AD災難恢復情景及方案

【引子】

手機中熟悉的旋律響起，接起電話，傳來的消息卻讓人非常不快：緊急故障，有客戶處發生AD對象意外刪除的災難，共計百餘計算機賬號被誤刪，涉及全國範圍諸多生產系統，如不及時處理，將形成大範圍業務癱瘓。

刻不容緩，立刻「全副武裝」直奔現場。通過幾近通宵的鏖戰，終於完成災難恢復。

【思考】

AD做爲企業IT基礎架構管理的核心，其重要程度不言而喻。可以對AD災難恢復場景進行冷靜的對待及氣定神閒的處理，無疑是攬大廈之將傾的重要功勞，也是對一位系統管理員的極大考驗。

本文將結合諸多項目經驗及AD的理論基礎，分享AD管理中可能遇到的災難場景以及應對策略。聲明一點，本文討論的前提條件是至少有兩臺DC的合理的AD架構，若是由於只有一臺DC，形成部份狀況下不可挽回的災難，請自備香火燒香拜佛。

注：本文只討論不一樣的AD災難場景，及應對思路，並不涉及技術細節，望讀者朋友們，以全局爲重，多想多練，關於技術細節的實現，將另外介紹。

一、場景一：誤刪除對象，有備份，但操做還沒有通步至其餘DC。

若是異致對象丟失的操做發現及時，還沒有同步至其餘DC，此時能及時切斷該DC與其餘DC的聯繫，則能夠將故障限制在一臺DC 上，只須要恢復備份（要進入目錄服務還原模式），而後正常開機聯網，讓它與其餘DC同步數據，則能夠恢復故障。

二、場景二：誤刪除對象，有備份，操做已通步至其餘DC。

一般狀況下，當咱們發現AD對象損壞或丟失，都已經同步至其餘DC，而此時，若是單純的利用還原備份的方法，會致使失敗。緣由爲：被刪除的對象的數據並非真正的被刪除，而是有一個墓碑生存時間，而此時進行還原操做，還原後的DC是舊的未刪除的對象，其餘DC上面，是新的，已經被刪除的對象，當數據同步時，按照後應用有效的原則，是會以被刪除爲準的，因此還原後的對象仍是會被刪除。

此時，咱們須要一種還原方法，叫作受權還原，簡單說，就是將還原回來的對象的版本號人爲的提升，將其強行改成最新的數據，使其同步時做爲權威數據。

受權還原的思路以下：

• 進入目錄服務還原模式，還原備份（注意：不要選擇受權還原AD數據庫，以避免致使全部數據被還原到備份狀態）；

• 還原成功後，不要重啓DC，進入命令行工具，準備進行受權還原；

• 命令及關鍵參數以下：ntdsutil/authoritative restore

• 提示：必定要熟悉被還原對象的LDAP名稱的語法。

三、場景三：誤刪除對象，但無備份。

對於無備份的對象還原，主要有兩種解決方法：AD回收站和墓碑還原。

對於林功能級別低於Windows 2008R2的環境，還原無備份的AD對象則只能經過墓碑還原來完成，默認狀況下，被刪除的對象，會成爲Tombstone對象，而這類對象會被刪除除登陸名及SID之外的多數屬性，包括密碼，若是想要還原，則能夠經過ldp.exe工具，修改以下兩個屬性便可：isdeleted、distinguishedname。

若是林功能級別達到windows 2008R2，強烈建議開啓AD回收站功能，這樣能夠很是容易的實現AD對象的無損還原，若是服務器是Windows 2008R2，則AD回收站須要在Windows Powershell 中完成，若是服務器是Windows 2012及以上版本，AD回收站能夠在圖形界面下完成，就如同桌面系統傳統的回收站同樣方便。

關於AD回收站的幾點注意事項：

 AD回收站一旦開啓，則沒法禁用；

 沒法還原在AD回收站功能開啓前，被刪除的對象；

 須要林功能級別達到Windows 2008R2才能夠開啓該功能；

 開啓AD回收站後，LDP工具則不能夠再使用；

 AD回收站中的對象保留期限是180天。

四、場景四：DC損壞。

對於DC損壞，又沒法快速修復的狀況，能夠考慮重建DC，可是原DC在數據中會成爲垃圾數據，須要將其清理。

可使用命令ntdsutil來進行垃圾服務器對象清理，具體參數是metadatacleanup。若是清理的過程當中，發現被清理對象是操做主機，則會彈出提示框，並能夠直接遷移操做主機角色。