Conceptos de Active Directory y recuperación de desastres

  

1. ¿Qué es Active Directory?
AD es una base de datos transaccional, un modo de registro escrito previamente que utiliza la tecnología ESE97. En el disco, AD aparece como varios archivos, que son ntds.dit (base de datos de AD), un conjunto de registros de transacciones (es decir, registros) y un archivo de punto de control que registra el último búfer en la base de datos. También hay un archivo de base de datos temporal. Un servicio de directorio es un nombre compuesto que incluye el significado de un almacén de datos de directorio y servicios relacionados que permiten a los usuarios o programas acceder a la información. Para la comunidad, ¿tienes un catálogo? El catálogo proporciona un área de almacenamiento centralizado para todos los datos importantes de la red corporativa, incluidos recursos como cuentas de usuario, computadoras, impresoras, aplicaciones, seguridad y principios del sistema. La colocación de la mayoría de los recursos importantes en un recurso de red compartido puede mejorar la eficiencia de la empresa y reducir significativamente el costo total de propiedad (TCO) de la red. El servicio de directorio WIN 2K utiliza un modo de controlador múltiple, lo que significa que los recursos de directorio pueden modificarse en cualquier controlador. Entonces, de lo anterior podemos saber que AD es en realidad una base de datos, y cada DC es un servidor de bases de datos importante, por lo que debemos proteger a los DC como proteger bases de datos importantes.
Segundo, varios conceptos de Active Directory
1, dominio: un límite de seguridad.
2, árbol: una colección de múltiples dominios.
3. Lin: Múltiples árboles asociados.
4, DNS: Gateway to AD. El registro de servicio en el DNS es la raíz de la consulta AD del sistema de aplicación.
5, GC: un índice de objetos AD que se consultan a menudo. En el modo local, el GC participa en el proceso de solicitud de inicio de sesión del cliente de red, proporciona una membresía de grupo universal y los miembros del grupo de administradores que no son de dominio pueden iniciar sesión en la red sin la asistencia del GC. En modo mixto, el GC no participa en el proceso de inicio de sesión, pero sigue siendo importante para que el GC realice búsquedas de directorios y búsquedas en la red.
6, host operativo: aunque el modo multicontrolador es la función principal de AD, pero el conflicto potencial entre varios servidores también hace que esta manera funcione de una manera inaplicable determinada, para resolver este problema, AD eligió Algunas máquinas especiales vienen en papeles especiales. Cada rol es responsable de manejar los cambios en un área de AD particular.
Third, mantenimiento y respaldo de AD
1, mantenimiento de AD: a través de la herramienta de monitoreo de rendimiento para monitorear el estado operativo y el estado de los componentes de AD, puede encontrar un error de AD y resolverlo a tiempo.
2, copia de seguridad de AD: se puede hacer una copia de seguridad de AD haciendo una copia de seguridad del estado del sistema, puede encontrar la herramienta de copia de seguridad en la herramienta del sistema para hacer esto, y también puede usar un software de terceros para lograrlo. Pero preste atención a algunas restricciones de la copia de seguridad de AD:
* AD solo hace una copia de seguridad de los datos actualmente válidos, y no hace una copia de seguridad de los objetos que se han marcado para su eliminación. La eliminación de objetos en AD no es inmediata y requiere 60 días para eliminar el tiempo de marcado. Por lo tanto, debe evitar recuperar las copias de seguridad de AD hace 60 días, para evitar que AD esté incompleto.
* El tipo de copia de seguridad de AD no se puede seleccionar, solo se puede usar la copia de seguridad completa.
* Asegúrese de que la copia de seguridad contenga el estado del sistema, los archivos en el disco del sistema y el contenido del directorio SYSVOL.
* Solo puede restaurar el servidor con una copia de seguridad del servidor original, y no puede restaurar el servidor con una copia de seguridad de otro servidor.
3, Acabado AD: los valores predeterminados del sistema AD se ejecutan en línea automáticamente cada 12 horas. Pero el acabado en línea no puede reducir el tamaño de la base de datos, para reducir el tamaño de la base de datos, debe usar el acabado sin conexión, su funcionamiento es:
Cuando se inicia el DC, presione F8 para ingresar al menú de inicio, seleccione "Modo de recuperación de directorio: ingrese al sistema, en el comando Ingrese el siguiente comando en la línea.
ntdsutil
files
info
¡Observe la salida de la ruta del archivo de directorio en este momento!
comnpact to c: \\ mydir
Este comando estará en el directorio especificado. Cree un archivo de base de datos comprimido.
salga dos veces, salga de la herramienta.
A continuación, debe reemplazar el archivo original por el archivo comprimido. Reinicie la computadora con cuatro, arquitectura AD < La arquitectura de AD se compone de datos definidos de manera estructurada. Define estas estructuras mediante la descripción de metadatos, que generalmente incluyen nombres de atributos, tipos, longitudes, relaciones, etc. Parece que es un poco como una definición de campo en una base de datos relacional. También incluye algunos atributos extendidos, como:
1, contexto de denominación: hay tres, son el contexto de denominación de dominio (guardar los datos del dominio de AD actual), configurar el contexto de denominación ( Guarde el objeto base principal y la información de configuración), el contexto de nomenclatura del esquema (guardar define todos los objetos y atributos de AD). Categoría 2: describe el objeto de AD y sus propiedades y atributos relacionados. Arquitectura de AD Administración: la administración de la arquitectura está controlada por la función de host de la arquitectura. Por defecto, la unidad de administración no está visible. Debe registrar .schmmgmt.dll antes de poder encontrarlo en la MMC. El método de registro se ejecuta: regsvr32% systemroot% \\ system32 \\ schmmgmt. Se prohíbe eliminar el contenido de dll.architecture.
