2005年10月28日

概要
本文介绍如何对计算机上的 Microsoft Windows 2000 Active Directory 域控制器执行灾难恢复,该计算机与执行 Active Directory 备份的计算机具有不同的硬件配置。

如果不存在其他域控制器,或者没有与发生故障的域控制器具有类似的硬件配置的计算机,您可能必须使用此过程。本文适用于在执行备份操作时运行的是 Windows 2000 Service Pack 2 (SP2) 或更高版本的计算机。
警告:本文中所介绍的过程适用于不存在其他域控制器的单个域的灾难恢复。该过程不适用于在多域环境中将域控制器从旧的硬件操作系统移动到新的硬件操作系统。仅当需要进行灾难恢复时,才应使用该过程。恢复域控制器后,请不要将恢复的域控制器用于生产。执行这种恢复的目的是还原 Active Directory 功能以及使新的域控制器联机。新的域控制器联机后,请降低恢复的服务器的级别,从域中删除它,然后重新安装 Windows。
更多信息
要在与执行备份的计算机具有不同硬件的计算机上执行 Windows 2000 Active Directory 域控制器的灾难恢复,请按照下列步骤操作。警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。1. 执行域控制器的完全备份,包括系统状态和包含系统卷的驱动器。
2. 在新的计算机上,执行 Windows 2000 的全新安装,将其安装为工作组中的独立服务器。

注意:文件系统、安装驱动器以及 Windows 安装文件夹名称必须与所还原的服务器相同(例如 C:\Winnt 或 D:\Winnt35)。此外,当您要还原的计算机具有与执行备份的计算机类似的视频总线时,恢复结果通常会更好。例如,如果原系统使用 AGP 总线,而要还原到的系统使用 PCI 视频总线,则恢复可能比较困难。
3. 执行灾难恢复。为此,请按照下列步骤操作:a. 单击“开始”,指向“程序”,指向“附件”,指向“系统工具”,然后单击“备份”。
b. 单击“还原向导”,然后在“还原向导”对话框中,单击“下一步”。
c. 单击“导入文件”,单击“浏览”,找到保存备份文件的磁盘,然后单击“打开”。
d. 单击“确定”。
e. 在“还原项目”列表中,单击以选中要还原的计算机分区和“系统状态”对应的复选框。
f. 单击“下一步”,然后单击“高级”。
g. 在“将文件还原到”列表中,单击“原位置”,然后单击“下一步”。
h. 单击“无条件替换磁盘上的文件”,然后单击“下一步”。
i. 执行“还原向导”中其余的步骤,完成灾难恢复。
j. 在还原的域控制器中,将“BurFlags”值更改为“d4”。为此,请按照下列步骤操作:1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入 regedit,然后单击“确定”。
3. 在左窗格中,展开“我的电脑”。
4. 展开“HKEY_LOCAL_MACHINE”,然后展开“SYSTEM”。
5. 展开“CurrentControlSet”,然后展开“Services”。
6. 展开“NtFrs”,然后展开“Parameters”。
7. 展开“Backup/Restore”,然后单击“Process at Startup”。
8. 在右窗格中,右键单击“BurFlags”,然后单击“修改”。
9. 在“数值数据”框中,键入 d4,然后单击“确定”。

