2022年AD配置与应用系列[整 .pdf

《2022年AD配置与应用系列[整 .pdf》由会员分享，可在线阅读，更多相关《2022年AD配置与应用系列[整 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Active Directory的主要还原， Active Directory系列之五2008-12-15 10:28:40标签： ActiveDirectory，主要还原，版本号 推送到技术圈 版 权 声 明 ： 原 创 作 品 ，允 许 转 载 ，转 载 时 请 务 必 以 超 链 接 形 式 标 明 文 章原 始出 处、 作 者 信 息 和 本 声 明 。 否 则 将 追 究 法 律 责 任 。ht t p:/yuele i.b lo g.5 1c t o.c om/20 2 87 9/ 11 94 7 7Active Directory的授权还原在上篇博文中我们介绍了如何在域中部署额外

2、域控制器，额外域控制器有很多好处，例如可以平衡用户对AD 的访问压力，有利于避免唯一的域控制器损坏所导致域的崩溃。从上篇博文中我们得知，域内所有的域控制器都有一个内容相同的 Active Directory，而且 Active Directory的内容是动态平衡的，也就是说任何一个域控制器修改了Active Directory，其他的域控制器都会把这个 Active Directory的变化复制过去。今天我们要考虑这么一个问题，如果域中有多个域控制器，但他们所拥有的Active Directory内容不一致，那么应该以哪个域控制器的Active Directory 内容为准？有的朋友可能会疑惑

3、，怎么会出现这种情况呢？其实假如有个域控制器由于更换硬件导致有几天时间没有在线，而其他的域控制器在这段时间对 Active Directory进行了修改，那么当这个域控制器重新上线时就会出现我们所提到的这种情形。当域控制器们发现彼此的Active Directory的内容不一致，他们就需要分析一下 Active Directory的优先级， 从而决定以哪个域控制器的Active Directory 内容为准。 Active Directory的优先级比较主要考虑三方面因素，分别是：1 版本号2 时间3 GUID版本号指的是 Active Directory对象的修改次数，版本号高者优先。例如域

4、中有两个域控制器A 和 B， A 域控制器上的用户administrator口令被修改了4 次，最后被改为12345 ；B 域控制器上的用户 administrator口令被修改了 5 次，最后被改为 123456 。那么 A 和 B 发现他们的 Active Directory中administrator口令不一致， 这时 A 和 B 会分析版本号， 发现版本号分别是4名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 和 5，这

5、时 A 就会把 B 的 Active Directory内容复制到本机的Active Direcotry中。经过这么一轮复制后，A 和 B 的 Active Directory内容就达到了新的平衡，他们Active Directory中所有对象的版本号也都完全一致了。如果 A 和 B 两个域控制器都是对administrator口令修改了 4 次，那么版本号就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。这里我们顺便提及一下，Active Directory中时间是个非常重要的因素，域内计算机的时间误差不能超过5 分钟，而且 Active

6、Directory还有一个墓碑时间的限制，这些我们以后再详细加以说明。如果 A 和 B 两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的 GUID 了，显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见，因此 GUID 这个因素只是一个备选方案。说了这么多的 Active Directory优先级原理，我们引入一个具体的例子让大家加深理解。如下图所示，域中有两个域控制器Florence和 Firenze 。现在域中有一个用户张建国，我们在Firenze上对 Active Directory已经进行了备份。现在我们在Florence上不小心把张建国误删除了，显然Firen

7、ze会很快把 Active Directory中的张建国也删除，以便和Florence的 Active Directory保持一致。那么我们应该怎么做才能把张建国给恢复回来呢？很多朋友会很自然地想到利用Firenze上的 Active Directory备份来解决这个问题，既然备份中有张建国，那么把备份还原回来不就OK 了吗？这个问题名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 没这么简单，如果域中只有一个域控制器，那么用备份

8、还原是成立的。但现在域中有两个域控制器，我们就要好好考虑一下了。Firenze从备份还原后， Florence和 Firenze的 Active Directory内容就不一样了， 那么 Florence和Firenze的 Active Directory哪个优先级更高呢？哦，不对，似乎是Florence 的版本号更高一些！ 那我们就可以从理论上得出结论，Firenze从备份还原之后， Active Directory中已经拥有了张建国的用户账号，但Firenze和 Florence比较了 Active Directory之后， Firenze认为 Florence的 Active Direc

9、tory比自己的优先级高， 因此 Firenze会把 Florence的 Active Directory 复制过来，这样一来，刚被还原的张建国肯定会被重新删除掉！难道我们对此就无能为力了吗？不是的，在Firenze从备份还原 Active Directory之后，我们可以利用一个工具NTDSUTIL.EXE来修改 Active Directory 对象的版本号，让 Firenze的版本号大于 Florence的版本号，这样我们就可以利用游戏规则顺利地达到目的了。这种还原方式我们称为授权还原，下面我们通过一个实例为大家演示一下具体过程。现在的场景是 Firenze已经对 Active Dire

10、ctory进行了备份，备份中包含了域用户张建国。 在备份之后我们误删除了张建国，现在我们在 Firenze上开始利用备份进行主要还原。首先在Firenze上重启计算机， BIOS 自检后按下 F8，如下图所示，选择进入目录服务还原模式。目录服务还原模式可以把Active Directory挂起，适合我们从备份还原Active Directory。进入目录服务还原模式后，我们从附件中启动备份工具，如下图所示，选择下一步继续。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9

11、 页 - - - - - - - - - 选择还原文件和设置。选择从备份还原Active Directory。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 点击确定开始 Active Directory的还原。如下图所示，还原结束后，千万别选择重启计算机，我们还没有修改Active Directory的版本号呢，确保选择“否”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

12、 - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 还原结束后在 Firenze的命令提示符下运行NTDSUTIL ，如下图所示。运行了 NTDSUTIL后，我们可以输入？来获取当前环境下的可执行命令帮助，如下图所示，我们运行Authoritative restore来修改 AD 对象的版本号。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 如下图所示，我们可以简单

13、地运行restore database ，这样整个 AD 内所有对象的版本号都将加到最大，版本号加到最大是什么含义呢？微软规定，AD对象的版本号每天最多可以增加10 万。在本例中我们不需要把AD 中所有对象的版本号都增加到最大，只要修改张建国的版本号就可以了。因此我们可以使用 Restore Object命令只针对张建国的版本号进行修改，那如何在 AD 中表示张建国呢？按照目录对象的命名规范，张建国隶属于 ADTEST.COM域中的人事部组织单位， 那我们描述张建国就应该使用cn张建国， ou 人事部，dcadtest ，dccom 。如下图所示，我们输入修改指令后观察一下运行的效果。名师资料

14、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 系统询问是否执行授权还原，我们选择“是”。如下图所示，授权还原成功完成，用quit 命令退出 NTDSUTIL 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 授权还原结束后我们重启Firenze ，如下图所示， Firenze的 AD 中已经重新拥有了用户张建国，修改版本号成功了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -