(转载记录)Active Directory 灾难恢复

Posted 菜鸡啄米米

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(转载记录)Active Directory 灾难恢复相关的知识,希望对你有一定的参考价值。

 

部分适用于Windows Server 2003.

在IT环境中谁也不能保证软硬件永远没有故障;那么就需要我们IT能够未雨绸缪,尽量避免故障发生,如果故障发生了,我们需要把损失降到最小;那么就需要我们考虑灾备的问题了,说道灾备,主要的就是备份与还原了。

今天我们就说说IT环境中的一个基础环境的灾备:ActiveDirectory

试验拓扑:
技术分享图片

  计算机名
  
  角色
  
  AD-Server
  
  域控制器(Active Directory 域服务

  
  AD-Server2
  
  辅助域控制器(Active Directory 域服务)
  
  CA-Server
  
  证书服务器(Active Directory 证书服务)
  
  Ex-Server
  
  Exchange  Server 2013
  
  Client
  
  Windows 7
  



现在就说说故障的情况吧:
一、使用最多的,我想应该是对于删除对象的还原吧,自从Windows Server 2008 R2之后,微软在Active Directory中增加了“Active Directory 回收站”这个功能,对于启用“Active Directory 回收站”和使用“Active Directory 回收站”:
ActiveDirectory 回收站之Windows Server 2008 R2参考:
http://yupeizhi.blog.51cto.com/3157367/1574393

ActiveDirectory 回收站之Windows Server 2012 参考:
http://yupeizhi.blog.51cto.com/3157367/1574399


二、假设辅助域控制器(AD-Server2)出现故障,并且无法恢复:
那么首先我们先要在域控制器(AD-Server)中删除辅助域控制器(AD-Server2)的残留信息:(注意:DNS记录也应手动删除)
http://yupeizhi.blog.51cto.com/3157367/1604933

等到辅助域控制器(AD-Server2)修好或重新购买一台替代AD-Server2,重新加入到域,提升为额外域控制器:
额外域控制器:
http://yupeizhi.blog.51cto.com/3157367/1430494


3、假设如果是主域控制器(AD-Server)出现了故障,并且无法恢复了:
首先是DNS,如果你以前额外域控制器有DNS,并且已经使用,并且主DNS就是它自己,那么直接就夺取角色就好了:(如果没有DNS,或者DNS并没有使用,需要手动重建DNS,所以
建议安装额外域控制器的时候,也安装上DNS。)

http://yupeizhi.blog.51cto.com/3157367/1605265
夺取完角色,等原来的主域修复后,重新添加成额外域控制器放在环境中;

这里要注意的是:全局编录,前面我已经说了,环境中是有Exchanger的,Exchanger要依赖全局编录服务器的,如果原来的额外域控制器是全局编录服务器,那么没什么问题,如果不是,你夺取完角色后,不要忘了将原来的额外域控制器添加成全局编录。如果最后一台全局编录服务器脱机后,我们即使重新添加全局编录,这个时候,如果出现无法访问,可以参考这个:
https://social.technet.microsoft.com/Forums/zh-CN/ad37f5ac-1a1b-4ea9-970a-b69d9026c858/exchange-2013owa-http-500?forum=exchangeserverzhchs


但有时候,我们会遇到在不同的硬件环境中执行还原,由于实验环境是虚拟机,所以没办法模拟不同硬件环境,所以这样给个官方链接,在实际环境中一定要测试:
http://support.microsoft.com/kb/263532


三、上面那些似乎够我们一般情况下使用的了,但谁也不能保证会有会有意外,所以如果条件允许,还是做个备份好,你完全可以用计划备份,过段时间检查一下备份,顺便拷贝一份备份,在个单独的环境做个测试什么的。还有很多单台域控制器的情况,有人会说了,微软不是建议用两台吗?并且一台出问题了怎么办?但我们不得不面对国内的一些客观问题,小企业很多都是单台域控制器的,我甚至见过一台服务器,上面运行Active Directory 和Hyper-v;Hyper-v里面运行的是Exchanger。

1、备份:
首先我说一说单台域控制器,很多人会说微软官方不建议使用单台域控制器,但我不得不说,我遇到很多小公司也有域,也都是一台,他们的要求很简单,就是一些权限的要求,那么对于这样的企业你和他们说在增加一台服务器做额外域控制器防止做容错,那几乎是不可能的事情;所以这个时候备份成为很关键的事情。
工欲善其事,必先利其器;备份首先你要有一个备份工具,这里我们就使用的是Windows Server自带的备份工具“Windows Server Backup”;
WindowsServer 2008 安装参考:http://yupeizhi.blog.51cto.com/3157367/1586316
WindowsServer 2012 安装参考:http://yupeizhi.blog.51cto.com/3157367/1598019

安装好之后那么下应该就要开始备份了:
在讲备份之前,我们应该先了解一下“墓碑时间(tombstoneLifetime)”,那么什么是墓碑时间呢?
在Active Directory中删除某个对象后,其实AD并没有直接删除该对象,而是将该对象标记为墓碑对象。但这个墓碑对象并不是一直存在域中的,它在域中存在的时间,就称为墓碑时间。Windows Server 2003的墓碑时间只有60天,Windows Server2003 SP1以上的都是180天;

在条件允许的情况下建议使用计划备份,这样虽然比较占磁盘空间,但相对来说,可以避免出现超过墓碑时间的问题;
计划备份参考:http://yupeizhi.blog.51cto.com/3157367/1615043
手动一次性备份参考:http://yupeizhi.blog.51cto.com/3157367/1586339
备份整个服务器参考:http://yupeizhi.blog.51cto.com/3157367/1598024

建议:
1)、不要就单独备份系统状态,因为系统状态只有你在恢复对象的时候可能会使用到,如果系统出现故障或更换硬件需要重新安装系统,那么单纯的系统状态是不行的;
2)、建议使用整机备份,备份整个服务器;如果条件不允许,最起码也要备份个裸机恢复;(关于裸机恢复的备份还原参考:http://yupeizhi.blog.51cto.com/3157367/1614023
3)、单独备份系统状态,只能用于恢复对象,不能用于系统重新安装后恢复活动目录,但备份C盘可以还原活动目录(我数据库、日志等文件都在c盘)
https://social.technet.microsoft.com/Forums/zh-CN/3f40ce97-f81b-43ca-928d-7be075faee7e?forum=windowsserversystemzhchs


2、还原:
对于“裸机恢复”和“整机备份”的恢复,可以参考:http://yupeizhi.blog.51cto.com/3157367/1614023
对于系统状态的还原参考(非授权还原):http://yupeizhi.blog.51cto.com/3157367/1586363
执行授权还原:http://yupeizhi.blog.51cto.com/3157367/1615047
(单域要考虑DNS问题,远程备份,进入目录维护模式后没法访问共享)

如果使用已经超过墓碑时间的备份,会报错:
技术分享图片技术分享图片 


















































































以上是关于(转载记录)Active Directory 灾难恢复的主要内容,如果未能解决你的问题,请参考以下文章

Active Directory 灾难恢复操作手册

Active Directory 灾难恢复操作手册

Azure Active Directory 为 API 管理灾难恢复抛出“未实现”

学习总结-Active Directory 域服务管理09-DNS集成

Phabricator 开放源代码的软件开发平台 Window Active Directory ldap ad域配置记录

Active Directory 真的符合 LDAP 标准吗?