注意:如果还原的域控制器的“BurFlags”值没有更改为“d4”,sysvol 将无法共享。

成功完成灾难恢复过程后,可能会出现以下三种情形:• 情形 1:Windows 成功启动。
• 情形 2:当您尝试启动 Windows 时,Windows 停止响应或挂起,但是当您选择“安全模式”选项时,Windows 成功启动。出现这种情况的原因是新的计算机中存在总线体系结构芯片集或不兼容的驱动程序。您可能必须运行就地修复或升级操作。
• 情形 3:计算机在“正常启动 Windows”模式和安全模式中都停止响应。您必须运行就地修复或升级。这通常是由不匹配的硬件抽象层 (HAL) 所导致的。要使操作系统能够成功启动,您可能需要在 Windows 启动过程中按 F7 键以强制使用 HAL 的标准版本。
要解决情形 2 和情形 3 中描述的问题,请执行就地升级或修复。为此,请按照下列步骤操作:a. 使用 Windows 2000 安装光盘启动计算机。在您接受许可协议,并且安装程序搜索要修复的以前的 Windows 安装之后,将开始修复操作。
b. 安装程序找到损坏的安装后,请按 R 键修复所选的安装。安装程序将重新枚举计算机的硬件(包括 HAL),并执行就地升级,同时保留您的程序和用户设置。此过程还将使用可用于修复操作的准确信息刷新 %SystemRoot%\Repair 文件夹。
有关在就地升级或修复过程中如何通过按 F7 键关闭高级配置和电源接口 (ACPI) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
237556 如何解决 Windows 2000 硬件抽象层问题
注意:如果就地修复操作失败,并且 Windows 在每次开机自检 (POST) 后都重新启动,请使用故障恢复控制台启动计算机,然后运行下面的命令以禁用 ACPI:
disable acpi
禁用 ACPI 后,请重新启动就地修复。要强制 Windows 使用标准 PC HAL,请在系统提示下面的消息时按 F7 键:
如果您需要安装第三方 SCSI 或 RAID 驱动程序,请按 F6 键。
修复或升级操作启动,并且安装程序进入 Windows 安装程序的图形用户界面 (GUI) 部分后,Windows 通常可以成功安装。

重要说明:当在安装过程的 GUI 部分中显示“可选组件”对话框时,请确保选中“网络组件”下的“DNS”复选框。此外,还请确保选中“Internet 信息服务”下的“SMTP”复选框。选中“SMTP”复选框时,以下相关服务也会被安装到 Internet 信息服务 (IIS) 下:• 公用文件
• Internet 信息服务管理单元
• 万维网服务器
注意:如果安装了 Microsoft Exchange Server,请不要单击以选中“Internet 信息服务”下的“SMTP 服务”复选框。在这种情况下,Exchange Server 会提供 SMTP 服务的安装。不过,Active Directory 要求您安装其他的 IIS 项目,例如,公共文件、Internet 信息服务管理单元和万维网服务器。

如果支持动态更新协议的 DNS 安装位于域中的另一台成员服务器上,在就地升级要恢复的 Windows 2000 域控制器的过程中,您必须安装“可选组件”的 DNS 选项。需要安装该选项的主要原因是 Active Directory 以前绑定到的网络适配器实际上已被删除。新的网络适配器将保留当前的协议,但是它们的设置已丢失,并且在就地升级和修复操作中,您无法重新配置这些选项。在升级和修复过程中,如果域控制器无法访问支持动态更新协议的 DNS 服务器,将不会还原任何目录服务组件。您可以通过在事件查看器中查看所有与 Active Directory 有关的丢失的事件日志来了解这一点。仅显示系统日志、应用程序日志和安全日志。因此,必须将 DNS 安装到不同的硬件上正在进行就地修复和升级的域控制器上。在类似的硬件上,这通常不会有什么问题,因为网络适配器相同,并且保留了所有的协议设置。
4. 完成就地升级和修复操作后,启动注册表编辑器,然后验证 ClientProtocols 项位于下面的注册表子项下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
为此,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
如果没有 ClientProtocols 项,说明用于还原操作的网络适配器与原服务器的适配器不同。当网络适配器被意外地从服务器中删除时,ClientProtocols 项将被删除。如果没有 ClientProtocols 注册表项以及它所包含的值,将无法实现网络连接。 如果没有 ClientProtocols 项,您可以手动重新创建它以及它所包含的所有值,也可以使用注册表编辑器从另一个 Windows 2000 域控制器中导入它。• 要从另一个 Windows 2000 域控制器导出 ClientProtocols 项,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
f. 单击“ClientProtocols”。
g. 在“注册表”菜单上,单击“导出注册表文件”。
h. 在“保存在”列表中,选择一个可移动媒体设备或网络共享。
i. 在“文件名”框中,键入文件的名称,然后单击“保存”。
j. 在恢复的服务器上,双击该 .reg 文件以导入注册表项。

