490 likes | 576 Views
WIN 310 活动目录的恢复策略. 苏永锐 Windows 技术专家 技术服务部 微软有限公司. 本次议题的价值. 从还原了解备份的重要性和策略 从各种灾难情况下恢复 AD 的最佳实践. 课程要求. 对以下工具的使用或概念都比较了解 Repadmin GPMC Ntdsutil System Status backup RID , SID 五个 FSMO roles GC,DC. 议程. 单台 DC 的恢复 多台 DC 的恢复 森林恢复 对象恢复 最佳备份实践 总结. 单台 DC 的恢复 问题描述.
E N D
WIN 310活动目录的恢复策略 苏永锐 Windows技术专家 技术服务部 微软有限公司
本次议题的价值 • 从还原了解备份的重要性和策略 • 从各种灾难情况下恢复AD的最佳实践
课程要求 • 对以下工具的使用或概念都比较了解 • Repadmin • GPMC • Ntdsutil • System Status backup • RID,SID • 五个FSMOroles • GC,DC
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
单台DC的恢复问题描述 • 因为AD错误或者硬件出错损失了DC • AD信息变化产生后无法复制到其他DC上 • FSMO/GC/DNS角色的失效 • 其他DC负荷的提高
单台DC的恢复恢复方式 • 方式 I: 使用该DC原有备份文件恢复DC • 使用DSRM模式启动OS或者重新安装OS • 使用备份文件还原系统 • 重启机器 • 方式 II: 升级为DC • 强制DC降级或者重新安装OS • 从其他旧DC上删除Metadata • 安装AD: • 通过复制自动完成 • 从备份文件还原(只适用Windows Server 2003) • 获取FSMO的角色(如果需要的话)
单台DC的恢复方式 I vs. 方式 II • 方式 I • 恢复速度比依靠复制的恢复要快 • 需要的操作较少 • 不需要dcpromo; 不需要清理metadata • 不要求获取FSMO的角色(除非机器已经出了问题很长时间) • 方式 II • 不需要对该DC有很好的备份,但需要有多台DC • 可适用于不同的硬件
单台DC的恢复最佳实践 • 保证即使有一台DC失去作用后,仍有足够的DC可以应付客户端的访问负荷 • 保证可以快速访问到备份的媒体 • 把最近的一个备份文件保存在磁盘 • 保证有一个已经定义好并且已经经过维护人员预演过的恢复流程 • 保证知道DSRM模式下的密码(或有OS的安装光盘) • 知道该机器担任了FSMO的哪个角色 • 知道该机器安装了哪些应用和服务
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
多台DC恢复问题描述 • 在一个domain里面失去了不止一台DC (潜在影响整个domain) • 物理站点由于突发事件,部分或全部被破坏掉(比如火灾) • 暂时性地失去某个站点的控制 • 客户端需要去找其他DC(可能存在于其他站点)
多台DC恢复恢复方式 • 像单台DC的还原方式一样,只是做多次重复操作 • 如果整个domain被彻底破坏,请执行下面的额外步骤进行恢复 • 在还原操作中,需要把其中一台DC的SYSVOL设置为“primary” • 这样可以让SYSVOL的数据强制推送到其他DC • 把RID计数池的数值设置为一个大一点的数值 • 让新的安全策略能得到新的SIDs
多台DC恢复最佳实践 • 提供冗余的DC保存整个domain的信息,并且这些DC不要都放在同一个物理区域 • 对于每个domain,在不同的物理区域都要有多台DC(GC)的备份 • 保存备份的地方最好可以是异地 • 最好有相同硬件配置的可用机器做后备 • 保证有一个可行的操作流程和一份企业AD环境的拷贝
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
森林恢复问题描述 • 在这个森林里面的 每台DC 都因为复制失败的问题而受到“影响” • 受影响的DC可以提供部分服务,甚至有些根本不能提供任何服务
正常工作的森林 Contoso.com Sales.Contoso.com Product.Contoso.com
发生灾难 Contoso.com 一些错误被更新到机器中 Sales.Contoso.com Product.Contoso.com
错误被复制 X 受影响的DC Contoso.com 错误被复制到其他 DC上 X Sales.Contoso.com Product.Contoso.com
错误被复制到其他站点 X 受影响的DC Contoso.com X X X Sales.Contoso.com Product.Contoso.com
错误通过复制在森林中蔓延 X X 受影响的DC Contoso.com X X X X X Sales.Contoso.com Product.Contoso.com
整个森林全部受影响 X X X X 受影响的DC Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com
