鸿 网 互 联 www.68idc.cn

ActiveDirectory灾难恢复

来源:互联网 作者:佚名 时间:2015-06-17 09:35
白皮书 摘要 Active Directory 服务以及保证其顺利运行所需的系统是 Windows Server 操作系统的核心 系统管理员必须了解如何使这些关键的系统保持正常运行 以及在出现故障时如何采取应对措施 在 Active Directory 基础结构中 域控制器可以充当多种角色 — 全

  白皮书
  
  摘要
  
  Active Directory&#; 服务以及保证其顺利运行所需的系统是 Windows® Server 操作系统的核心系统管理员必须了解如何使这些关键的系统保持正常运行以及在出现故障时如何采取应对措施
  
  在 Active Directory 基础结构中域控制器可以充当多种角色 — 全局编录 (GC)操作主机 (OM) 以及单一域控制器本文中介绍了在出现故障后恢复 Active Directory 数据库的步骤而且还介绍了将服务器还原为特定角色所必需的特殊要求
  
  本文档中介绍的步骤已经经过了 Compaq QTEST Windows 机构进行的恢复操作的验证QTEST 是基于 Windows 的服务器的全球部署Compaq 顾问用它来验证和测试不同的部署方案
  
  引言
  本文讨论将域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤此类灾难通常会导致域控制器失效而且会使计算机无法正常引导导致灾难的另一个原因是人为因素例如将包含错误的数据复制到公司的其它域控制器上
  
  本文提供有关对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息如果该计算机上还安装有其它服务例如域名系统 (DNS) 或 Internet 信息服务 (IIS)则可能还需要其它步骤但是这些步骤不包括在本文中
  
  本文中的大多数示例都是基于 Windows 备份实用程序 (ntbackupexe) 的该程序是 Windows 中附带的默认备份应用程序有关该工具的更多信息可以在附录 IV 中找到用户可以有自己喜欢的备份应用程序但是本文中的内容仍然适用
  
  本文不讨论涉及 Active Directory 的故障排除问题而是用于解决如下情况所有的故障排除手段都已经失败并且 Active Directory 无法正常运行在这种情况下用户无法将域管理器引导到正常模式
  
  本文假定用户具有关于 Active Directory 及其相关组件的预备知识有关 Active Directory 的信息请阅读 Windows Server Resource Kit 中的 Distributed Systems Guide 一书
  
  系统管理员可以使用本文中的信息来制定灾难恢复规划但是本文还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合
  
  
  Active Directory 概述
  Active Directory 服务是 Windows 的目录服务它是操作系统的核心组件为企业和操作系统中的其它组件提供基本数据
  
  Active Directory 为管理员提供组织网络资源管理用户计算机和应用程序所需要的中心服务
  
  在 Active Directory 中可以存储许多不同的对象包括
  
  用户
  组
  安全凭据例如证书
  系统资源例如计算机(或服务器)和打印机
  复制组件设置本身也是 Active Directory 中的对象
  COM 组件配置以前它存储在 Windows NT 中的注册表中现在则存储在 Active Directory 的类中
  控制工作环境的规则和策略
  下面的图 描述了集中存储在 Active Directory 中的许多不同对象
  
  
  
  
  图 可以存储在 Active Directory 中的许多不同对象
  
  Active Directory 数据库
  Active Directory 是一个事务处理数据库系统它使用日志文件来支持回滚语法从而确保将事务提交到数据库中与 Active Directory 关联的文件包括
  
  Ntdsdit — 数据库
  Edbxxxxxlog — 事务日志
  Edbchk — 检查点文件
  Reslog 和 Reslog — 预留的日志文件
  Ntdsdit 会随着数据库的填充而不断增大但是日志的大小却是固定的 ( MB)对数据库进行的任何更改都会被追加到当前的日志文件中而且其磁盘映像会不断保持更新
  
  Edblog 是当前的日志文件对数据库进行更改后会将该更改写入到 Edblog 文件中当 Edblog 文件充满事务之后它会被重新命名为 Edbxxxxxlog(从 开始并使用十六进制累加) 由于 Active Directory 使用循环记录所以在旧日志文件写入数据库之后这些旧日志文件会及时删除在任何时刻都可以找到 edblog 文件而且还可能有一个或多个 Edbxxxxxlog 文件
  
  Reslog 和 Reslog 是占位符— 用来在此驱动器上预留(在此情况下)最后的 MB 磁盘空间这是为了给日志文件提供足够的空间以便在其它所有磁盘空间都已使用的情况下可以正常关机
  