• 要手动重新创建 ClientProtocols 项及其值,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
f. 右键单击“Rpc”,指向“新建”,然后单击“项”。
g. 键入 ClientProtocols。
h. 右键单击“ClientProtocols”,指向“新建”,然后单击“字串值”。
i. 在右窗格中,为数值的名称键入 ncacn_http。
j. 右键单击“ncacn_http”,然后单击“修改”。
k. 在“数值数据”框中,键入 rpcrt4.dll,然后单击“确定”。
l. 重复步骤 h 到 k,在 ClientProtocols 注册表项中创建下列注册表值:

数值名称 数值类型 数值数据
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_nb_tcp REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll



5. 重新启动服务器。
6. 重新配置服务器的 Internet 协议 (IP) 设置,以便“首选 DNS 服务器”指向它自身的 IP 地址。如果在单独的 Windows 2000 成员服务器上配置 DNS,则可以将主 DNS 指向该 DNS 成员服务器,并且在本文中后面介绍的步骤 9 中,您可以将 DNS 从恢复的域控制器中删除。
7. 启动 DNS 实用工具,右键单击服务器,然后单击“属性”。查看各个选项卡上的条目,确保它们是正确的。完成后,单击“确定”。
8. 在服务器名称下,展开“正向搜索区域”,右键单击适用于您的区域,然后单击“属性”。在“常规”选项卡上,确保选中了“允许动态更新”旁边的“是”选项。

注意:通过将 DNS 配置为接受动态更新,可以确保在启动 Windows 或下一次重新启动 Net Logon 服务时重新创建正确的 Active Directory 记录。
9. 重新启动服务器,然后从命令行运行 DCDiag.exe 以搜索错误。 有关如何使用 DCDiag.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265706 Windows 2000 中的 DCDiag 和 NetDiag 方便了域的加入和 DC 创建
由于计算机上所进行的活动的特点,您可能会在 DCDiag.exe 输出中看到系统日志错误。您必须对所有其他错误进行分析,并且可以提交给 Microsoft 产品支持专业人员以进行其他疑难解答。
10. 除非您所还原的域控制器是作为操作主机来管理全部五个角色的,否则,您必须管理这些角色以完全恢复 Active Directory。操作主机也称作灵活的单主机操作或 FSMO 控制器。

注意:如果不允许您访问基于 GUI 的工具,请通过命令行实用工具 Ntdsutil.exe 管理这些角色。 有关如何使用 Ntdsutil.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255504 使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器

有关服务器元数据清除的信息,请访问下面的 Microsoft Web 站点:
有关故障恢复控制台的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
229716 Windows 2000 故障恢复控制台的说明
有关移动 Windows 2000 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249694 如何将 Windows 2000 安装移到不同的硬件
有关如何执行 Windows 2000 就地升级的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
292175 如何执行 Windows 2000 的就地升级


参考资料:http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fservicedesks%2fwebcasts%2fen%2fwc031902%2fwct031902.asp

概要
本文介绍如何在成功获取操作主机角色之后更改它的所有者。当拥有一个或多个角色的域控制器发生故障或在网络上无法使用时,可能必须获取操作主机。本文的目的是帮助有这种需要的管理员将以前拥有操作主机的一个或多个角色的域控制器返回到同一个网络,而不会与操作主机的任何新角色担任者发生冲突。

在完成下列步骤之前,必须先知道每一个角色的所有者。要获取当前角色所有者的列表,请按照以下 Microsoft 文章中概述的步骤操作:

234790 如何查找 FSMO 角色担任者(服务器)

必须在 Active Directory 中找到存储每个角色的对象。可以使用下表来查找保存角色的每个对象的位置:

角色 对象
PDC 模拟器 DC=domain,DC=com
RID 主机 CN=Rid Manager$,CN=System,DC=domain,DC=com
架构主机 CN=Schema,CN=Configuration,DC=domain,DC=com
结构主机 CN=Infrastructure,DC=domain,DC=com
域命名主机 CN=Partitions,CN=Configuration,DC=domain,DC=com


