部分适用于Windows Server 2003.

在IT环境中谁也不能保证软硬件永远没有故障;那么就需要我们IT能够未雨绸缪,尽量避免故障发生,如果故障发生了,我们需要把损失降到最小;那么就需要我们考虑灾备的问题了,说道灾备,主要的就是备份与还原了。

今天我们就说说IT环境中的一个基础环境的灾备:ActiveDirectory

试验拓扑:

  计算机名
  
  角色
  
  AD-Server
  
  域控制器(Active Directory 域服务

  
  AD-Server2
  
  辅助域控制器(Active Directory 域服务)
  
  CA-Server
  
  证书服务器(Active Directory 证书服务)
  
  Ex-Server
  
  Exchange  Server 2013
  
  Client
  
  Windows 7
  

现在就说说故障的情况吧:
一、使用最多的,我想应该是对于删除对象的还原吧,自从Windows Server 2008 R2之后,微软在Active Directory中增加了“Active Directory 回收站”这个功能,对于启用“Active Directory 回收站”和使用“Active Directory 回收站”:
ActiveDirectory 回收站之Windows Server 2008 R2参考:
http://yupeizhi.blog.51cto.com/3157367/1574393
ActiveDirectory 回收站之Windows Server 2012 参考:
http://yupeizhi.blog.51cto.com/3157367/1574399

二、假设辅助域控制器(AD-Server2)出现故障,并且无法恢复:
那么首先我们先要在域控制器(AD-Server)中删除辅助域控制器(AD-Server2)的残留信息:(注意:DNS记录也应手动删除)
http://yupeizhi.blog.51cto.com/3157367/1604933

等到辅助域控制器(AD-Server2)修好或重新购买一台替代AD-Server2,重新加入到域,提升为额外域控制器:
额外域控制器:
http://yupeizhi.blog.51cto.com/3157367/1430494

3、假设如果是主域控制器(AD-Server)出现了故障,并且无法恢复了:
首先是DNS,如果你以前额外域控制器有DNS,并且已经使用,并且主DNS就是它自己,那么直接就夺取角色就好了:(如果没有DNS,或者DNS并没有使用,需要手动重建DNS,所以
建议安装额外域控制器的时候,也安装上DNS。)
http://yupeizhi.blog.51cto.com/3157367/1605265
夺取完角色,等原来的主域修复后,重新添加成额外域控制器放在环境中;

这里要注意的是:全局编录,前面我已经说了,环境中是有Exchanger的,Exchanger要依赖全局编录服务器的,如果原来的额外域控制器是全局编录服务器,那么没什么问题,如果不是,你夺取完角色后,不要忘了将原来的额外域控制器添加成全局编录。如果最后一台全局编录服务器脱机后,我们即使重新添加全局编录,这个时候,如果出现无法访问,可以参考这个:
https://social.technet.microsoft.com/Forums/zh-CN/ad37f5ac-1a1b-4ea9-970a-b69d9026c858/exchange-2013owa-http-500?forum=exchangeserverzhchs

但有时候,我们会遇到在不同的硬件环境中执行还原,由于实验环境是虚拟机,所以没办法模拟不同硬件环境,所以这样给个官方链接,在实际环境中一定要测试:
http://support.microsoft.com/kb/263532

三、上面那些似乎够我们一般情况下使用的了,但谁也不能保证会有会有意外,所以如果条件允许,还是做个备份好,你完全可以用计划备份,过段时间检查一下备份,顺便拷贝一份备份,在个单独的环境做个测试什么的。还有很多单台域控制器的情况,有人会说了,微软不是建议用两台吗?并且一台出问题了怎么办?但我们不得不面对国内的一些客观问题,小企业很多都是单台域控制器的,我甚至见过一台服务器,上面运行Active Directory 和Hyper-v;Hyper-v里面运行的是Exchanger。

1、备份:
首先我说一说单台域控制器,很多人会说微软官方不建议使用单台域控制器,但我不得不说,我遇到很多小公司也有域,也都是一台,他们的要求很简单,就是一些权限的要求,那么对于这样的企业你和他们说在增加一台服务器做额外域控制器防止做容错,那几乎是不可能的事情;所以这个时候备份成为很关键的事情。
工欲善其事,必先利其器;备份首先你要有一个备份工具,这里我们就使用的是Windows Server自带的备份工具“Windows Server Backup”;
WindowsServer 2008 安装参考:http://yupeizhi.blog.51cto.com/3157367/1586316
WindowsServer 2012 安装参考:http://yupeizhi.blog.51cto.com/3157367/1598019

安装好之后那么下应该就要开始备份了:
在讲备份之前,我们应该先了解一下“墓碑时间(tombstoneLifetime)”,那么什么是墓碑时间呢?
在Active Directory中删除某个对象后,其实AD并没有直接删除该对象,而是将该对象标记为墓碑对象。但这个墓碑对象并不是一直存在域中的,它在域中存在的时间,就称为墓碑时间。Windows Server 2003的墓碑时间只有60天,Windows Server2003 SP1以上的都是180天;

在条件允许的情况下建议使用计划备份,这样虽然比较占磁盘空间,但相对来说,可以避免出现超过墓碑时间的问题;
计划备份参考:http://yupeizhi.blog.51cto.com/3157367/1615043
手动一次性备份参考:http://yupeizhi.blog.51cto.com/3157367/1586339
备份整个服务器参考:http://yupeizhi.blog.51cto.com/3157367/1598024

