1 / 49

WIN 310 活动目录的恢复策略

WIN 310 活动目录的恢复策略. 苏永锐 Windows 技术专家 技术服务部 微软有限公司. 本次议题的价值. 从还原了解备份的重要性和策略 从各种灾难情况下恢复 AD 的最佳实践. 课程要求. 对以下工具的使用或概念都比较了解 Repadmin GPMC Ntdsutil System Status backup RID , SID 五个 FSMO roles GC,DC. 议程. 单台 DC 的恢复 多台 DC 的恢复 森林恢复 对象恢复 最佳备份实践 总结. 单台 DC 的恢复 问题描述.

fionan
Download Presentation

WIN 310 活动目录的恢复策略

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WIN 310活动目录的恢复策略 苏永锐 Windows技术专家 技术服务部 微软有限公司

  2. 本次议题的价值 • 从还原了解备份的重要性和策略 • 从各种灾难情况下恢复AD的最佳实践

  3. 课程要求 • 对以下工具的使用或概念都比较了解 • Repadmin • GPMC • Ntdsutil • System Status backup • RID,SID • 五个FSMOroles • GC,DC

  4. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  5. 单台DC的恢复问题描述 • 因为AD错误或者硬件出错损失了DC • AD信息变化产生后无法复制到其他DC上 • FSMO/GC/DNS角色的失效 • 其他DC负荷的提高

  6. 单台DC的恢复恢复方式 • 方式 I: 使用该DC原有备份文件恢复DC • 使用DSRM模式启动OS或者重新安装OS • 使用备份文件还原系统 • 重启机器 • 方式 II: 升级为DC • 强制DC降级或者重新安装OS • 从其他旧DC上删除Metadata • 安装AD: • 通过复制自动完成 • 从备份文件还原(只适用Windows Server 2003) • 获取FSMO的角色(如果需要的话)

  7. 单台DC的恢复方式 I vs. 方式 II • 方式 I • 恢复速度比依靠复制的恢复要快 • 需要的操作较少 • 不需要dcpromo; 不需要清理metadata • 不要求获取FSMO的角色(除非机器已经出了问题很长时间) • 方式 II • 不需要对该DC有很好的备份,但需要有多台DC • 可适用于不同的硬件

  8. 单台DC的恢复最佳实践 • 保证即使有一台DC失去作用后,仍有足够的DC可以应付客户端的访问负荷 • 保证可以快速访问到备份的媒体 • 把最近的一个备份文件保存在磁盘 • 保证有一个已经定义好并且已经经过维护人员预演过的恢复流程 • 保证知道DSRM模式下的密码(或有OS的安装光盘) • 知道该机器担任了FSMO的哪个角色 • 知道该机器安装了哪些应用和服务

  9. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  10. 多台DC恢复问题描述 • 在一个domain里面失去了不止一台DC (潜在影响整个domain) • 物理站点由于突发事件,部分或全部被破坏掉(比如火灾) • 暂时性地失去某个站点的控制 • 客户端需要去找其他DC(可能存在于其他站点)

  11. 多台DC恢复恢复方式 • 像单台DC的还原方式一样,只是做多次重复操作 • 如果整个domain被彻底破坏,请执行下面的额外步骤进行恢复 • 在还原操作中,需要把其中一台DC的SYSVOL设置为“primary” • 这样可以让SYSVOL的数据强制推送到其他DC • 把RID计数池的数值设置为一个大一点的数值 • 让新的安全策略能得到新的SIDs

  12. 多台DC恢复最佳实践 • 提供冗余的DC保存整个domain的信息,并且这些DC不要都放在同一个物理区域 • 对于每个domain,在不同的物理区域都要有多台DC(GC)的备份 • 保存备份的地方最好可以是异地 • 最好有相同硬件配置的可用机器做后备 • 保证有一个可行的操作流程和一份企业AD环境的拷贝

  13. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  14. 森林恢复问题描述 • 在这个森林里面的 每台DC 都因为复制失败的问题而受到“影响” • 受影响的DC可以提供部分服务,甚至有些根本不能提供任何服务

  15. 正常工作的森林 Contoso.com Sales.Contoso.com Product.Contoso.com

  16. 发生灾难 Contoso.com 一些错误被更新到机器中 Sales.Contoso.com Product.Contoso.com

  17. 错误被复制 X 受影响的DC Contoso.com 错误被复制到其他 DC上 X Sales.Contoso.com Product.Contoso.com