注意:PDC 是主域控制器的缩写,RID 是相对标识符的缩写。

返回页首
在成功获取操作主机角色之后更改角色的所有者
必须从 Windows 2000 Server 安装光盘安装支持工具。这些工具位于 Support 文件夹下。 1. 在需要放回网络中的域控制器上启动 ADSIEdit。
2. 找到保存以前已被转移的角色的对象(从上表中)。右键单击该对象,然后单击属性。
3. 在属性对话框中,在选择要查看的属性下,单击 fSMORoleOwner。

fSMORoleOwner 可以有一个值,该值可以指向以前负责此角色的服务器的 Windows NT 目录服务 (NTDS) 设置。可更改此设置,以引用当前支持此角色(由以前执行的角色列表定义)的服务器的 NTDS 设置: 旧值:
CN=NTDS Settings,CN=Incorrectserver,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com
新值:
CN=NTDS Settings,CN=Correctserver,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com
4. 在属性对话框上,单击确定。
5. 退出 ADSIEdit。

返回页首



参考
有关常见操作主机角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197132 Windows 2000 Active Directory FSMO 角色
有关转移和获取操作主机角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
223787 Flexible Single Master Operation 传送和获取过程

版权:本文版权属作者,转载请注明出处

很久之前就答应devilman要写一个关于KRA的文章,无奈由于大连的课程一直很多,一直也没有环境和时间去研究,今天课程快结束了,我搭建了完整的实验环境,终于有时间研究了一下WIN2003 EE的CA里的新功能–KRA(密钥恢复代理)的使用,写了这个文章,还将继续完成从EXCHANGE 2000 KMS到WIN 2003 CA的迁移。本打算只写一个的,看来不能了,因为内容太多了,只好改成连载了,呵呵……,另外,本文不讨论过多的KRA技术的原理,有对技术原理感兴趣的,可以仔细阅读下面的参考文章,本文只对KRA在实际操作中的实战做分析,请谅解。

首先给出原文的参考文章:Key Archival and Management in Windows Server 2003

这篇文章是英文的,且很难看明白(可能是我的水平不够吧),郁闷……

一、KRA证书的申请
申请证书之前,首先需要建立和安装企业根CA(独立根CA不能建立KRA证书),怎么安装这个不用说了吧。呵呵。。
安装CA后,你需要在证书模板中要选择上密钥恢复代理。否则不能申请该证书。
1、通过证书管理单元申请
归类于: Active Directory, Security, Windows 2003 — yinjie[Exchange MVP] @ 3:35 pm 评论(0)

2005年10月27日

组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。
  在Windows 2000域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。
  1. 组的类型
  (1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。
  (2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。
  安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。
  2. 组的范围
  (1)全局组:全局组的成员关系和范围如表1。

表1 全局组的成员关系和范围

混合模式 本机模式
可包含的成员 本域中的用户账号  
可加入的组 域本地组  
作用范围 在本域和所有的信任域中都是可见的
权限范围 森林中所有的域

(2)域本地组:域本地组的成员关系和范围如表2。

表2 域本地组的成员关系和范围

  混合模式 本机模式
可包含的成员 任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组
以及本域中的域本地组
可加入的组 不能是任何组的成员 本域中的域本地组
作用范围 只在其自己的域中可见
权限范围 域本地组所在的域

(3)通用组:域本地组的成员关系和范围见表3。
表3 域本地组的成员关系和范围


  混合模式 本机模式
可包含的成员 不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组
可加入的组 不能创建通用组 任何域中的域本地组和通用组
作用范围 在森林中的所有域中都是可见的
权限范围 目录林中的所有域

如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用 “AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。

