活動(dòng)目錄概念和災(zāi)難恢復(fù)
一�����、什么是活動(dòng)目錄�?
AD是一種事務(wù)性數(shù)據(jù)庫����,它是一種預(yù)先寫入記錄的模式,使用了ESE97的技術(shù)����。在磁盤上,AD顯示為幾個(gè)文件���,它們是ntds.dit(AD數(shù)據(jù)庫)���,一組交易記錄(即日志)和記錄數(shù)據(jù)庫最后一個(gè)緩沖區(qū)的檢查點(diǎn)文件。還有一個(gè)暫時(shí)性的數(shù)據(jù)庫文件��。目錄服務(wù)是一個(gè)組合名詞����,它包括有目錄數(shù)據(jù)存儲(chǔ)和可讓用戶或程序存取信息的相關(guān)服務(wù)的意思。為社呢們要有目錄呢��?目錄可提供企業(yè)網(wǎng)絡(luò)所有重要數(shù)據(jù)的一個(gè)集中存放區(qū)域�,這些數(shù)據(jù)包括用戶帳戶、計(jì)算機(jī)�、打印機(jī)、應(yīng)用程序�����、安全性與系統(tǒng)原則等各種資源����。將大部分的重要的資源集中的放在某個(gè)共享的網(wǎng)絡(luò)資源中,這樣一來可以改善企業(yè)的效率與大幅減少網(wǎng)絡(luò)的總擁有成本(TCO)���。WIN 2K的目錄服務(wù)使用的是多控制器模式�,也就是說,可以在任意的一個(gè)控制器上修改目錄資源����。所以,從上我們可以得知�,AD實(shí)際是個(gè)數(shù)據(jù)庫,而每個(gè)DC都是重要的數(shù)據(jù)庫服務(wù)器�����,所以�����,我們應(yīng)象保護(hù)重要數(shù)據(jù)庫一樣來保護(hù)DC�����。
二��、活動(dòng)目錄的幾個(gè)概念
1����、域:一個(gè)安全邊界��。
2�、樹:多個(gè)域的集合�����。
3����、林:多個(gè)有關(guān)聯(lián)的樹����。
4、DNS:通向AD的網(wǎng)關(guān)����。DNS中的服務(wù)記錄,是應(yīng)用系統(tǒng)查詢AD的根本所在����。
5、GC:一個(gè)經(jīng)常被查詢的AD對(duì)象的索引�。在本機(jī)模式下,GC參與網(wǎng)絡(luò)客戶端的登錄請(qǐng)求處理�����,提供通用組成員資格,出非域管理員組成員�����,才可以不需要GC的協(xié)助登錄網(wǎng)絡(luò)�。在混合模式下,GC就不參與登錄處理了但GC對(duì)網(wǎng)絡(luò)中進(jìn)行目錄查詢與搜尋仍舊很重要�����。
6��、操作主機(jī):雖然多控制器模式是AD的核心功能�,但多服務(wù)器之間的潛在沖突也使這樣的方式運(yùn)作出在一定的不適用性,為了解決這一問題����,AD選擇了一些特殊的機(jī)器來擔(dān)任特殊的角色。每個(gè)角色負(fù)責(zé)處理特定AD區(qū)域的改變�。
三、AD的維護(hù)和備份
1�����、AD的維護(hù):通過性能監(jiān)視工具監(jiān)視AD的運(yùn)行狀態(tài)和組件狀態(tài),可以有效的發(fā)現(xiàn)AD故障并及時(shí)解決���。
2����、AD的備份:AD可以通過備份系統(tǒng)狀態(tài)來備份��,你可以在系統(tǒng)工具里找到備份工具來完成此工作�����,也可以使用第三方軟件來實(shí)現(xiàn)�����。但要注意備份AD的一些約束條件:
* AD只備份當(dāng)前有效的數(shù)據(jù)��,對(duì)于已經(jīng)標(biāo)記刪除的對(duì)象�����,不備份�����。而AD中的對(duì)象刪除并不是立即的���,需要有60天的刪除標(biāo)記時(shí)間�。因此����,應(yīng)避免恢復(fù)60天前的AD備份,以免導(dǎo)致AD不完整��。
* AD的備份類型無法選擇��,只能使用完全備份��。
* 要確保備份中同時(shí)包含系統(tǒng)狀態(tài)���、系統(tǒng)盤的文件以及SYSVOL目錄的內(nèi)容����。
* 你只能用原服務(wù)器的備份來恢復(fù)該服務(wù)器���,不能用另一臺(tái)服務(wù)器的備份恢復(fù)該服務(wù)器����。
3、AD的整理:AD系統(tǒng)默認(rèn)每12小時(shí)會(huì)運(yùn)行自動(dòng)在線整理一次��。但是在線整理不能減少數(shù)據(jù)庫的大小����,要減少數(shù)據(jù)庫的大小,需要使用離線整理�����,其操作為:
在DC啟動(dòng)的時(shí)候��,按F8進(jìn)入啟動(dòng)菜單�����,選擇“目錄恢復(fù)模式:進(jìn)入系統(tǒng)���,在命令行下輸入如下命令。
ntdsutil
files
info
注意此時(shí)輸出的目錄文件路徑����!
