Active Directory管理和构架-第6部分(活动目录的灾难恢复策略)

议程
单台DC的恢复 单台 的恢复 多台DC的恢复 多台 的恢复 森林恢复 对象恢复 最佳备份实践 总结
森林恢复－ 森林恢复－问题描述
在这个森林里面的 每台 DC 都因为复制失败的问题 而受到“影响 影响” 而受到 影响” 受影响的DC可以提供部分服务， 受影响的 可以提供部分服务，甚至有些根本不能 可以提供部分服务 提供任何服务
方式 I 恢复速度比依靠复制的恢复要快 需要的操作较少
不需要dcpromo; 不需要清理metadata 不要求获取FSMO的角色(除非机器已经出了问题很长时 间)
方式 II 不需要对该DC有很好的备份，但需要有多台DC 可适用于不同的硬件
单台DC的恢复－ 单台 的恢复－最佳实践 的恢复
保证即使有一台DC失去作用后，仍有足够的 可 保证即使有一台 失去作用后，仍有足够的DC可 失去作用后 以应付客户端的访问负荷 保证可以快速访问到备份的媒体 把最近的一个备份文件保存在磁盘 保证有一个已经定义好并且已经经过维护人员预演 过的恢复流程 保证知道DSRM模式下的密码 模式下的密码 保证知道 知道该机器担任了FSMO的哪个角色 的哪个角色 知道该机器担任了 知道该机器安装了哪些应用和服务
通过复制自动完成 从备份文件还原(只适用Windows Server 2003)
获取FSMO的角色(如果需要的话)
demo
实验6-0 实验 域控制器活动目录之备份与恢复 实验6-1清除活动目录残留域控制器信息 实验 清除活动目录残留域控制器信息 实验6-2 活动目录概念和灾难恢复 实验
单台DC的恢复 恢复方式比较 单台 的恢复-恢复方式比较 的恢复
X X X X X
DNS
X
GC
Contoso.com
DNS
XDC
X X DNS X DC
Product.Contoso.com
X
Sales.Contoso.com
3. 把该 隔离开来准备还原 把该DC隔离开来准备还原
X X
Contoso.com
DNS
X
GC
X X X
Sales.Contoso.com
正常工作的森林
Contoso.com
Sales.Contoso.com
Product.Contoso.com
发生灾难
Contoso.com
一些错误被更新 到机器中
Sales.Contoso.com
Product.Contoso.com
错误被复制
X
受影响的DC
Contoso.com
错误被复制到其他 DC上 上
DNS
XDC
X X
X
DNS
X DC
Product.Contoso.com
4. 还原隔离起来的 还原隔离起来的DC
启动Windows，进入DSRM (需要 ，进入 需要DSRM的AD还原密码 还原密码) 启动 需要 的 还原密码 从备份中还原System State 从备份中还原 把SYSVOL共享文件夹设置为 共享文件夹设置为primary 共享文件夹设置为 GC 重新启动进入正常模式 使用超级管理员身份登陆(这是在没有 的情况下可以正常工作的 这是在没有GC的情况下可以正常工作的 使用超级管理员身份登陆 这是在没有 DNS 帐号) 帐号 6. 把该根 把该根DC设置为 primary DNS 服务器 设置为 7. 把RID计数池的数值增大一个很大的数字 (如增加 计数池的数值增大一个很大的数字 如增加100,000) 如增加 Contoso.com 8. 获取 获取FSMO五个角色 五个角色 9. 删除其他 删除其他DC在domain里面的 里面的metadata 在 里面的 10. 删除其他 删除其他DC在DNS里面的数据 在 DNS 里面的数据 11. 通过截断相互间信任关系，阻止从受影响 通过截断相互间信任关系，阻止从受影响DC发过来的复制 发过来的复制 DNS • Reset 计算机帐号的密码 (输入两次 输入两次 DC 输入两次) DC • Reset krbtgt 密码 • 从domain里面把所有其他的 计算机记录统统删除 里面把所有其他的DC计算机记录统统删除 里面把所有其他的 Sales.Contoso.com Product.Contoso.com • 从信任的一方把相互信任的密码重新设置 (输入两次 输入两次) 输入两次
