(转载记录)Active Directory 灾难恢复
部分适用于Windows Server 2003.
在IT环境中谁也不能保证软硬件永远没有故障;那么就需要我们IT能够未雨绸缪,尽量避免故障发生,如果故障发生了,我们需要把损失降到最小;那么就需要我们考虑灾备的问题了,说道灾备,主要的就是备份与还原了。
今天我们就说说IT环境中的一个基础环境的灾备:ActiveDirectory
试验拓扑:
计算机名 |
角色 |
AD-Server |
域控制器(Active Directory 域服务 ) |
AD-Server2 |
辅助域控制器(Active Directory 域服务) |
CA-Server |
证书服务器(Active Directory 证书服务) |
Ex-Server |
Exchange Server 2013 |
Client |
Windows 7 |
现在就说说故障的情况吧:
一、使用最多的,我想应该是对于删除对象的还原吧,自从Windows Server 2008 R2之后,微软在Active Directory中增加了“Active Directory 回收站”这个功能,对于启用“Active Directory 回收站”和使用“Active Directory 回收站”:
ActiveDirectory 回收站之Windows Server 2008 R2参考:
http://yupeizhi.blog.51cto.com/3157367/1574393
ActiveDirectory 回收站之Windows Server 2012 参考:
http://yupeizhi.blog.51cto.com/3157367/1574399
二、假设辅助域控制器(AD-Server2)出现故障,并且无法恢复:
那么首先我们先要在域控制器(AD-Server)中删除辅助域控制器(AD-Server2)的残留信息:(注意:DNS记录也应手动删除)
http://yupeizhi.blog.51cto.com/3157367/1604933
等到辅助域控制器(AD-Server2)修好或重新购买一台替代AD-Server2,重新加入到域,提升为额外域控制器:
额外域控制器:
http://yupeizhi.blog.51cto.com/3157367/1430494
3、假设如果是主域控制器(AD-Server)出现了故障,并且无法恢复了:
首先是DNS,如果你以前额外域控制器有DNS,并且已经使用,并且主DNS就是它自己,那么直接就夺取角色就好了:(如果没有DNS,或者DNS并没有使用,需要手动重建DNS,所以
建议安装额外域控制器的时候,也安装上DNS。)
http://yupeizhi.blog.51cto.com/3157367/1605265
夺取完角色,等原来的主域修复后,重新添加成额外域控制器放在环境中;
这里要注意的是:全局编录,前面我已经说了,环境中是有Exchanger的,Exchanger要依赖全局编录服务器的,如果原来的额外域控制器是全局编录服务器,那么没什么问题,如果不是,你夺取完角色后,不要忘了将原来的额外域控制器添加成全局编录。如果最后一台全局编录服务器脱机后,我们即使重新添加全局编录,这个时候,如果出现无法访问,可以参考这个:
https://social.technet.microsoft.com/Forums/zh-CN/ad37f5ac-1a1b-4ea9-970a-b69d9026c858/exchange-2013owa-http-500?forum=exchangeserverzhchs
但有时候,我们会遇到在不同的硬件环境中执行还原,由于实验环境是虚拟机,所以没办法模拟不同硬件环境,所以这样给个官方链接,在实际环境中一定要测试:
http://support.microsoft.com/kb/263532
三、上面那些似乎够我们一般情况下使用的了,但谁也不能保证会有会有意外,所以如果条件允许,还是做个备份好,你完全可以用计划备份,过段时间检查一下备份,顺便拷贝一份备份,在个单独的环境做个测试什么的。还有很多单台域控制器的情况,有人会说了,微软不是建议用两台吗?并且一台出问题了怎么办?但我们不得不面对国内的一些客观问题,小企业很多都是单台域控制器的,我甚至见过一台服务器,上面运行Active Directory 和Hyper-v;Hyper-v里面运行的是Exchanger。
1、备份:
首先我说一说单台域控制器,很多人会说微软官方不建议使用单台域控制器,但我不得不说,我遇到很多小公司也有域,也都是一台,他们的要求很简单,就是一些权限的要求,那么对于这样的企业你和他们说在增加一台服务器做额外域控制器防止做容错,那几乎是不可能的事情;所以这个时候备份成为很关键的事情。
工欲善其事,必先利其器;备份首先你要有一个备份工具,这里我们就使用的是Windows Server自带的备份工具“Windows Server Backup”;
WindowsServer 2008 安装参考:http://yupeizhi.blog.51cto.com/3157367/1586316
WindowsServer 2012 安装参考:http://yupeizhi.blog.51cto.com/3157367/1598019
安装好之后那么下应该就要开始备份了:
在讲备份之前,我们应该先了解一下“墓碑时间(tombstoneLifetime)”,那么什么是墓碑时间呢?