森林恢复需要考虑的问题 • 错误可以从受影响的DC复制到还原后的DC上,导致恢复失败 • 在还原后的DC被放上网络前,不能关掉所有受影响的DC • 每个domain需要从备份中还原出一台可正常使用的DC,因为 • 避免出现恢复后,无法使用,需要重新恢复的情况 • 备份需要在每台还原的DC上成功进行测试 • 多台DC会被独立启动 • 必须保证在每台DC上还原后,都进行正确性测试
森林恢复需要考虑的问题 • 不能选择了一个有错误产生后进行的备份 • 如果该AD集成了DNS,最好的备份就是,它也是一台DNS服务器 • 还原至少一台GC,因为没有GC: • 用户和计算机无法正常获得认证 • 无法安装DC • 无法安全的进行动态DNS更新 • MS Exchange无法正常提供服务 • 还原一台GC可以被用于在稍后去清除那些旧有的对象
受影响的森林 X X X Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com
1. 校验备份 X X X Contoso.com X X X X X X X X Sales.Contoso.com Product.Contoso.com
2. 选择一个最适合的备份 X X X GC DNS Contoso.com X X DNS X X X X X DC X DNS DC Sales.Contoso.com Product.Contoso.com
3. 把该DC隔离开来准备还原 X X GC X DNS Contoso.com X X DNS X X X X X DNS X DC DC Sales.Contoso.com Product.Contoso.com
X X GC X DNS Contoso.com X X DNS X X X X X DNS X DC DC GC Sales.Contoso.com Product.Contoso.com DNS 4. 还原隔离起来的DC 启动Windows,进入DSRM (需要DSRM的AD还原密码) 从备份中还原System State 把SYSVOL共享文件夹设置为primary 重新启动进入正常模式 使用超级管理员身份登陆(这是在没有GC的情况下可以正常工作的帐号) 把该根DC设置为 primary DNS 服务器 把RID计数池的数值增大一个很大的数字 (如增加100,000) 获取FSMO五个角色 • 删除其他DC在domain里面的metadata • 删除其他DC在DNS里面的数据 • 通过截断相互间信任关系,阻止从受影响DC发过来的复制 • Reset 计算机帐号的密码 (输入两次) • Reset krbtgt 密码 • 从domain里面把所有其他的DC计算机记录统统删除 • 从信任的一方把相互信任的密码重新设置 (输入两次)
GC DNS DNS DNS DC DC 4. 恢复其他隔离的DC X X Contoso.com X X X X X X Sales.Contoso.com Product.Contoso.com
GC DNS DNS DNS DC DC 5. 从受影响的DC上把AD移除 强制把DC降级 或 重新安装OS X Contoso.com X X X Sales.Contoso.com Product.Contoso.com
GC DNS DNS DNS DC DC 6. 把隔离起来的DC放到网上 Contoso.com X X X Sales.Contoso.com Product.Contoso.com
GC DNS DNS DNS DC DC 7. 确认复制是正常的 Contoso.com X X Sales.Contoso.com Product.Contoso.com
GC DNS DNS DNS DC DC 8. 把其他机器都升级为DC 通过复制进行 或者 通过IFM(Integrated File Management) Contoso.com X Sales.Contoso.com Product.Contoso.com
森林恢复完成恢复的步骤 • 恢复DNS的原始设置 • 添加l台新的GC和DNS服务器 • 修复出现问题的 用户/机器 的密码 • 把FSMO的角色转移到合适的DC上 • 恢复丢失的对象 • 修复出现问题的Exchange邮箱 • 修复其他在AD上运行的应用 • 删除掉在GC中标志为lingering那些对象
森林恢复最佳实践 • 最好的方法就是对于能够迅速和准确的还原森林有一个很好的准备 • 编写一个符合贵公司实际情况的修复流程文档 • 把该修复流程分发给其他参与AD管理的人员,那些人员最好都通过实验室进行过修复流程的实际培训 • 准备好相关的符合贵公司AD部署环境的工具和脚本
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
对象恢复问题描述和恢复 • 对象被误删除(OU) • 或者进行了错误的修改 • 对象很难被重新建立 • AD相关的复杂对象 • 拥有不同的GUID & SID • 恢复方式 • 权威恢复 • 里程碑式 • 采用GPMC恢复被删除的GPO
对象恢复权威恢复 • 启动DC进入DS restore mode • 还原System State后,不要选择重启 • 然后运行Ntdsutil并且把object标志为auth restored • 需要知道对象的full DN • 如果不知道,请首先独立启动DC,在被删除对象集合中查看该Full DN • 如果被删除的对象是间接被某应用所调用,还需要恢复相关的的那些对象 • 重启