comnpact to c:\mydir
通過這個(gè)命令將在指定目錄下的建立一個(gè)壓縮后的數(shù)據(jù)庫文件。
quit兩次,退出工具�。
接下來,你需要用壓縮后的文件替換原始的文件����。并重新啟動(dòng)計(jì)算機(jī)
四、AD的架構(gòu)
AD的架構(gòu)是以結(jié)構(gòu)化的方式定義的數(shù)據(jù)組成���,它通過描述元數(shù)據(jù)來定義這些結(jié)構(gòu)�,通常包括屬性名稱��、類型�����、長度��、關(guān)系等����。看起來�,有點(diǎn)象關(guān)系數(shù)據(jù)庫里的字段定義。同時(shí)還包括一些擴(kuò)展的屬性��。包括:
1、命名上下文:有三個(gè)����,它們是域命名上下文(保存當(dāng)前AD域的數(shù)據(jù)),配置命名上下文(保存主要基礎(chǔ)對(duì)象和配置信息)�,架構(gòu)命名上下文(保存定義了所有的AD對(duì)象和屬性)。
2����、類別:描述了AD對(duì)象及與之相關(guān)的特性和屬性。
AD架構(gòu)的管理:架構(gòu)管理由架構(gòu)主機(jī)角色控制�����,默認(rèn)情況下看不到該管理單元���,需要先注冊(cè).schmmgmt.dll�,才可以在MMC里找到它����。注冊(cè)方法是運(yùn)行:regsvr32 %systemroot%\system32\schmmgmt.dll�����。架構(gòu)內(nèi)容是禁止刪除的。
五���、AD的修理和恢復(fù)
1��、AD的維護(hù)和修復(fù)����,都是通過一個(gè)命令行工具--NTDSUTIL來實(shí)現(xiàn)的�����。修復(fù)命令為:
ntdsutil
repair
2��、AD的恢復(fù)
恢復(fù)模式:AD有兩種恢復(fù)模式--授權(quán)恢復(fù)和非授權(quán)恢復(fù)�,其區(qū)別在于:
1)授權(quán)恢復(fù):當(dāng)其他的域控制器包含了無效的復(fù)制和數(shù)據(jù)時(shí),可以采用授權(quán)恢復(fù)方式��,這種情況下�����,你可以手工指定你要恢復(fù)整個(gè)數(shù)據(jù)庫或某個(gè)分支�����,并指定本地的恢復(fù)操作是權(quán)威的。所謂的權(quán)威����,就是當(dāng)發(fā)生目錄復(fù)制時(shí),以本地?cái)?shù)據(jù)為準(zhǔn)��。授權(quán)恢復(fù)要修改AD的升級(jí)序號(hào)����,這樣它的序號(hào)就高于其他的DC了,從而使本地的恢復(fù)數(shù)據(jù)能復(fù)制給其他的DC��。
2)非授權(quán)恢復(fù):大多數(shù)的恢復(fù)操作都是非授權(quán)的����。當(dāng)你發(fā)現(xiàn)一臺(tái)DC的數(shù)據(jù)有問題,而確信其他的DC數(shù)據(jù)是正常的���,就可以使用非授權(quán)恢復(fù)�����?���;謴?fù)完成后��,DC會(huì)重新比較升級(jí)序號(hào)并參與正常的復(fù)制�����。也就是說�,通過非授權(quán)恢復(fù)的數(shù)據(jù)可能在復(fù)制中被再次改寫。
注意點(diǎn):
如果你沒有達(dá)到以下要求��,恢復(fù)操作必定失敗
* 服務(wù)器名趁應(yīng)和備份時(shí)一樣
* 系統(tǒng)文件夾所在驅(qū)動(dòng)器應(yīng)與備份時(shí)相同
* 目錄保存路徑應(yīng)和備份時(shí)相同
3�、恢復(fù)的操作
1)非授權(quán)恢復(fù):啟動(dòng)DC,進(jìn)入”目錄恢復(fù)模式“�����,執(zhí)行備份的還原操作����。
2)授權(quán)恢復(fù):在執(zhí)行完非授權(quán)恢復(fù)后,繼續(xù)以下操作:
* ntdsutil
authoritative restore
restore database
該命令將授權(quán)還原整個(gè)數(shù)據(jù)庫�����,如果只想還原某個(gè)分支���,可以用:
restore subtree ou=eng,dc=mycompany,dc=com
系統(tǒng)提示是否正確��,回答YES�。
quit退出。
注意:在恢復(fù)完成后�����,系統(tǒng)會(huì)自動(dòng)的提示是否需要重新啟動(dòng)服務(wù)器�,授權(quán)恢復(fù)一定要選擇”NO“,否則一旦服務(wù)器重新啟動(dòng)���,本次授權(quán)恢復(fù)就會(huì)變成非授權(quán)恢復(fù)了�����。另外���,需要注意的是,授權(quán)恢復(fù)一同還原了SYSVOL文件目錄�����,當(dāng)計(jì)算機(jī)帳戶沒有禁用時(shí),系統(tǒng)會(huì)每7天查詢確認(rèn)一次計(jì)算機(jī)密碼��,授權(quán)恢復(fù)同樣也還原了這一信任密碼���,有可能會(huì)導(dǎo)致計(jì)算機(jī)信任關(guān)系丟失,這也需要注意��。