在Active Directory中删除某个对象后,其实AD并没有直接删除该对象,而是将该对象标记为墓碑对象。但这个墓碑对象并不是一直存在域中的,它在域中存在的时间,就称为墓碑时间。Windows Server 2003的墓碑时间只有60天,Windows Server2003 SP1以上的都是180天;
在条件允许的情况下建议使用计划备份,这样虽然比较占磁盘空间,但相对来说,可以避免出现超过墓碑时间的问题;
计划备份参考:http://yupeizhi.blog.51cto.com/3157367/1615043
手动一次性备份参考:http://yupeizhi.blog.51cto.com/3157367/1586339
备份整个服务器参考:http://yupeizhi.blog.51cto.com/3157367/1598024
建议:
1)、不要就单独备份系统状态,因为系统状态只有你在恢复对象的时候可能会使用到,如果系统出现故障或更换硬件需要重新安装系统,那么单纯的系统状态是不行的;
2)、建议使用整机备份,备份整个服务器;如果条件不允许,最起码也要备份个裸机恢复;(关于裸机恢复的备份还原参考:http://yupeizhi.blog.51cto.com/3157367/1614023)
3)、单独备份系统状态,只能用于恢复对象,不能用于系统重新安装后恢复活动目录,但备份C盘可以还原活动目录(我数据库、日志等文件都在c盘)
https://social.technet.microsoft.com/Forums/zh-CN/3f40ce97-f81b-43ca-928d-7be075faee7e?forum=windowsserversystemzhchs
2、还原:
对于“裸机恢复”和“整机备份”的恢复,可以参考:http://yupeizhi.blog.51cto.com/3157367/1614023
对于系统状态的还原参考(非授权还原):http://yupeizhi.blog.51cto.com/3157367/1586363
执行授权还原:http://yupeizhi.blog.51cto.com/3157367/1615047
(单域要考虑DNS问题,远程备份,进入目录维护模式后没法访问共享)
如果使用已经超过墓碑时间的备份,会报错:
(转载记录)Active Directory 灾难恢复的更多相关文章
- SRV记录用来标识某台服务器使用了某个服务,常见于微软系统的目录管理——深入的话需要去折腾Azure Active Directory
SRV记录 SRV记录 什么情况下会用到SRV记录? [SRV记录用来标识某台服务器使用了某个服务,常见于微软系统的目录管理] SRV记录的添加方式 A.主机记录处格式为:服务的名字.协议的类型 例如 ...
- Enabling Active Directory Authentication for VMWare Server running on Linux《转载》
Enabling Active Directory Authentication for VMWare Server running on Linux Version 0.2 - Adam Breid ...
- Active Directory 域服务 (AD DS) 虚拟化
TechNet 库 Windows Server Windows Server 2012 R2 和 Windows Server 2012 服务器角色和技术 Active Directory Acti ...
- 介绍 Active Directory 域服务 (AD DS) 虚拟化
TechNet 库 Windows Server Windows Server 2012 R2 和 Windows Server 2012 服务器角色和技术 Active Directory Acti ...