  18. 错误被复制到其他站点 X 受影响的DC Contoso.com X X X Sales.Contoso.com Product.Contoso.com

  19. 错误通过复制在森林中蔓延 X X 受影响的DC Contoso.com X X X X X Sales.Contoso.com Product.Contoso.com

  20. 整个森林全部受影响 X X X X 受影响的DC Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com

  21. 森林恢复需要考虑的问题 • 错误可以从受影响的DC复制到还原后的DC上,导致恢复失败 • 在还原后的DC被放上网络前,不能关掉所有受影响的DC • 每个domain需要从备份中还原出一台可正常使用的DC,因为 • 避免出现恢复后,无法使用,需要重新恢复的情况 • 备份需要在每台还原的DC上成功进行测试 • 多台DC会被独立启动 • 必须保证在每台DC上还原后,都进行正确性测试

  22. 森林恢复需要考虑的问题 • 不能选择了一个有错误产生后进行的备份 • 如果该AD集成了DNS,最好的备份就是,它也是一台DNS服务器 • 还原至少一台GC,因为没有GC: • 用户和计算机无法正常获得认证 • 无法安装DC • 无法安全的进行动态DNS更新 • MS Exchange无法正常提供服务 • 还原一台GC可以被用于在稍后去清除那些旧有的对象

  23. 受影响的森林 X X X Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com

  24. 1. 校验备份 X X X Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com

  25. 2. 选择一个最适合的备份 X X X GC DNS Contoso.com X X DNS X X X X X DC X DNS DC Sales.Contoso.com Product.Contoso.com

  26. 3. 把该DC隔离开来准备还原 X X GC X DNS Contoso.com X X DNS X X X X X DNS X DC DC Sales.Contoso.com Product.Contoso.com

  27. X X GC X DNS Contoso.com X X DNS X X X X X DNS X DC DC GC Sales.Contoso.com Product.Contoso.com DNS 4. 还原隔离起来的DC 启动Windows,进入DSRM (需要DSRM的AD还原密码) 从备份中还原System State 把SYSVOL共享文件夹设置为primary 重新启动进入正常模式 使用超级管理员身份登陆(这是在没有GC的情况下可以正常工作的帐号) 把该根DC设置为 primary DNS 服务器 把RID计数池的数值增大一个很大的数字 (如增加100,000) 获取FSMO五个角色 • 删除其他DC在domain里面的metadata • 删除其他DC在DNS里面的数据 • 通过截断相互间信任关系,阻止从受影响DC发过来的复制 • Reset 计算机帐号的密码 (输入两次) • Reset krbtgt 密码 • 从domain里面把所有其他的DC计算机记录统统删除 • 从信任的一方把相互信任的密码重新设置 (输入两次)

  28. GC DNS DNS DNS DC DC 4. 恢复其他隔离的DC X X Contoso.com X X X X X X Sales.Contoso.com Product.Contoso.com

  29. GC DNS DNS DNS DC DC 5. 从受影响的DC上把AD移除 强制把DC降级 或 重新安装OS X Contoso.com X X X Sales.Contoso.com Product.Contoso.com

  30. GC DNS DNS DNS DC DC 6. 把隔离起来的DC放到网上 Contoso.com X X X Sales.Contoso.com Product.Contoso.com

  31. GC DNS DNS DNS DC DC 7. 确认复制是正常的 Contoso.com X X Sales.Contoso.com Product.Contoso.com

  32. GC DNS DNS DNS DC DC 8. 把其他机器都升级为DC 通过复制进行 或者 通过IFM(Integrated File Management) Contoso.com X Sales.Contoso.com Product.Contoso.com

  33. 森林恢复完成恢复的步骤 • 恢复DNS的原始设置 • 添加l台新的GC和DNS服务器 • 修复出现问题的 用户/机器 的密码 • 把FSMO的角色转移到合适的DC上 • 恢复丢失的对象 • 修复出现问题的Exchange邮箱 • 修复其他在AD上运行的应用 • 删除掉在GC中标志为lingering那些对象

