54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > 域服务器 >

系统运维之活动目录灾难恢复

时间:2011-07-17 21:32来源:未知 编辑:admin

【系统运维网译文】活动目录(AD)通常是公司企业的关键网络服务之一。要是没有它,域环境就不存在,一切都无法正常进行。基于此,防备可能会影响活动目录林(forest)的各种灾难就显得很重要。

对于活动目录,灾难的严重性有很多种。比较简单的情况是,某一个域控制器(DC)出现故障,或者某一个对象不小心被删除。比较糟糕的情况是,整个组织单元(OU)层次体系不小心被删除。而最糟糕的情况则是,可能需要还原整个域或活动目录林。

不过好消息是,适用于从简单灾难恢复过来的许多技巧和方法同样适用于从重大灾难恢复过来。本文将探讨如何从域控制器出故障和对象不小心被删除这两种最常见的灾难恢复过来。

备份策略

你首先要确保:有东西可以用来恢复。起码,应该有有效的系统状态备份,备份了活动目录林中每个域的至少两个域控制器。Windows Server Backup(Windows Server 2008及以后版本)、NTBackup(Windows Server 2003和Windows 2000 Server)以及大多数商用备份工具都可以执行有效的系统状态备份。不过,测试备份总是值得的,确保一切都处于良好状态。备份工具方面有一点很重要,那就是应该使用一款可感知卷影复制服务(VSS)的备份工具。依赖磁盘镜像或虚拟机快照技术的备份工具一般与活动目录不兼容。还原由这类工具生成的备份会引起严重的复制故障,这种故障叫更新序列号(USN)回滚。

在许多企业,负责服务器备份和还原的与运行活动目录的常常不是同一个团队。这带来了几个问题。首先,你无法直接控制备份过程,因而很难验证备份内容。其次,许多备份工具要求在进行备份的每个活动目录上要有代理软件,这间接提供了对域控制器的更高访问权。

为了应对这些问题,我对域控制器备份经常采用两层方法。我每天晚上使用脚本,对域控制器运行Windows Server Backup,把一两周的备份保留在本地域控制器上。然后共享含有备份的文件夹,只允许备份工具可以访问,因为许多备份工具不需要代理软件就可以备份文件共享区。我有时还把备份文件保存在同一个站点里面的邻近域控制器上。那样,如果你在某个站点有域控制器1和域控制器2,域控制器 1的备份就保存在域控制器2上的文件共享区上,反之亦然。

这种两层方法的优点包括如下:

可以减小依赖另一个团队来备份的一些风险。

万一需要进行还原,可以使用手头的本地备份文件立即进行还原,不用等另一个团队来进行还原。

万一备份远程执行,你不用等备份通过广域网从另一个站点拷贝过来。

我在另一篇文章《如何用Windows Server Backup来管理本地备份》(http://briandesmond.com/blog/managing-local-backups-with-windows-server-backup/)中介绍了Windows Server Backup的设置方法,还发布了用来运行Windows Server Backup的脚本。

域控制器恢复

活动目录的优点之一是,域控制器基本上具有无状态的性质。除了可能担任一个或多个灵活单主机操作(FSMO)角色外,域控制器一般应该是域中其他域控制器的匹配副本,除了复制时可能有些延迟外——延迟长短取决于系统拓扑结构。如果某个故障导致域控制器无法运行,这种无状态性质就非常好,因为常常不需要从备份来进行复杂的还原。相反,你只要重新安装Windows,使用Dcpromo将服务器升级为域控制器,将所有数据复制回来——假定你的域有不止一个域控制器。如果你的域只有一个域控制器,那么只要部署第二个域控制器,就能大大降低故障风险。

不过在你重新安装和重新升级域控制器之前,必须先清理活动目录,这个过程分两步。第一步是捕鱼域控制器可能为域中另一个域控制器担任的任何FSMO角色。如果你不确信哪些域控制器担任域中的FSMO角色,请在命令提示符窗口运行:

Netdom query fsmo

就可以看个究竟。然后,可以使用Ntdsutil实用工具,捕获FSMO角色。在微软文章《使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器》(http://support.microsoft.com/kb/255504)中,按照“捕获FSMO角色”章节介绍的指示操作即可。值得一提的是,你在捕获FSMO角色时,一条最佳实践是,千万不要让担任原始角色的域控制器恢复运行。

[责任编辑:admin]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>