- Active Directory组织单位(Organizational Unit)操作汇总
前言 本章聊Active Directory的组织单位(OU)的新增.修改.移动等操作,使用.NET Framework 为我们提供的System.DirectoryServices程序集. 不积跬步 ...
- Active Directory的DirectoryEntry与DirectorySearcher初识及Filter语法
前言 增删改查,我想查询是最先要说的一个了.本章主要记录使用.NET Framework进行对域控服务器对象的查询操作,介绍DirectoryEntry与DirectorySearcher(搜索器)及 ...
- Active Directory网域
Active Directory网域 3.1Windows网络的管理方式 3.1.1工作组模式 工作组由一组用网络连接在一起的计算机组成,他们将计算机内的资源共享给用户访问.工作组网络也被称为“对等式 ...
- Azure Active Directory Connect密码同步问题
这几天一直在弄O365与本地域账号的密码同步问题.由于微软即将用Azure Active Directory Connect(以下简称AADC)这个同步工具替代之前的DirSync,所以我也研究了下这 ...
- 部署额外域控制器,Active Directory
部署额外域控制器 转自:http://yuelei.blog.51cto.com/202879/117599 如果域中只有一台域控制器,一旦出现物理故障,我们即使可以从备份还原AD,也要付出停机等 ...
随机推荐
- 洛谷.5283.[十二省联考2019]异或粽子(可持久化Trie 堆)
LOJ 洛谷 考场上都拍上了,8:50才发现我读错了题=-= 两天都读错题...醉惹... \(Solution1\) 先求一遍前缀异或和. 假设左端点是\(i\),那么我们要在\([i,n]\)中找 ...
- 最优装载—dp
最优装载—dp 动态规划 一 问题描述 二 问题分析 三 代码实现 package dp_Loading; import java.io.BufferedWriter; import java.io. ...
- Python 中的单例模式
单例模式 单例模式(Singleton Pattern)是一种常用的软件设计模式,该模式的主要目的是确保某一个类只有一个实例存在.当你希望在整个系统中,某个类只能出现一个实例时,单例对象就能派上用场. ...
- 将ActiveX打包成CAB发布的注意事项
1.在实现ActiveX组件时,注意VS必须使用管理员身份运行,否则会提示不成功 2.在解决方案中添加一个安装项目 a.在View中点击文件系统,添加对ActiveX项目的输出 b.注册表HKEY_C ...
- 编程菜鸟的日记-初学尝试编程-C++ Primer Plus 第5章编程练习8
#include <iostream>#include <string>using namespace std;int main (){ string words; int i ...
- nexus的jar包上传与下载
1. hosted,宿主仓库,部署自己的jar到这个类型的仓库,包括releases和snapshot两部分,Releases公司内部发布版本仓库. Snapshots 公司内部测试版本仓库 2. p ...
- Node.js_express_中间件 middleware_登录/注册实例源代码
静态资源: 都写死了的资源,如 css,html 解析规则: 所有路由和中间件都在一个数组中,js 引擎会按照代码先后顺序添加路由和中间件 当请求发送到服务器时,服务器获取当前的请求信息(请求方式.请 ...
- 20175324 《Java程序设计》第4周学习总结
学号 20175324 <Java程序设计>第4周学习总结 第五章主要内容子类的继承性子类和父类如果在同一包中除private外其余都继承子类和父类如果不在同一包中那么只继承public和 ...
- C语言面试题分类->宏定义
1.写一个“标准”宏,这个宏输入两个参数并返回较小的一个 答:#define MIN(x, y) ((x)<(y)?(x):(y))//注意x,y要加括号,因为x,y如果有复合运算会出现问题. ...
- 严重: StandardWrapper.Throwable org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'goodsController' defined in file [D:\eclipse\eclipse-space\pinyougou_parent\pinyou
由于错误太宽,没法截取完整的,所以不怎么连贯,但是不影响错误的解决. 这个错误是因为service无法自动注入.显示嵌套状态异常. 我就查看了一下我的坐标和配置文件,配置文件的路径和访问地址都是正确的 ...