(轉載記錄)Active Directory 災難恢復
部分適用於Windows Server 2003.
在IT環境中誰也不能保證軟硬件永遠沒有故障;那麽就需要我們IT能夠未雨綢繆,盡量避免故障發生,如果故障發生了,我們需要把損失降到最小;那麽就需要我們考慮災備的問題了,說道災備,主要的就是備份與還原了。
今天我們就說說IT環境中的一個基礎環境的災備:ActiveDirectory
試驗拓撲:
計算機名 |
角色 |
AD-Server |
域控制器(Active Directory 域服務 ) |
AD-Server2 |
輔助域控制器(Active Directory 域服務) |
CA-Server |
證書服務器(Active Directory 證書服務) |
Ex-Server |
Exchange Server 2013 |
Client |
Windows 7 |
現在就說說故障的情況吧:
一、使用最多的,我想應該是對於刪除對象的還原吧,自從Windows Server 2008 R2之後,微軟在Active Directory中增加了“Active Directory 回收站”這個功能,對於啟用“Active Directory 回收站”和使用“Active Directory 回收站”:
ActiveDirectory 回收站之Windows Server 2008 R2參考:
http://yupeizhi.blog.51cto.com/3157367/1574393
ActiveDirectory 回收站之Windows Server 2012 參考:
http://yupeizhi.blog.51cto.com/3157367/1574399
二、假設輔助域控制器(AD-Server2)出現故障,並且無法恢復:
那麽首先我們先要在域控制器(AD-Server)中刪除輔助域控制器(AD-Server2)的殘留信息:(註意:DNS記錄也應手動刪除)
http://yupeizhi.blog.51cto.com/3157367/1604933
等到輔助域控制器(AD-Server2)修好或重新購買一臺替代AD-Server2,重新加入到域,提升為額外域控制器:
額外域控制器:
http://yupeizhi.blog.51cto.com/3157367/1430494
3、假設如果是主域控制器(AD-Server)出現了故障,並且無法恢復了:
首先是DNS,如果你以前額外域控制器有DNS,並且已經使用,並且主DNS就是它自己,那麽直接就奪取角色就好了:(如果沒有DNS,或者DNS並沒有使用,需要手動重建DNS,所以
建議安裝額外域控制器的時候,也安裝上DNS。)
http://yupeizhi.blog.51cto.com/3157367/1605265
奪取完角色,等原來的主域修復後,重新添加成額外域控制器放在環境中;
這裏要註意的是:全局編錄,前面我已經說了,環境中是有Exchanger的,Exchanger要依賴全局編錄服務器的,如果原來的額外域控制器是全局編錄服務器,那麽沒什麽問題,如果不是,你奪取完角色後,不要忘了將原來的額外域控制器添加成全局編錄。如果最後一臺全局編錄服務器脫機後,我們即使重新添加全局編錄,這個時候,如果出現無法訪問,可以參考這個:
https://social.technet.microsoft.com/Forums/zh-CN/ad37f5ac-1a1b-4ea9-970a-b69d9026c858/exchange-2013owa-http-500?forum=exchangeserverzhchs
但有時候,我們會遇到在不同的硬件環境中執行還原,由於實驗環境是虛擬機,所以沒辦法模擬不同硬件環境,所以這樣給個官方鏈接,在實際環境中一定要測試:
http://support.microsoft.com/kb/263532
三、上面那些似乎夠我們一般情況下使用的了,但誰也不能保證會有會有意外,所以如果條件允許,還是做個備份好,你完全可以用計劃備份,過段時間檢查一下備份,順便拷貝一份備份,在個單獨的環境做個測試什麽的。還有很多單臺域控制器的情況,有人會說了,微軟不是建議用兩臺嗎?並且一臺出問題了怎麽辦?但我們不得不面對國內的一些客觀問題,小企業很多都是單臺域控制器的,我甚至見過一臺服務器,上面運行Active Directory 和Hyper-v;Hyper-v裏面運行的是Exchanger。
1、備份:
首先我說一說單臺域控制器,很多人會說微軟官方不建議使用單臺域控制器,但我不得不說,我遇到很多小公司也有域,也都是一臺,他們的要求很簡單,就是一些權限的要求,那麽對於這樣的企業你和他們說在增加一臺服務器做額外域控制器防止做容錯,那幾乎是不可能的事情;所以這個時候備份成為很關鍵的事情。
工欲善其事,必先利其器;備份首先你要有一個備份工具,這裏我們就使用的是Windows Server自帶的備份工具“Windows Server Backup”;
WindowsServer 2008 安裝參考:http://yupeizhi.blog.51cto.com/3157367/1586316
WindowsServer 2012 安裝參考:http://yupeizhi.blog.51cto.com/3157367/1598019
安裝好之後那麽下應該就要開始備份了:
在講備份之前,我們應該先了解一下“墓碑時間(tombstoneLifetime)”,那麽什麽是墓碑時間呢?
在Active Directory中刪除某個對象後,其實AD並沒有直接刪除該對象,而是將該對象標記為墓碑對象。但這個墓碑對象並不是一直存在域中的,它在域中存在的時間,就稱為墓碑時間。Windows Server 2003的墓碑時間只有60天,Windows Server2003 SP1以上的都是180天;
在條件允許的情況下建議使用計劃備份,這樣雖然比較占磁盤空間,但相對來說,可以避免出現超過墓碑時間的問題;
計劃備份參考:http://yupeizhi.blog.51cto.com/3157367/1615043
手動一次性備份參考:http://yupeizhi.blog.51cto.com/3157367/1586339
備份整個服務器參考:http://yupeizhi.blog.51cto.com/3157367/1598024
建議:
1)、不要就單獨備份系統狀態,因為系統狀態只有你在恢復對象的時候可能會使用到,如果系統出現故障或更換硬件需要重新安裝系統,那麽單純的系統狀態是不行的;
2)、建議使用整機備份,備份整個服務器;如果條件不允許,最起碼也要備份個裸機恢復;(關於裸機恢復的備份還原參考:http://yupeizhi.blog.51cto.com/3157367/1614023)
3)、單獨備份系統狀態,只能用於恢復對象,不能用於系統重新安裝後恢復活動目錄,但備份C盤可以還原活動目錄(我數據庫、日誌等文件都在c盤)
https://social.technet.microsoft.com/Forums/zh-CN/3f40ce97-f81b-43ca-928d-7be075faee7e?forum=windowsserversystemzhchs
2、還原:
對於“裸機恢復”和“整機備份”的恢復,可以參考:http://yupeizhi.blog.51cto.com/3157367/1614023
對於系統狀態的還原參考(非授權還原):http://yupeizhi.blog.51cto.com/3157367/1586363
執行授權還原:http://yupeizhi.blog.51cto.com/3157367/1615047
(單域要考慮DNS問題,遠程備份,進入目錄維護模式後沒法訪問共享)
如果使用已經超過墓碑時間的備份,會報錯:
(轉載記錄)Active Directory 災難恢復