)狀態(tài) (單擊該圖像獲得較大視圖)

如果想在此時啟動 DC 返回正常模式，Active Directory 復制進程將把還原的域控制器帶回與域中其他 DC 的同步當中，所有還原的數(shù)據(jù)也將被當前數(shù)據(jù)覆蓋。顯然，這不是您的目標。相反地，您需要一種方法將被還原的對象強制復制到域中的其他域控制器。

執(zhí)行權威還原

NTDSUTIL 還會在備份日期和還原日期之間的每天將每個屬性的版本號增加 100,000。除非屬性在一天內更新的次數(shù)超過 100,000 次（極不可能出現(xiàn)的情形），還原屬性的版本號將遠大于其他 DC 所持有的版本號，而權威還原的對象將復制到其他 DC。其他從備份非權威還原的對象將最終被其他域控制器的現(xiàn)有數(shù)據(jù)覆蓋。

當完成非權威還原后，但重新啟動進入正常模式之前，使用 NTDSUTIL 程序執(zhí)行要恢復對象的權威還原。無論名稱如何，權威還原一個對象并不會“還原”該對象，它只是確保 Active Directory 將對象復制到其他 DC。要做到這一點，NTDSUTIL 將下一個可用的 USN 分配給對象屬性的本地 USN。這導致在下一次同步時將對象發(fā)送到復制伙伴。要還原單個對象，請確保 DC 以 DSRM 模式啟動，并按照如下步驟操作：

打開命令窗口，鍵入：

在 ntdsutil 提示符下鍵入：

在權威還原提示符下鍵入：

restore object “<DN of object to be restored>”

例如，如果想從 DRNET 域中的 Eng OU 還原 Molly Clark 帳戶，需要輸入：

restore object “CN=Molly Clark,OU=Eng,DC=DRNET,DC=com&rdquo

如果想權威還原整個目錄子樹（例如一個 OU），則需要如下輸入：

restore subtree “OU=Eng,DC=DRNET,DC=com”

（NTDSUTIL 還提供了一個還原數(shù)據(jù)庫命令用于權威還原整個域以及配置 NC 和架構 NC。還原整個域充滿了危險，并且我不建議您使用該選項。如果需要還原整個域，應該還原一個域控制器，然后再次提升域中的其他 DC，如“規(guī)劃 Active Directory 林恢復”中所述。
當提示時，確認權威還原應增加各對象及其屬性的版本號。

退出 ntdsutil（需要鍵入 quit 兩次）。

重新啟動 DC 進入正常 Active Directory 模式。

下一次當 DC 與其伙伴進行復制時，將復制您還原的用戶。但是還原用戶對象只解決了問題的一半。當引入諸如組及其成員之間的對象鏈接時，情況變得更復雜。在還原期間和還原后可能要面對一些基礎問題，在下面的幾節(jié)我將繼續(xù)介紹。

首先讓我們回顧一下當刪除具有后向鏈接的對象時發(fā)生的情形。假設您刪除了一個用戶對象，它是一個組或多個組的成員。每個具有該用戶對象副本的域控制器會將其轉換為一個 tombstone 并從鏈接表中刪除所有引用，因而也從用戶域中的所有組成員身份刪除了該用戶對象。（請記住，從組成員身份刪除用戶不是復制的更改，因為每個 DC 都在本地更新了組成員身份。組成員屬性的版本號和本地 USN 保持不變。）短時間之后，將從其他域的鏈接表中刪除幻影對象，再一次不更新組成員屬性的復制元數(shù)據(jù)。

當非權威還原用戶域中域控制器上的 DIT 時，將恢復用戶對象以及域中組內的所有組成員身份，因此還原的 DC 是本身一致的。當使用 NTDSUTIL 實用程序權威還原用戶時，用戶對象復制到域中所有其他 DC。

但是因為域中當前組的復制元數(shù)據(jù)未改變，還原的 DC 上組的成員屬性與其他 DC 上組的成員屬性不一致。通常情況下沒有可以使之聚合的方法。因此，將不會在域中其他 DC 上還原用戶的成員身份。

更多內容請點擊Active Directory災難恢復詳解三。

【編輯推薦】

1. Active Directory之目錄服務
2. Active Directory遷移工具ADMT
3. Exchange版本轉換基于Active Directory路由
4. 如何實現(xiàn)Active Directory到Lotus Domino遷移？
5. Windows Server 2008 Active Directory域服務安裝