DNS Contoso.com
DNS DC Sales.Contoso.com
X DNS
DC Product.Contoso.com
森林恢复-完成恢复的步骤 森林恢复 完成恢复的步骤
恢复DNS的原始设置 的原始设置 恢复 添加l台新的 和DNS服务器 添加 台新的GC和 服务器 台新的 用户/机器 修复出现问题的 用户 机器 的密码 的角色转移到合适的DC上 把FSMO的角色转移到合适的 上 的角色转移到合适的 恢复丢失的对象 修复出现问题的Exchange邮箱 邮箱 修复出现问题的 修复其他在AD上运行的应用 修复其他在 上运行的应用 删除掉在GC中标志为 删除掉在 中标志为lingering那些对象 中标志为 那些对象
这样可以让SYSVOL的数据强制推送到其他DC
把RID计数池的数值设置为一个大一点的数值
让新的安全策略能得到新的SIDs
多台DC恢复－ 多台 恢复－最佳实践 恢复
提供冗余的DC保存整个 的信息， 提供冗余的 保存整个domain的信息，并且这些 保存整个 的信息 DC不要都放在同一个物理区域 不要都放在同一个物理区域 对于每个domain，在不同的物理区域都要有多台DC ，在不同的物理区域都要有多台 对于每个 （GC）的备份 ） 保存备份的地方最好可以是异地 最好有相同硬件配置的可用机器做后备 保证有一个可行的操作流程和一份企业AD环境的拷 保证有一个可行的操作流程和一份企业 环境的拷 贝
活动目录的恢复策略
议程
单台DC的恢复 单台 的恢复 多台DC的恢复 多台 的恢复 森林恢复 对象恢复 最佳备份实践 总结
课程要求
对以下工具的使用或概念都比较了解 Repadmin GPMC Ntdsutil System Status backup RID，SID 五个FSMO roles GC,DC
森林恢复-最佳实践 森林恢复 最佳实践
最好的方法就是对于能够迅速和准确的还原森林有 一个很好的准备 编写一个符合贵公司实际情况的修复流程文档 把该修复流程分发给其他参与AD管理的人员， 把该修复流程分发给其他参与 管理的人员，那些 管理的人员 人员最好都通过实验室进行过修复流程的实际培训 准备好相关的符合贵公司AD部署环境的工具和脚本 准备好相关的符合贵公司 部署环境的工具和脚本
DC Product.Contoso.com
X
DC
Sales.Contoso.com
7. 确认复制是正常的
GC DNS Contoso.com
DNS
X
DC
X DNS
DC Product.Contoso.com
Sales.Contoso.com
8. 把其他机器都升级为 把其他机器都升级为DC
通过复制进行 或者 通过IFM（ 通过IFM（Integrated File Management） GC
多台DC恢复－ 多台 恢复－恢复方式 恢复
像单台DC的还原方式一样， 像单台 的还原方式一样，只是做多次重复操作 的还原方式一样 如果整个domain被彻底破坏，请执行下面的额外步 如果整个 被彻底破坏， 被彻底破坏 骤进行恢复 在还原操作中，需要把其中一台DC的SYSVOL设 置为“primary”
X
Product.Contoso.com
Sales.Contoso.com
错误被复制到其他站点
X
受影响的DC
Contoso.com
X X X
Produห้องสมุดไป่ตู้t.Contoso.com Sales.Contoso.com
错误通过复制在森林中蔓延
X
受影响的DC
X
Contoso.com
X X X
X
X
Product.Contoso.com
议程
单台DC的恢复 单台 的恢复 多台DC的恢复 多台 的恢复 森林恢复 对象恢复 最佳备份实践 总结
对象恢复-问题描述和恢复 对象恢复 问题描述和恢复
对象被误删除（ ） 对象被误删除（OU） 或者进行了错误的修改 对象很难被重新建立 AD相关的复杂对象 拥有不同的GUID & SID 恢复方式 权威恢复 里程碑式 采用GPMC恢复被删除的GPO
