AD災難恢複情景及方案

【引子】

手機中熟悉的旋律響起，接起電話，傳來的消息卻讓人很是不快：緊急故障，有客戶處發生AD對象意外删除的災難，共計百餘計算機帳号被誤删，涉及全國範圍諸多生産系統，如不及時處理，将造成大範圍業務癱瘓。

刻不容緩，馬上“全副武裝”直奔現場。經過幾近通宵的鏖戰，終于完成災難恢複。

【思考】

AD作為企業IT基礎架構管理的核心，其重要程度不言而喻。能夠對AD災難恢複場景進行冷靜的對待及氣定神閑的處理，無疑是攬大廈之将傾的重要功勞，也是對一位系統管理者的極大考驗。

本文将結合諸多項目經驗及AD的理論基礎，分享AD管理中可能遇到的災難場景以及應對政策。聲明一點，本文讨論的前提條件是至少有兩台DC的合理的AD架構，如果因為隻有一台DC，造成部份情況下不可挽回的災難，請自備香火燒香拜佛。

注：本文隻讨論不同的AD災難場景，及應對思路，并不涉及技術細節，望讀者朋友們，以全局為重，多想多練，關于技術細節的實作，将另外介紹。

1、場景一：誤删除對象，有備份，但操作尚未通步至其他DC。

如果異緻對象丢失的操作發現及時，尚未同步至其他DC，此時能及時切斷該DC與其他DC的聯系，則可以将故障限制在一台DC 上，隻需要恢複備份（要進入目錄服務還原模式），然後正常開機聯網，讓它與其他DC同步資料，則可以恢複故障。

2、場景二：誤删除對象，有備份，操作已通步至其他DC。

通常情況下，當我們發現AD對象損壞或丢失，都已經同步至其他DC，而此時，如果單純的利用還原備份的方法，會導緻失敗。原因為：被删除的對象的資料并不是真正的被删除，而是有一個墓碑生存時間，而此時進行還原操作，還原後的DC是舊的未删除的對象，其他DC上面，是新的，已經被删除的對象，當資料同步時，按照後應用有效的原則，是會以被删除為準的，是以還原後的對象還是會被删除。

此時，我們需要一種還原方法，叫做授權還原，簡單說，就是将還原回來的對象的版本号人為的提高，将其強行改為最新的資料，使其同步時作為權威資料。

授權還原的思路如下：

進入目錄服務還原模式，還原備份（注意：不要選擇授權還原AD資料庫，以免導緻所有資料被還原到備份狀态）；

還原成功後，不要重新開機DC，進入指令行工具，準備進行授權還原；

指令及關鍵參數如下：ntdsutil/authoritative restore

提示：一定要熟悉被還原對象的LDAP名稱的文法。

3、場景三：誤删除對象，但無備份。

對于無備份的對象還原，主要有兩種解決方法：AD資源回收筒和墓碑還原。

對于林功能級别低于Windows 2008R2的環境，還原無備份的AD對象則隻能通過墓碑還原來完成，預設情況下，被删除的對象，會成為Tombstone對象，而這類對象會被删除除登入名及SID以外的多數屬性，包括密碼，如果想要還原，則可以通過ldp.exe工具，修改如下兩個屬性即可：isdeleted、distinguishedname。

如果林功能級别達到windows 2008R2，強烈建議開啟AD資源回收筒功能，這樣可以非常容易的實作AD對象的無損還原，如果伺服器是Windows 2008R2，則AD資源回收筒需要在Windows Powershell 中完成，如果伺服器是Windows 2012及以上版本，AD資源回收筒可以在圖形界面下完成，就如同桌面系統傳統的資源回收筒一樣友善。

關于AD資源回收筒的幾點注意事項：

 AD資源回收筒一旦開啟，則無法禁用；

 無法還原在AD資源回收筒功能開啟前，被删除的對象；

 需要林功能級别達到Windows 2008R2才可以開啟該功能；

 開啟AD資源回收筒後，LDP工具則不可以再使用；

 AD資源回收筒中的對象保留期限是180天。

4、場景四：DC損壞。

對于DC損壞，又無法快速修複的情況，可以考慮重建DC，但是原DC在資料中會成為垃圾資料，需要将其清理。

可以使用指令ntdsutil來進行垃圾伺服器對象清理，具體參數是metadatacleanup。如果清理的過程中，發現被清理對象是操作主機，則會彈出提示框，并可以直接遷移操作主機角色。

本文轉自天鬼皇 51CTO部落格，原文連結：http://blog.51cto.com/ghostlan/1570412，如需轉載請自行聯系原作者