对象恢复权威恢复要考虑 • 恢复后,某些users/groups/computers, group memberships可能会丢失 • 如果组中的成员被添加到post LVR,Domain里面的Group membership会自动恢复 • LVR (Link Valued Replication)是Microsoft Windows Server 2003 森林里面的功能 • Windows Server 2003 SP1权威恢复可以使用LDIF文件恢复group memberships • 重启后,运行LDIF文件来修复membership • Resource (4)保存有详细的信息
对象恢复最佳实践 • 永远不要 使用权威恢复来还原整个AD数据 • 要记住 DSRM admin 密码 • 在Windows Server 2003 SP1中使用权威恢复来恢复GC • 从森林的每个domain中生成相关的LDIF文件 • 在每个domain中运行LDIF来还原group membership • 备份在磁盘上可以保证还原时的速度 • 通过GPMC来备份组策略
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
最佳备份实践 • 怎么做备份? • Microsoft Windows 2003: System State • Microsoft Windows 2000: System State and System drive • 每个domain都需要备份多台DC和GC • 保证所有的应用都可以被覆盖到 • 经常进行备份工作 • 在Windows Server 2003 SP1版本中我们新增加了一个事件(ID: 2089)提醒我们有一部分的备份出现问题了 • 经常检查那些备份是否都可以正常恢复
最佳备份实践 • 以下是一些不被支持的AD备份方法: • 直接复制AD文件到磁带或者磁盘中 • 复制virtual PC文件 • 做磁盘镜像或者ghosting • 在Win2000中的SAN采用Splitting mirror方式 • 以上的方法都会导致复制冲突问题 • http://support.microsoft.com/default.aspx?scid=kb;en-us;875495 • 如果想在Windows Server 2003中使用SAN进行快速备份/还原,请参考: • http://www.microsoft.com/windowsserver2003/technologies/activedirectory/W2K3ActDirFastRec.mspx
议程 • 单台DC的恢复 • 多台DC的恢复 • 森林恢复 • 对象恢复 • 最佳备份实践 • 总结
总结 • 要还原必须保证先有可用的备份 • 检查这些备份都是正确的可以使用的备份 • 有一个针对各种不同情况下,可采取的AD还原流程 • 为进行恢复工作,要注意进行相关流程的正式培训
Forest Recovery Whitepaper:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3EDA5A79-C99B-4DF9-823C-933FEBA08CFE • Windows Server 2003 Operation Guide:http://www.microsoft.com/technet/itsolutions/cits/mo/winsrvmg/adpog/adpog1.mspx • Windows Server 2003 SP1 authoritative restore help:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/690730c7-83ce-4475-b9b4-46f76c9c7c90.mspx • Tombstone reanimation help:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/active_directory.asp • How to force demote a DC:http://support.microsoft.com/default.aspx?scid=kb;en-us;332199 • Group Policy Administration using GPMC:http://download.microsoft.com/download/a/9/c/a9c0f2b8-4803-4d63-8c32-3040d76aa98d/GPMC_Administering.doc
新闻组 • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.active_directory&lang=zh&cr=CN • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.dns&lang=zh&cr=CN • http://www.microsoft.com/China/community/dgbrowser/zh-cn/default.mspx?dg=microsoft.public.cn.windows.server.security&lang=zh&cr=CN
问题: • GPMC工具是做什么的? • 使用哪个命令查看AD复制的信息? • 采用哪个命令可以进行FSMO角色的强制获取?