森林恢复-需要考虑的问题 森林恢复 需要考虑的问题
不能选择了一个有错误产生后进行的备份 如果该AD集成了 如果该 集成了DNS，最好的备份就是，它也是一 ，最好的备份就是， 集成了 台DNS服务器 服务器 还原至少一台GC，因为没有 还原至少一台 ，因为没有GC: 用户和计算机无法正常获得认证 无法安装DC 无法安全的进行动态DNS更新 MS Exchange无法正常提供服务 还原一台GC可以被用于在稍后去清除那些旧有的 还原一台 可以被用于在稍后去清除那些旧有的 对象
议程
单台DC的恢复 单台 的恢复 多台DC的恢复 多台 的恢复 森林恢复 对象恢复 最佳备份实践 总结
多台DC恢复－ 多台 恢复－问题描述 恢复
在一个domain里面失去了不止一台 (潜在影响整 里面失去了不止一台DC 潜在影响整 在一个 里面失去了不止一台 个domain) 物理站点由于突发事件，部分或全部被破坏掉 比 物理站点由于突发事件，部分或全部被破坏掉(比 如火灾) 如火灾 暂时性地失去某个站点的控制 客户端需要去找其他DC（可能存在于其他站点）
受影响的森林
X X X X X X X X X
Contoso.com
X
X
Sales.Contoso.com
Product.Contoso.com
1. 校验备份
X X X X X X X X X
Contoso.com
X
X
Sales.Contoso.com
Product.Contoso.com
2. 选择一个最适合的备份
Sales.Contoso.com
整个森林全部受影响
X X
受影响的DC
X X X X
X X X X
Contoso.com
X
X
Sales.Contoso.com
Product.Contoso.com
森林恢复-需要考虑的问题 森林恢复 需要考虑的问题
错误可以从受影响的DC复制到还原后的 上 错误可以从受影响的 复制到还原后的DC上，导 复制到还原后的 致恢复失败 在还原后的DC被放上网络前， 在还原后的 被放上网络前，不能关掉所有受影响 被放上网络前 的DC 每个domain需要从备份中还原出一台可正常使用的 需要从备份中还原出一台可正常使用的 每个 DC，因为 ， 避免出现恢复后，无法使用，需要重新恢复的 情况 备份需要在每台还原的DC上成功进行测试 多台DC会被独立启动 必须保证在每台DC上还原后，都进行正确性测 试
单台DC的恢复 恢复方式 单台 的恢复-恢复方式 的恢复
使用该DC原有备份文件恢复 原有备份文件恢复DC 方式 I: 使用该 原有备份文件恢复 使用DSRM模式启动OS或者重新安装OS 使用备份文件还原系统 升级为DC 方式 II: 升级为 强制DC降级或者重新安装OS 从其他旧DC上删除Metadata 安装AD:
1. 2. 3. 4. 5.
X
X
X
X X
X
X
X
X
X
X
GC DNS
4. 恢复其他隔离的 恢复其他隔离的DC
X X
Contoso.com DNS
GC
X X X
Sales.Contoso.com
DNS DC
X X
DNS
X
DC
Product.Contoso.com
5. 从受影响的 上把 移除 从受影响的DC上把 上把AD移除
单台DC的恢复 问题描述 单台 的恢复-问题描述 的恢复
因为AD错误或者硬件出错损失了 因为 错误或者硬件出错损失了DC 错误或者硬件出错损失了 AD信息变化产生后无法复制到其他 上 信息变化产生后无法复制到其他DC上 信息变化产生后无法复制到其他 FSMO/GC/DNS角色的失效 角色的失效 其他DC负荷的提高 其他 负荷的提高
强制把DC降级 强制把DC降级 或 重新安装OS 重新安装OS
GC
X
Contoso.com DNS
DNS
X X
DNS DC
X
Sales.Contoso.com
DC
Product.Contoso.com
6. 把隔离起来的 放到网上 把隔离起来的DC放到网上
GC DNS Contoso.com
DNS
X X DNS