Active Directory授权还原
額外域控制器有很多好處,例如可以平衡用戶對AD的訪問壓力,有利于避免唯一的域控制器損壞所導致域的崩潰。域內所有的域控制器都有一個內容相同的Active Directory,而且Active Directory的內容是動態平衡的,也就是說任何一個域控制器修改了Active Directory,其他的域控制器都會把這個Active Directory的變化復制過去。
????? 如果域中有多個域控制器,但他們所擁有的Active Directory內容不一致,那么應該以哪個域控制器的Active Directory內容為準?有的朋友可能會疑惑,怎么會出現這種情況呢?其實假如有個域控制器由于更換硬件導致有幾天時間沒有在線,而其他的域控制器在這段時間對Active Directory進行了修改,那么當這個域控制器重新上線時就會出現我們所提到的這種情形。
當域控制器們發現彼此的Active Directory的內容不一致,他們就需要分析一下Active Directory的優先級,從而決定以哪個域控制器的Active Directory內容為準。Active Directory的優先級比較主要考慮三方面因素,分別是:
1 版本號
2 時間
3 GUID
版本號指的是Active Directory對象的修改次數,版本號高者優先。例如域中有兩個域控制器A和B,A域控制器上的用戶administrator口令被修改了4次,最后被改為12345;B域控制器上的用戶administrator口令被修改了5次,最后被改為123456。那么A和B發現他們的Active Directory中administrator口令不一致,這時A和B會分析版本號,發現版本號分別是4和5,這時A就會把B的Active Directory內容復制到本機的Active Direcotry中。經過這么一輪復制后,A和B的Active Directory內容就達到了新的平衡,他們Active Directory中所有對象的版本號也都完全一致了。
如果A和B兩個域控制器都是對administrator口令修改了4次,那么版本號就是相同的。這種情況下兩個域控制器就要比較時間因素,看哪個域控制器完成修改的時間靠后,時間靠后者優先。這里我們順便提及一下,Active Directory中時間是個非常重要的因素,域內計算機的時間誤差不能超過5分鐘,而且Active Directory還有一個墓碑時間的限制,這些我們以后再詳細加以說明。
如果A和B兩個域控制器的版本號和時間都完全一致,這時就要比較兩個域控制器的GUID了,顯然這完全是個隨機的結果。一般情況下時間完全相同的非常罕見,因此GUID這個因素只是一個備選方案。
說了這么多的Active Directory優先級原理,我們引入一個具體的例子讓大家加深理解。如下圖所示,域中有兩個域控制器DC1和DC2。現在域中有一個用戶張建國,我們在DC2上對Active Directory已經進行了備份。現在我們在DC1上不小心把張建國誤刪除了,顯然DC2會很快把Active Directory中的張建國也刪除,以便和DC1的Active Directory保持一致。那么我們應該怎么做才能把張建國給恢復回來呢?
很多朋友會很自然地想到利用DC2上的Active Directory備份來解決這個問題,既然備份中有張建國,那么把備份還原回來不就OK了嗎?這個問題沒這么簡單,如果域中只有一個域控制器,那么用備份還原是成立的。但現在域中有兩個域控制器,我們就要好好考慮一下了。DC2從備份還原后,DC1和DC2的Active Directory內容就不一樣了,那么DC1和DC2的Active Directory哪個優先級更高呢?哦,不對,似乎是DC1的版本號更高一些!那我們就可以從理論上得出結論,DC2從備份還原之后,Active Directory中已經擁有了張建國的用戶賬號,但DC2和DC1比較了Active Directory之后,DC2認為DC1的Active Directory比自己的優先級高,因此DC2會把DC1的Active Directory復制過來,這樣一來,剛被還原的張建國肯定會被重新刪除掉!
難道我們對此就無能為力了嗎?不是的,在DC2從備份還原Active Directory之后,我們可以利用一個工具NTDSUTIL.EXE來修改Active Directory對象的版本號,讓DC2的版本號大于DC1的版本號,這樣我們就可以利用游戲規則順利地達到目的了。這種還原方式我們稱為授權還原,下面我們通過一個實例為大家演示一下具體過程。
現在的場景是DC2已經對Active Directory進行了備份,備份中包含了域用戶張建國。在備份之后我們誤刪除了張建國,現在我們在DC2上開始利用備份進行主要還原。首先在DC2上重啟計算機,BIOS自檢后按下F8,如下圖所示,選擇進入目錄服務還原模式。目錄服務還原模式可以把Active Directory掛起,適合我們從備份還原Active Directory。
進入目錄服務還原模式后,我們從附件中啟動備份工具,如下圖所示,選擇下一步繼續。
選擇還原文件和設置。
Technorati 標簽: Active Directory,授權還原選擇從備份還原Active Directory。
點擊確定開始Active Directory的還原。
如下圖所示,還原結束后,千萬別選擇重啟計算機,我們還沒有修改Active Directory的版本號呢,確保選擇“否”。
還原結束后在Firenze的命令提示符下運行NTDSUTIL,如下圖所示。
運行了NTDSUTIL后,我們可以輸入?來獲取當前環境下的可執行命令幫助,如下圖所示,我們運行Authoritative restore來修改AD對象的版本號。
如下圖所示,我們可以簡單地運行restore database,這樣整個AD內所有對象的版本號都將加到最大,版本號加到最大是什么含義呢?微軟規定,AD對象的版本號每天最多可以增加10萬。在本例中我們不需要把AD中所有對象的版本號都增加到最大,只要修改張建國的版本號就可以了。因此我們可以使用Restore Object命令只針對張建國的版本號進行修改,那如何在AD中表示張建國呢?按照目錄對象的命名規范,張建國隸屬于ADTEST.COM域中的人事部組織單位,那我們描述張建國就應該使用cn=張建國,ou=人事部,dc=adtest,dc=com。如下圖所示,我們輸入修改指令后觀察一下運行的效果。
系統詢問是否執行授權還原,我們選擇“是”。
如下圖所示,授權還原成功完成,用quit命令退出NTDSUTIL。
授權還原結束后我們重啟DC2,如下圖所示,DC2的AD中已經重新擁有了用戶張建國,修改版本號成功了。
轉載于:https://blog.51cto.com/sunsrv/865189
總結
以上是生活随笔為你收集整理的Active Directory授权还原的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows更新补丁下载、批量安装的几
- 下一篇: ecshop 标签使用 非常好的例子