维护 AD DS 域控制器
有一些专注于维护身份验证服务的业务连续性的操作,它们对每个 AD DS 环境都适用。 这包括控制器以及其托管的 AD DS 对象的备份和还原。
维护 AD DS 域控制器的可用性
域控制器使用多主数据库复制进程将数据从一个域控制器复制到另一个域控制器。 最佳做法是,AD DS 域的每个 AD DS 站点至少有两个域控制器。 这会使 AD DS 数据库的可用性更高,并在登录高峰时间分散身份验证负载。
重要
就大多数企业而言,请考虑将每个地理区域两个域控制器作为绝对最低要求,以帮助确保高可用性和高性能。
规划 AD DS 备份和还原
维护 Active Directory 数据的可靠性非常重要。 在这个过程中执行定期备份有所帮助,而了解如何在发生故障后还原或恢复数据至关重要。
使用回收站还原已删除的 AD DS 对象
使用传统的备份方法还原从 AD DS 中删除的对象存在临时 OS 故障时间,因此 Windows Server 提供“Active Directory 回收站”功能,用简单的方法还原已删除的对象,而不会产生 AD DS 故障时间。 启用“Active Directory 回收站”后,“删除的对象”容器显示在 Active Directory 管理中心内。 删除的对象保留在此容器中,直到其生存期过期。 新 AD DS 部署的该生存期设置为 180 天,但你可以选择更改它。 你可以选择是将对象还原到其原始位置,还是 AD DS 中的备用位置。
重要
不能使用“Active Directory 回收站”还原对现有对象执行的更改。 在这种情况下,必须使用备份和还原 AD DS 的传统方法。
AD DS 备份和还原
要还原 AD DS,备份必须显式包含系统状态数据。 系统状态是包括 AD DS 数据库和注册表的关键 OS 和服务器角色文件的集合。
重要
用于完整服务器恢复的全服务器备份不支持这种方案。
要执行 AD DS 还原,你必须拥有对域控制器上的文件的完全访问权限。 这需要以 DSRM 模式重启域控制器。 如果要在本地重启域控制器,请打开高级启动选项,然后从菜单中选择“DSRM”。
以 DSRM 模式启动域控制器时,你将使用 DSRM 密码以管理员身份登录。 接下来,可以使用 Windows Server 备份来还原目录数据库。 还原过程完成后,你必须重启恢复的服务器。 域控制器将从其复制伙伴处请求自备份日以来发生的目录更改,以确保数据库与域的其余部分一致。
非权威还原
默认情况下,你将 AD DS 备份还原到一个已知的合理日期。 从本质上说,你是使域控制器在时间上回滚。 AD DS 在域控制器上重启时,域控制器联系其复制伙伴并请求所有后续更新。 换言之,域控制器使用标准复制机制与域的其余部分保持同步。
域控制器上的目录已被破坏或损坏,但问题还未传播到其他域控制器时,这种类型的还原很有用。 不过,在某些情况下,这种方法并不合适。 例如:在备份后删除对象,如果该删除已复制到其他域控制器,这种方法无法恢复备份后删除的对象。 如果还原 AD DS 的已知良好版本并重启域控制器,在备份后发生的删除操作只会复制回域控制器。
权威还原
借助授权还原,你可以还原 AD DS 对象的已知完好副本,这会替换 AD DS 数据库中这些对象的当前版本。 在授权还原过程中,按照与非权威还原步骤相同的顺序开始操作。 但在重启域控制器之前,你需要将希望保留的已还原的对象标记为权威对象,使它们从已还原的域控制器向外复制到复制伙伴。