在本文的上半部分中,我们介绍了活动目录林的灾难预防策略。下面继续介绍更好的方法。 虚拟机 在很多活动目录环境中,域控制器都广泛地使用了虚拟机(Virtual machines VM)。很容易离线保存一个虚拟域控制器,然后通过一个权威还原来恢复对象或者还原一个域。
例如,考虑在2个物理主机上的4个域控制器。每一天,将虚拟机下线,并将每台主机的虚拟镜像拷贝到另一个主机。这样,主机A会运行虚拟域控制器1和2,并保存域控制器DC3和DC4的镜像。同样,主机B会运行域控制器3和4,并保持域控制器1和2的镜像。
如果需要,每个主机可以运行所有的4个域控制器。 听起来不错,是吧?问题是它完全不……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在本文的上半部分中,我们介绍了活动目录林的灾难预防策略。下面继续介绍更好的方法。
虚拟机
在很多活动目录环境中,域控制器都广泛地使用了虚拟机(Virtual machines VM)。很容易离线保存一个虚拟域控制器,然后通过一个权威还原来恢复对象或者还原一个域。
例如,考虑在2个物理主机上的4个域控制器。每一天,将虚拟机下线,并将每台主机的虚拟镜像拷贝到另一个主机。这样,主机A会运行虚拟域控制器1和2,并保存域控制器DC3和DC4的镜像。同样,主机B会运行域控制器3和4,并保持域控制器1和2的镜像。如果需要,每个主机可以运行所有的4个域控制器。
听起来不错,是吧?问题是它完全不被支持。
从一个快照还原一个域控制器会导致一个USN回滚,一种无意的权威还原。这将导致复制失败和一个不一致的活动目录,并不会产生错误,而且事实上通过常规手段(如Repadmin/showrepl)无法进行探测。
其后果比简单的无法复制更加的严重。还原域控制器的唯一被支持的方法是使用一个AD-Aware备份程序,它可以还原系统状态并对活动目录数据库的InvocationID进行重置。欲了解更多信息,请查看微软的How to detect and recover from a USN rollback in Windows Server 2003以及我的文章unwinding USN rollback when faced with AD replication failure。
一个更好的方法
预防对大量活动目录对象的意外删除可以在问题发生前就对其进行解决。这可以通过在Windows Server 2008中勾选Active Directory Users and Computers用户接口里面的Prevent object from accidental deletion选项来实现。
对于不同的对象,该复选框位于不同的位置。组织单位的复选框位置如图1所示。
图1:预防组织单位的意外删除
对于一个用户对象,该复选框位于Object栏,该栏仅在Windows Server 2008和R2中可见。
该复选框可防止对象的意外删除。如果在此功能被启动时,您试图去删除一个对象,会出现下面的错误。
图2:错误信息
虽然这种方法并非万无一失,但可作为基本的防御方式。
只读域控制器
只读域控制器(Read-only domain controllers RODCs)增强了活动目录服务重新联机的能力。如果您的恢复计划需要远程站点上的域控制器,无论是在WAN之上或者通过IFM,去重新上线,您需要有合适权限的人来执行提升。通过RODCs,非域管理员就可以提升域控制器,使得在小的不安全的站点上的恢复更加的快捷。
恢复过程
谈到恢复过程,几件事情需要在出现问题前被事先确定:
- 定义环境中什么需要进行恢复。仅仅因为一个域控制器关闭一天并不一定意味着该域控制器必须被恢复。同样地,在需要时,不要等待几天导致情况变得更糟。这应该在“紧急情况”变更控制程序中得到定义。
- 应该设置恢复优先级(recovery priority)。尽管具体取决于您的域和站点配置,一般而言您需要:
- 首先在企业中心站点还原域控制器。许多拥有一个多域林的组织会在企业中心放置一个有别于每个域的域控制器以便更容易地进行灾难恢复。虽然它不足以去应付全部的客户负载,它至少可以在完全失效时维持域名的可用。
- 恢复域控制器和交换服务站点的全局目录。这对于保持email的可用,以减少电子邮件的失败投诉是至关重要的。
- 根据重要性恢复远程站点上的域控制器和全局目录。使用的标准应该是数量以及/或者用户重要性、需要域控制器访问认证的关键应用程序等等。
- 恢复连接不良站点上的域控制器和全局目录。为了给因为不良的网络服务,可能在寻找一个远程域控制器上遇到困难的用户提供域控制器服务,这个步骤可能会被提前进行。一种方法是首先恢复连接不良站点上的域控制器,而连接良好站点的用户则通过WAN进行认证。
在恢复计划中,应该通过业务部门、帮助台组织以及网络组等等的需要来定义优先级,请记住,在恢复中要尽快地恢复业务。
权威还原是一把双刃剑:虽然可以恢复大量的已删除对象,也可以恢复您不想恢复的已删除对象(并可能对您做的一些事无法进行恢复)。
虽然几乎没有对整个林的恢复需求,一个良好的林恢复计划会确保基本组件能够被快速成功地恢复。重要的是,在以后的Windows Server版本中审查其特征和更改,以评估其对恢复计划的影响。每一个Windows Server的新版本似乎都包含让恢复更有效的改进,而且这甚至可以作为升级的原因本身。
作者
相关推荐
-
如何保障虚拟化容器在应用环境中的安全性?
容器和虚拟机都能以不同方式满足企业的应用部署需求。而在安全方面,虚拟化容器面临的挑战与虚拟机不同。
-
Azure Active Directory Connect是如何协助管理员工作的?
Azure的AD Connect工具可以协助管理员在本地Active Directory环境中顺利工作,也有助于从Azure云中获取管理资源。
-
Active Directory数据库太杂乱?ADSI Edit来清理
随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。本文介绍如何使用ADSI Edit来清理Active Directory数据库。
-
如何执行活动目录备份和恢复?
我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?