到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。

  每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。

  在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。

  现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。

一、什么是活动目录?
AD是一种事务性数据库,它是一种预先写入记录的模式,使用了ESE97的技术。在磁盘上,AD显示为几个文件,它们是ntds.dit(AD数据库),一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词,它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域,这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资源。将大部分的重要的资源集中的放在某个共享的网络资源中,这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式,也就是说,可以在任意的一个控制器上修改目录资源。所以,从上我们可以得知,AD实际是个数据库,而每个DC都是重要的数据库服务器,所以,我们应象保护重要数据库一样来保护DC。
二、活动目录的几个概念
1、域:一个安全边界。
2、树:多个域的集合。
3、林:多个有关联的树。
4、DNS:通向AD的网关。DNS中的服务记录,是应用系统查询AD的根本所在。
5、GC:一个经常被查询的AD对象的索引。在本机模式下,GC参与网络客户端的登录请求处理,提供通用组成员资格,出非域管理员组成员,才可以不需要GC的协助登录网络。在混合模式下,GC就不参与登录处理了但GC对网络中进行目录查询与搜寻仍旧很重要。
6、操作主机:虽然多控制器模式是AD的核心功能,但多服务器之间的潜在冲突也使这样的方式运作出在一定的不适用性,为了解决这一问题,AD选择了一些特殊的机器来担任特殊的角色。每个角色负责处理特定AD区域的改变。
三、AD的维护和备份
1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。
2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。但要注意备份AD的一些约束条件:
* AD只备份当前有效的数据,对于已经标记删除的对象,不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整。
* AD的备份类型无法选择,只能使用完全备份。
* 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。
* 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
3、AD的整理:AD系统默认每12小时会运行自动在线整理一次。但是在线整理不能减少数据库的大小,要减少数据库的大小,需要使用离线整理,其操作为:
在DC启动的时候,按F8进入启动菜单,选择“目录恢复模式:进入系统,在命令行下输入如下命令。
ntdsutil
files
info
注意此时输出的目录文件路径!
comnpact to c:\mydir
通过这个命令将在指定目录下的建立一个压缩后的数据库文件。
quit两次,退出工具。
接下来,你需要用压缩后的文件替换原始的文件。并重新启动计算机
四、AD的架构
AD的架构是以结构化的方式定义的数据组成,它通过描述元数据来定义这些结构,通常包括属性名称、类型、长度、关系等。看起来,有点象关系数据库里的字段定义。同时还包括一些扩展的属性。包括:
1、命名上下文:有三个,它们是域命名上下文(保存当前AD域的数据),配置命名上下文(保存主要基础对象和配置信息),架构命名上下文(保存定义了所有的AD对象和属性)。
2、类别:描述了AD对象及与之相关的特性和属性。
AD架构的管理:架构管理由架构主机角色控制,默认情况下看不到该管理单元,需要先注册.schmmgmt.dll,才可以在MMC里找到它。注册方法是运行:regsvr32 %systemroot%\system32\schmmgmt.dll。架构内容是禁止删除的。
五、AD的修理和恢复
1、AD的维护和修复,都是通过一个命令行工具–NTDSUTIL来实现的。修复命令为:
ntdsutil
repair
2、AD的恢复
恢复模式:AD有两种恢复模式–授权恢复和非授权恢复,其区别在于:
1)授权恢复:当其他的域控制器包含了无效的复制和数据时,可以采用授权恢复方式,这种情况下,你可以手工指定你要恢复整个数据库或某个分支,并指定本地的恢复操作是权威的。所谓的权威,就是当发生目录复制时,以本地数据为准。授权恢复要修改AD的升级序号,这样它的序号就高于其他的DC了,从而使本地的恢复数据能复制给其他的DC。
