Active Directory管理之九：權威復原

在恢複已刪除對象的情況下需要使用權威復原。如：當刪除一個OU、電腦、使用者等AD對象時，如果還原後重啟網域控制站，會與網路中其他網域控制站進行複製同步，這樣該網域控制站就會接受到OU已經從其他複製夥伴刪除的資訊，開啟Active Directory使用者與電腦時，發現還原後的AD對象會再次被刪除。 

在這種情況下，就必須使用權威復原，以保證還原的AD對象能夠複製到其他網域控制站。要對 Active Directory 資料執行權威復原，在還原系統狀態資料完成之後重新啟動伺服器之前，必須運行 Ntdsutil 公用程式。使用 Ntdsutil 公用程式，可以 Active Directory 對象標記為權威復原。如果對象標記為權威復原，將會對其更新序號變更，使它比 Active Directory 複製系統中的所有其他更新序號大。這樣，將保證所有還原的已複製或已分發資料在主要組織內得到正確的複製或分發。預設情況下，在執行權威復原時，被還原對象的USN將增加100000，這樣被還原對象就成為整個域的授權副本。 

實驗環境：

650) this.width=650;" width="435" height="256" title="clip_image001" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="clip_image001" src="http://www.bkjia.com/uploads/allimg/131227/16303032O-0.png" border="0" />

DC01：域中第一台網域控制站，宿主五個操作主機。 

DC02：額外網域控制站。 

Client01：用戶端，用於驗證還原是否成功。 

1.準備系統狀態備份，使用之前的備份即可。使用Windows Server Backup備份系統狀態步驟請參考：http://labixiaoniu.blog.51cto.com/695063/1293867。 

2.類比誤刪除對象。將用戶端電腦帳號Client01和使用者user1、wfax0425刪除。刪除電腦帳號後，用戶端提示失去信任，無法登陸。

650) this.width=650;" width="469" height="311" title="image" style="margin:0px;border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630301338-1.png" border="0" />

650) this.width=650;" width="429" height="165" title="image" style="margin:0px;border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630302114-2.png" border="0" />

3.將DC01重啟後，按F8，選擇“目錄服務修複模式”。

650) this.width=650;" width="420" height="261" title="image" style="margin:0px;border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/163030JO-3.png" border="0" />

2.目錄還原模式是不能登入到域的，使用 .\administrator 登陸到本地。

650) this.width=650;" width="379" height="232" title="image" style="margin:0px;border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630301Y6-4.png" border="0" />

3.開啟Windows Server Backup對系統狀態進行還原。這個還原步驟不是實驗的重點，上一篇中也詳細介紹了還原方法，這裡就不重複介紹。只幾個關鍵步驟。

650) this.width=650;" width="550" height="420" title="image" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630304N0-5.png" border="0" />

650) this.width=650;" width="550" height="422" title="image" style="border-top-width:0px;border-right-width:0px;border-bottom-width:0px;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630304L3-6.png" border="0" />

4.還原完成後不要選擇重啟，否則與其他網域控制站一同步又會被刪除。使用ntdsutil進行權威復原。開啟CMD，輸入：ntdsutil，然後設定活動執行個體輸入：activate instance ntds 。

650) this.width=650;" height="140" title="image" style="margin:0px;border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630301039-7.png" border="0" />

5.在ntdsutil中輸入：authoriatative restore 。可以輸入：？查看相應命令的使用方法，使用restore object “DN”進行權威復原。

650) this.width=650;" height="308" title="image" style="border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/16303021A-8.png" border="0" />

6.在authoriatative restore下輸入：restore object “cn=wfax0425,ou=it,ou=users,ou=long,dc=lab,dc=com”,對使用者帳號wfax0425進行權威復原。電腦帳號的還原方式也是一樣，輸入：“cn=client01,ou=it,ou=users,ou=long,dc=lab,dc=com”,對電腦帳號進行權威復原。

注意：電腦帳號也是有密碼的，此密碼用於維持電腦和域之間的信任關係，由伺服器進行維護。預設情況下這個密碼每30天改變一次。所以進行還原時的備份如果是30天前的，則還原後的電腦帳號還是會和域失去信任。可以通過重新加域來重建信任。

650) this.width=650;" height="218" title="image" style="border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630303242-9.png" border="0" />

650) this.width=650;" height="338" title="image" style="border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/16303024B-10.png" border="0" />

7.權威復原完成後，重啟這台伺服器DC01。開啟“Active Directory使用者和電腦”工具可以看到，wfax0425、Client01這2個帳號已經成功還原，與DC02同步後也沒有被刪除，而沒有進行權威復原的帳號user1同步後還是被刪除了。在DC02查看這2個帳號也同步過去了。

650) this.width=650;" height="306" title="image" style="border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/1630304923-11.png" border="0" />

650) this.width=650;" height="299" title="image" style="margin:0px;border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/163030F59-12.png" border="0" />

8.使用用戶端Client01進行登入測試，也可以成功登陸。

650) this.width=650;" height="321" title="image" style="margin:0px;border:0px currentcolor;background-image:none;padding-top:0px;padding-right:0px;padding-left:0px;" alt="image" src="http://www.bkjia.com/uploads/allimg/131227/163030O59-13.png" border="0" />

 

總結：在實際生產環境中，一般使用者帳號及電腦帳號都會用來對資源許可權分配，如果刪除來這些帳號則會照成許可權的永久丟失，因為建立一個一樣的帳號，由於SID不同還是需要重新分配許可權。這種情況則可以使用備份對誤刪除的對象做權威復原。但是在Windows Server 2012中還原誤刪除的對象有更好的解決方案，那就是AD資源回收筒。相比2008 R2，2012中的AD資源回收筒帶有圖形介面，操作更簡單。在生產環境如果DC是Windows Server 2012，建議開啟AD資源回收筒，這樣出現誤刪除的時候還原非常方便。有關Windows Server 2012 AD資源回收筒請參考：http://labixiaoniu.blog.51cto.com/blog/695063/1200605

 

本文出自 “蠟筆小牛” 部落格,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1295082