  34. 森林恢复最佳实践 • 最好的方法就是对于能够迅速和准确的还原森林有一个很好的准备 • 编写一个符合贵公司实际情况的修复流程文档 • 把该修复流程分发给其他参与AD管理的人员,那些人员最好都通过实验室进行过修复流程的实际培训 • 准备好相关的符合贵公司AD部署环境的工具和脚本

  35. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  36. 对象恢复问题描述和恢复 • 对象被误删除(OU) • 或者进行了错误的修改 • 对象很难被重新建立 • AD相关的复杂对象 • 拥有不同的GUID & SID • 恢复方式 • 权威恢复 • 里程碑式 • 采用GPMC恢复被删除的GPO

  37. 对象恢复权威恢复 • 启动DC进入DS restore mode • 还原System State后,不要选择重启 • 然后运行Ntdsutil并且把object标志为auth restored • 需要知道对象的full DN • 如果不知道,请首先独立启动DC,在被删除对象集合中查看该Full DN • 如果被删除的对象是间接被某应用所调用,还需要恢复相关的的那些对象 • 重启

  38. 对象恢复权威恢复要考虑 • 恢复后,某些users/groups/computers, group memberships可能会丢失 • 如果组中的成员被添加到post LVR,Domain里面的Group membership会自动恢复 • LVR (Link Valued Replication)是Microsoft Windows Server 2003 森林里面的功能 • Windows Server 2003 SP1权威恢复可以使用LDIF文件恢复group memberships • 重启后,运行LDIF文件来修复membership • Resource (4)保存有详细的信息

  39. 对象恢复最佳实践 • 永远不要 使用权威恢复来还原整个AD数据 • 要记住 DSRM admin 密码 • 在Windows Server 2003 SP1中使用权威恢复来恢复GC • 从森林的每个domain中生成相关的LDIF文件 • 在每个domain中运行LDIF来还原group membership • 备份在磁盘上可以保证还原时的速度 • 通过GPMC来备份组策略

  40. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  41. 最佳备份实践 • 怎么做备份? • Microsoft Windows 2003: System State • Microsoft Windows 2000: System State and System drive • 每个domain都需要备份多台DC和GC • 保证所有的应用都可以被覆盖到 • 经常进行备份工作 • 在Windows Server 2003 SP1版本中我们新增加了一个事件(ID: 2089)提醒我们有一部分的备份出现问题了 • 经常检查那些备份是否都可以正常恢复

  42. 最佳备份实践 • 以下是一些不被支持的AD备份方法: • 直接复制AD文件到磁带或者磁盘中 • 复制virtual PC文件 • 做磁盘镜像或者ghosting • 在Win2000中的SAN采用Splitting mirror方式 • 以上的方法都会导致复制冲突问题 • http://support.microsoft.com/default.aspx?scid=kb;en-us;875495 • 如果想在Windows Server 2003中使用SAN进行快速备份/还原,请参考: • http://www.microsoft.com/windowsserver2003/technologies/activedirectory/W2K3ActDirFastRec.mspx

  43. 议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结

  44. 总结 • 要还原必须保证先有可用的备份 • 检查这些备份都是正确的可以使用的备份 • 有一个针对各种不同情况下,可采取的AD还原流程 • 为进行恢复工作,要注意进行相关流程的正式培训

  45. Forest Recovery Whitepaper:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3EDA5A79-C99B-4DF9-823C-933FEBA08CFE • Windows Server 2003 Operation Guide:http://www.microsoft.com/technet/itsolutions/cits/mo/winsrvmg/adpog/adpog1.mspx • Windows Server 2003 SP1 authoritative restore help:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/690730c7-83ce-4475-b9b4-46f76c9c7c90.mspx • Tombstone reanimation help:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp • How to force demote a DC:http://support.microsoft.com/default.aspx?scid=kb;en-us;332199 • Group Policy Administration using GPMC:http://download.microsoft.com/download/a/9/c/a9c0f2b8-4803-4d63-8c32-3040d76aa98d/GPMC_Administering.doc

  46. 新闻组 • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.active_directory&lang=zh&cr=CN • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.dns&lang=zh&cr=CN • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.security&lang=zh&cr=CN

  47. 问题: • GPMC工具是做什么的? • 使用哪个命令查看AD复制的信息? • 采用哪个命令可以进行FSMO角色的强制获取?

More Related