2)非授权恢复:大多数的恢复操作都是非授权的。当你发现一台DC的数据有问题,而确信其他的DC数据是正常的,就可以使用非授权恢复。恢复完成后,DC会重新比较升级序号并参与正常的复制。也就是说,通过非授权恢复的数据可能在复制中被再次改写。
注意点:
如果你没有达到以下要求,恢复操作必定失败
* 服务器名趁应和备份时一样
* 系统文件夹所在驱动器应与备份时相同
* 目录保存路径应和备份时相同
3、恢复的操作
1)非授权恢复:启动DC,进入”目录恢复模式“,执行备份的还原操作。
2)授权恢复:在执行完非授权恢复后,继续以下操作:
* ntdsutil
authoritative restore
restore database
该命令将授权还原整个数据库,如果只想还原某个分支,可以用:
restore subtree ou=eng,dc=mycompany,dc=com
系统提示是否正确,回答YES。
quit退出。
注意:在恢复完成后,系统会自动的提示是否需要重新启动服务器,授权恢复一定要选择”NO“,否则一旦服务器重新启动,本次授权恢复就会变成非授权恢复了。另外,需要注意的是,授权恢复一同还原了SYSVOL文件目录,当计算机帐户没有禁用时,系统会每7天查询确认一次计算机密码,授权恢复同样也还原了这一信任密码,有可能会导致计算机信任关系丢失,这也需要注意。
4、AD的灾难性恢复处理
1)重新安装恢复AD
还原AD的最简单方法是重新安装操作系统,重新提升DC。这样就产生了一个新的DC,但要考虑一个问题,如果原DC的数据已经损坏,我们将无法使用DCPROMO命令删除该DC上的AD数据,这样就可能导致AD数据的不同步性,而且更糟糕的是,在AD用户和计算机的管理单元里,你也不能删除DC对象。这是你只能从”AD站点和服务“里先删除该服务器,才能删除该DC。如果你不幸的需要新的DC和原来的DC一样的名字,那么你必须先使用NTDSUTIL命令删除AD里的对象信息后,才能建立新的DC。具体操作如下:
ntdsutil
metadata cleanup
connections
connect to server
quit
select operation target
list site
select site
list domains
select domain
list servers in site
select server
remove selected server
以上命令,就可以删除坏掉的DC信息。更详细的资料,请参考NTDSUTIL的帮助,执行NTDSUTIL ?即可阅读帮助信息。
注意:在删除原DC之前,应确认原DC上不包含任何角色,如果有,请使用NTDSUTIL命令夺取角色,方法如下:
ntdsutil
roles
Seize domain naming master – 在已连接的服务器上改写域角色
Seize infrastructure master – 在已连接的服务器上改写结构角色
Seize PDC – 在已连接的服务器上改写 PDC 角色
Seize RID master – 在已连接的服务器上改写 RID 角色
Seize schema master – 在已连接的服务器上改写架构角色
被夺取角色的DC在没有重新安装操作系统前,不能重新连入网络!!
2)从备份中还原AD
从备份文件恢复AD是非常适合的。但要注意使用的还原模式,如果因恢复错误操作的信息,应记得使用授权恢复模式。
注意点:
* 过期的备份:前面我们提到,AD的备份不能还原60天前的数据,如果你需要还原60天的备份,需要按KB216993要求修改全局标记时间后才能还原。其的位置在AD里的
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名称为:tombstoneLifetime,该操作需要直接编辑AD数据,可使用ADSI,LDP等工具。
注意:请慎重操作!
* 不同硬件下还原:通常情况,不建议你将AD的备份还原到不同的硬件上,除非你确认新机器和原机器的硬件基本一直,并使用同样的硬件抽象层文件(HAL)。
* 远程备份和还原:在BOOT.INI文件后,可以加上/safeboot:dsrepair命令选项,引导远程机器进入恢复模式。
5、结语
本文简单的描述了活动目录的整体概念和基本理论,并重点阐述了AD的备份和恢复技巧和操作,以及灾难性的恢复手段。

附录:NTDSUTIL的帮助
ntdsutil: ?

? – 打印这个帮助信息
Authoritative restore – 权威性的恢复 DIT 数据库
Domain management – 准备新域创建
Files – 管理 NTDS 数据库文件
Help – 打印这个帮助信息
IPDeny List – 管理 LDAP IP 否认列表
LDAP policies – 管理 LDAP 协议策略
Metadata cleanup – 清理不使用的服务器的对象
Popups %s – 用“on”或“off”启用或禁用弹出
Quit – 退出实用程序
Roles – 管理 NTDS 角色所有者令牌
Security account management – 管理安全帐户数据库 – 复制 SID 清理
Semantic database analysis – 语法检查器