建议:
1)、不要就单独备份系统状态,因为系统状态只有你在恢复对象的时候可能会使用到,如果系统出现故障或更换硬件需要重新安装系统,那么单纯的系统状态是不行的;
2)、建议使用整机备份,备份整个服务器;如果条件不允许,最起码也要备份个裸机恢复;(关于裸机恢复的备份还原参考:http://yupeizhi.blog.51cto.com/3157367/1614023)
3)、单独备份系统状态,只能用于恢复对象,不能用于系统重新安装后恢复活动目录,但备份C盘可以还原活动目录(我数据库、日志等文件都在c盘)
https://social.technet.microsoft.com/Forums/zh-CN/3f40ce97-f81b-43ca-928d-7be075faee7e?forum=windowsserversystemzhchs

2、还原:
对于“裸机恢复”和“整机备份”的恢复,可以参考:http://yupeizhi.blog.51cto.com/3157367/1614023
对于系统状态的还原参考(非授权还原):http://yupeizhi.blog.51cto.com/3157367/1586363
执行授权还原:http://yupeizhi.blog.51cto.com/3157367/1615047
(单域要考虑DNS问题,远程备份,进入目录维护模式后没法访问共享)

如果使用已经超过墓碑时间的备份,会报错:

(转载记录)Active Directory 灾难恢复的更多相关文章

  1. SRV记录用来标识某台服务器使用了某个服务,常见于微软系统的目录管理——深入的话需要去折腾Azure Active Directory

    SRV记录 SRV记录 什么情况下会用到SRV记录? [SRV记录用来标识某台服务器使用了某个服务,常见于微软系统的目录管理] SRV记录的添加方式 A.主机记录处格式为:服务的名字.协议的类型 例如 ...

  2. Enabling Active Directory Authentication for VMWare Server running on Linux《转载》

    Enabling Active Directory Authentication for VMWare Server running on Linux Version 0.2 - Adam Breid ...

  3. Active Directory 域服务 (AD DS) 虚拟化

    TechNet 库 Windows Server Windows Server 2012 R2 和 Windows Server 2012 服务器角色和技术 Active Directory Acti ...

  4. 介绍 Active Directory 域服务 (AD DS) 虚拟化

    TechNet 库 Windows Server Windows Server 2012 R2 和 Windows Server 2012 服务器角色和技术 Active Directory Acti ...

  5. Active Directory组织单位(Organizational Unit)操作汇总

    前言 本章聊Active Directory的组织单位(OU)的新增.修改.移动等操作,使用.NET Framework 为我们提供的System.DirectoryServices程序集. 不积跬步 ...

  6. Active Directory的DirectoryEntry与DirectorySearcher初识及Filter语法

    前言 增删改查,我想查询是最先要说的一个了.本章主要记录使用.NET Framework进行对域控服务器对象的查询操作,介绍DirectoryEntry与DirectorySearcher(搜索器)及 ...

  7. Active Directory网域

    Active Directory网域 3.1Windows网络的管理方式 3.1.1工作组模式 工作组由一组用网络连接在一起的计算机组成,他们将计算机内的资源共享给用户访问.工作组网络也被称为“对等式 ...

  8. Azure Active Directory Connect密码同步问题

    这几天一直在弄O365与本地域账号的密码同步问题.由于微软即将用Azure Active Directory Connect(以下简称AADC)这个同步工具替代之前的DirSync,所以我也研究了下这 ...

  9. 部署额外域控制器,Active Directory

      部署额外域控制器 转自:http://yuelei.blog.51cto.com/202879/117599 如果域中只有一台域控制器,一旦出现物理故障,我们即使可以从备份还原AD,也要付出停机等 ...

随机推荐

  1. 面试题:常用的http状态码

    3XX 重定向 301 Moved Permanently    永久重定向,表示请求的资源已经永久的搬到了其他位置 302 Found  临时重定向,表示请求的资源临时搬到了其他位置 303 See ...

  2. Android源代码下载 “Gerrit下载源代码”

    repo init -u ssh://jenkins@gerrit.y:29419/manifest -m k86A.xml 使用-m参数指定具体使用的是k86A.mxl文件 步骤1. curl ht ...

  3. 隐藏"Input"标签默认样式

    input { width: 400px; border: none; background-color: inherit; border-bottom: #fbfee9 solid 3px; fon ...

  4. angular.isArray()

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  5. Java 获取当前日期的几种方法

    import java.text.DateFormat; import java.text.SimpleDateFormat; import java.util.Calendar; import ja ...

  6. HTML5:离线存储

    最近由于找工作一直没时间也没有精力更新博客,找工作真是一件苦逼的事情啊...不抱怨了,我们来看看HTML5的新特性---离线存储吧. 随着Web App的发展,越来越多的移动端App使用HTML5的方 ...

  7. ajax项目冲刺01

    1.模板引擎 1)模板+数据=>静态页面片段 2)art-template性能较好 分支语法: {{if value}} ... {{/if}} {{if v1}} ... {{else if ...

  8. BOM 浏览器对象模型_同源限制

    “同源政策”(same-origin policy) 浏览器安全的基石 协议相同 域名相同 端口相同 1995年,同源政策由 Netscape 公司引入浏览器.目前,所有浏览器都实行这个政策 A 网页 ...

  9. Linux搭建git服务端

    1.安装$ yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-devel$ yum inst ...

  10. JavaBean,POJO,VO,DTO的区别和联系

    JavaBean 是一种JAVA语言写成的可重用组件.为写成JavaBean,类必须是具体的和公共的,并且具有无参数的构造器.JavaBean 通过提供符合一致性设计模式的公共方法将内部域暴露成员属性 ...