背景:公司日常办公用的域sina.com有两个DC。为了使活动目录受到误操作后能及时还原到正常状态,公司需要制定备份和还原活动目录数据库计划。网管员在实施该计划之前需要测试其正确性。
事先创建两个部门的OU,销售部sales,工程部project,接下来在一台DC上备份活动目录数据库。备份完成后,删除了新建的这两个部门的OU。现在需要恢复销售部OU“sales”,如何实现?
先来说说授权还原的工作原理吧,如图
实验的拓扑如下
实验之前先了解一下什么是授权还原呢?授权还原(Authoritative restore)可以恢复活动目录的特定对象,在具体的实施过程中可能要配合非授权还原来一起使用。非授权还原可以恢复活动目录到它备份时的状态。注意:非授权还原不能恢复被误删除的OU,如果在备份后删除了一个OU,则执行还原后也不会恢复该OU,因为该OU的删除状态会从其他域控制器上复制过来。
默认情况下,在域控制器上删除的活动目录的对象,会以墓碑的形式保留60天,在此期间执行授权还原是可以恢复该对象的。如果超过了该期限,则会永久性删除该对象。
实验前的准备工作
开启两台2003虚拟机,一台作为第一台域控制器,另外一台作为这台域的额外域控制器,作为冗余和负载的均衡,域名为sina.com
其中DC1的IP:10.1.1.1,DC2的IP:10.1.1.2,DC2的DNS指向DC1
注意选择网卡要选择同一类型的(虚拟网卡或桥接网卡)
实验的环境搭建完成后,下面开始具体的实现步骤
(一)、在DC1上创建2个OU,在DC2上使用AD用户和计算机检查这两个OU是否出现,如果没有,则刷新一下,或重新打开AD用户和计算机
创建完成后,在DC2上也会有这两个组织单位
(二)、在第一台DC上备份系统状态数据,使用windows自带的备份工具
备份的方式保持默认,保存位置到桌面吧,勾选系统状态数据,即system state
(三)、在第一台DC上删除这两个OU,且在第二台DC上检查这两个OU是否同步删除,若没有则刷新一下,或重新打开AD用户和计算机
(四)、在第一台DC上执行授权还原
重启DC1,在显示启动菜单时按F8键,进入“目录服务还原模式”
使用ntbackup还原活动目录到原始位置,切记:完成该操作后不要重启计算机。
首先要在NTbackup的窗口菜单选择工具——选项,做如下的操作
然后勾选system state进行非授权的还原
选择“否”,在安全模式打开命令提示符,运行“ntdsutil”命令,执行截图中的操作步骤
完成上面的命令操作后,重启DC1
(五)、检查授权还原的效果
分别在DC1和DC2上打开AD用户和计算机,检查OU“sales”和“project”是否存在
可以看到只有sales被还原