  Edbchk 文件存储数据库的检查点这些检查点标识数据库引擎需要重复播放日志的点通常在恢复或初始化时
  
  出于性能考虑日志文件应该位于数据库所在磁盘以外的其它磁盘上以减少磁盘争用情况
  
  在进行备份时可能会创建新的日志文件如前所述由于要进行循环记录所以需要删除该日志文件(如常规旧日志文件)
  
  Active Directory 服务器和角色
  authentication service域控制器 (DC) 是上面驻留有域数据库并执行验证服务的服务器在 Windows Server 中域数据库是 Active Directory 数据库的一部分在 Windows 对象更改可以在该环境内的任何 DC 上执行而不是象在 Windows NT Server 中那样只能在主域控制器 (PDC) 上进行
  
  DC 必须启动并执行复制操作以确保环境中的所有 DC 上都驻留有当前和正确的目录版本另外在特定目录林中的所有域控制器上都驻留有目录林配置和架构容器的副本
  
  域控制器还可以作为全局编录或充当如下所述的特定角色为应对可能出现的故障情况知道特定 DC 是一个 GC 还是承担了操作主机角色非常重要因为只有这样才能采取正确的行动
  
  全局编录
  全局编录的主要功能是在整个 Active Directory 目录林内进行快速和有效的搜索GC 拥有它所属的域中所有对象的可读/写的完全副本以及目录林中其它每一个域中的只读部分副本(所有对象但不包括部分属性集)因此全局编录使目录林内的目录结构对于最终用户而言是透明的从而为用户创造了一个使得在目录中查找对象变得简单和有效的搜索机制
  
  另外为在本机 Windows 域中进行通用组成员和用户主要名称 (UPN) 枚举也需要全局编录因此如果 DC 不能在客户端登录时联系到 GC则客户端将只接收到缓存的本地登录凭据而对远程资源进行的访问将被拒绝
  
  注意 若要知道 DC 是否为全局编录服务器请查看站点和服务管理单元中的 ntdsDSA 对象的属性(在域控制器的 Ntds 设置上单击鼠标右键然后选择属性) 如果选中全局编录复选框则该 DC 就是一台全局编录服务器可以在任何现用的 DC 上查看该管理单元以检查出现故障的 DC 是否为 GC
  
  操作主机服务器
  Active Directory 支持多主机更新在每一个 DC 上都驻留有其目录分区的可读/写版本因此Active Directory 必须可以进行存在冲突的更改例如在不同的 DC 上同时对目录中同一对象进行的更改Active Directory 使用定义完善的冲突解决方法从而使所有的 DC 最终都趋近相同的值
  
  尽管具有该定义完善的方法但有时防止出现冲突比在出现问题之后解决冲突要好在冲突解决方法不适用时Active Directory 中的操作主机会防止进行冲突更新
  
  Active Directory 定义了五种操作主机角色
  
  架构主机
  域命名主机
  相对标识号 (RID) 主机
  主域控制器模拟器 (PDCE)
  基础结构主机
  架构主机和域命名主机是按目录林分配的角色表示在整个目录林中只有一个架构主机和一个域命名主机其它操作主机角色都是按照域分配的角色表示目录林中的每一个域都有自己的 RID 主机PDCE 和基础结构主机
  
  若要检查哪一台 DC 具有域命名主机角色请打开域和信任管理单元若要检查架构主机请打开架构管理单元对于任意按照域分配的角色请检查用户和计算机管理单元在每一个管理单元的最高层容器(在左侧窗格中)单击鼠标右键并选择操作主机
  
  架构管理单元不是随 Windows Server 一起提供的默认 MMC 管理单元若要使它出现在可用管理单元列表中必须从 Windows Server CD 中安装管理工具软件包 (Adminpakmsi)
  
  若要注册架构管理单元请在命令提示符下或在开始菜单上的运行命令中键入 Regsvr schmmgmtdll
  
  架构主机
  具有架构主机角色的 DC 是可以更新目录架构的唯一 DC这些架构更新会从架构主机复制到目录林中的所有其它域控制器中
  
  域命名主机
  具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC
  
  向目录林中添加新域
  从目录林中删除现有的域
  添加或删除描述外部目录的交叉引用对象
  相对标识号 (RID) 主机
  此操作主机负责向其它 DC 分配 RID 池只有一个服务器执行此任务在创建安全主体(例如用户组或计算机)时需要将 RID 与域范围内的标识符相结合以创建唯一的安全标识符 (SID)
  
  每一个 Windows DC 都会收到用于创建对象的 RID 池(默认为 RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的通过 RID 主机还可以在同一目录林中的不同域之间移动所有对象
  
  PDCE
  主域控制器模拟器提供以下主要功能
  
  向后兼容低级客户端和服务器允许 Windows NT
网友评论
<