4����、AD的災(zāi)難性恢復(fù)處理
1)重新安裝恢復(fù)AD
還原AD的最簡單方法是重新安裝操作系統(tǒng),重新提升DC����。這樣就產(chǎn)生了一個(gè)新的DC,但要考慮一個(gè)問題�,如果原DC的數(shù)據(jù)已經(jīng)損壞,我們將無法使用DCPROMO命令刪除該DC上的AD數(shù)據(jù)��,這樣就可能導(dǎo)致AD數(shù)據(jù)的不同步性���,而且更糟糕的是����,在AD用戶和計(jì)算機(jī)的管理單元里,你也不能刪除DC對(duì)象���。這是你只能從”AD站點(diǎn)和服務(wù)“里先刪除該服務(wù)器����,才能刪除該DC����。如果你不幸的需要新的DC和原來的DC一樣的名字,那么你必須先使用NTDSUTIL命令刪除AD里的對(duì)象信息后�����,才能建立新的DC�。具體操作如下:
ntdsutil
metadata cleanup
connections
connect to server <good dc>
quit
select operation target
list site
select site <ID>
list domains
select domain <ID>
list servers in site
select server <bad dc>
remove selected server
以上命令,就可以刪除壞掉的DC信息�����。更詳細(xì)的資料�����,請(qǐng)參考NTDSUTIL的幫助��,執(zhí)行NTDSUTIL ?即可閱讀幫助信息�����。
注意:在刪除原DC之前���,應(yīng)確認(rèn)原DC上不包含任何角色����,如果有���,請(qǐng)使用NTDSUTIL命令?yuàn)Z取角色,方法如下:
ntdsutil
roles
Seize domain naming master - 在已連接的服務(wù)器上改寫域角色
Seize infrastructure master - 在已連接的服務(wù)器上改寫結(jié)構(gòu)角色
Seize PDC - 在已連接的服務(wù)器上改寫 PDC 角色
Seize RID master - 在已連接的服務(wù)器上改寫 RID 角色
Seize schema master - 在已連接的服務(wù)器上改寫架構(gòu)角色
被奪取角色的DC在沒有重新安裝操作系統(tǒng)前�����,不能重新連入網(wǎng)絡(luò)?。?
2)從備份中還原AD
從備份文件恢復(fù)AD是非常適合的��。但要注意使用的還原模式�,如果因恢復(fù)錯(cuò)誤操作的信息,應(yīng)記得使用授權(quán)恢復(fù)模式����。
注意點(diǎn):
* 過期的備份:前面我們提到��,AD的備份不能還原60天前的數(shù)據(jù)����,如果你需要還原60天的備份�����,需要按KB216993要求修改全局標(biāo)記時(shí)間后才能還原��。其的位置在AD里的
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM���,名稱為:tombstoneLifetime���,該操作需要直接編輯AD數(shù)據(jù),可使用ADSI��,LDP等工具��。
注意:請(qǐng)慎重操作���!
* 不同硬件下還原:通常情況����,不建議你將AD的備份還原到不同的硬件上,除非你確認(rèn)新機(jī)器和原機(jī)器的硬件基本一直���,并使用同樣的硬件抽象層文件(HAL)����。
* 遠(yuǎn)程備份和還原:在BOOT.INI文件后�����,可以加上/safeboot:dsrepair命令選項(xiàng)��,引導(dǎo)遠(yuǎn)程機(jī)器進(jìn)入恢復(fù)模式����。
5���、結(jié)語
本文簡單的描述了活動(dòng)目錄的整體概念和基本理論���,并重點(diǎn)闡述了AD的備份和恢復(fù)技巧和操作,以及災(zāi)難性的恢復(fù)手段��。
附錄:NTDSUTIL的幫助
ntdsutil: ?
- 打印這個(gè)幫助信息
Authoritative restore - 權(quán)威性的恢復(fù) DIT 數(shù)據(jù)庫
Domain management - 準(zhǔn)備新域創(chuàng)建
Files - 管理 NTDS 數(shù)據(jù)庫文件
Help - 打印這個(gè)幫助信息
IPDeny List - 管理 LDAP IP 否認(rèn)列表
LDAP policies - 管理 LDAP 協(xié)議策略
Metadata cleanup - 清理不使用的服務(wù)器的對(duì)象
Popups %s - 用“on”或“off”啟用或禁用彈出
Quit - 退出實(shí)用程序
Roles - 管理 NTDS 角色所有者令牌
Security account management - 管理安全帳戶數(shù)據(jù)庫 - 復(fù)制 SID 清理
Semantic database analysis - 語法檢查器 |
|