5, reparación de AD y recuperación
1, mantenimiento y reparación de AD, se implementan a través de una herramienta de línea de comandos - NTDSUTIL. El comando de reparación es:
ntdsutil
reparación
2, recuperación de AD
Modo de recuperación: AD tiene dos modos de recuperación: recuperación de autorización y recuperación no autorizada, la diferencia es:
1) Recuperación de autorización: cuando otro Cuando el controlador de dominio contiene datos y replicación no válidos, puede utilizar el método de recuperación de autorización. En este caso, puede especificar manualmente que desea restaurar toda la base de datos o una rama, y ​​especificar que la operación de recuperación local es autoritativa. Wei, cuando se produzca la replicación del directorio, prevalecerán los datos locales. La recuperación de la autorización modificará el número de serie de actualización de AD para que su número de serie sea más alto que otros DC, de modo que los datos de recuperación local puedan copiarse a otros DC. Br> 2) Recuperación no autorizada: la mayoría de las operaciones de recuperación no están autorizadas. Cuando descubre que hay un problema con los datos de un DC y está seguro de que los otros datos de DC son normales, puede usar la recuperación no autorizada. Una vez que se complete la recuperación, El DC volverá a comparar el número de serie de la actualización y participará en la replicación normal. Es decir, los datos recuperados por una autorización no autorizada pueden reescribirse en la copia.
Nota:
Si no cumple con los siguientes requisitos, la operación de recuperación debe fallar
* El nombre del servidor debe ser el mismo que el tiempo de respaldo
* La carpeta del sistema debe ser la misma que la de respaldo * La ruta para guardar el directorio debe ser la misma que la del tiempo de respaldo.
3, operación de recuperación
1) Recuperación no autorizada: inicie DC, ingrese al "modo de recuperación de directorio" y realice la operación de restauración de respaldo.
2) Recuperación de la autorización: después de realizar la recuperación no autorizada, continúe con las siguientes operaciones:
* ntdsutil
restauración autorizada
restaurar la base de datos - Este comando autorizará la restauración de la base de datos completa, si solo desea restaurar Para una rama, puede usar:
restaurar subárbol ou = eng, dc = mycompany, dc = com
Si el sistema lo solicita correctamente, responda SÍ.
salir de la salida.
Nota: Una vez completada la recuperación, el sistema le preguntará automáticamente si necesita reiniciar el servidor. Debe seleccionar "NO" para la recuperación de la autorización. De lo contrario, una vez que se reinicie el servidor, la recuperación de la autorización se convertirá en una recuperación no autorizada. Además, debe tenerse en cuenta que la recuperación de la autorización restaura el directorio del archivo SYSVOL en conjunto. Cuando la cuenta de la computadora no está deshabilitada, el sistema verificará la contraseña de la computadora cada 7 días. La recuperación de la autorización también restablecerá la contraseña de confianza, que puede causar la computadora. Se pierde la relación de confianza, que también necesita atención.
4, proceso de recuperación catastrófica de AD
1) Reinstalar y restaurar AD
La forma más fácil de restaurar AD es reinstalar el sistema operativo y volver a actualizar el DC. Esto crea un nuevo DC, pero considere un problema, si los datos del DC original están dañados, no podremos usar el comando DCPROMO para eliminar los datos de AD en el DC, lo que puede llevar a la desincronización de los datos de AD, y más Peor aún, no puede eliminar objetos de DC en el usuario de AD y la unidad de administración de la computadora. Esta es la única forma en que puede eliminar el DC de los "Sitios y Servicios de AD" antes de poder eliminar el DC. Si desafortunadamente necesita un nuevo DC con el mismo nombre que el DC original, entonces debe usar el comando NTDSUTIL para eliminar la información del objeto en el AD antes de poder crear un nuevo DC. Las operaciones específicas son las siguientes:
ntdsutil
limpieza de metadatos
conexiones
conexión al servidor < good dc >
quit
select target target search list site
select site < ID >
lista de dominios
seleccionar dominio < ID >
lista de servidores en sitio
seleccionar servidor < bad dc >
eliminar servidor seleccionado
El comando anterior puede eliminar el que esté roto Informacion dc Para obtener información más detallada, consulte la ayuda de NTDSUTIL para realizar NTDSUTIL? Puedes leer la información de ayuda.
Nota: Antes de eliminar el DC original, debe confirmar que el DC original no contiene ningún rol. Si es así, use el comando NTDSUTIL para capturar el rol de la siguiente manera:
ntdsutil
roles
Seize master de nombres de dominio - Anular roles de dominio en servidores conectados
Seize master de infraestructura - Anular roles estructurales en servidores conectados
Seize PDC - Sobrescribir roles de PDC en servidores conectados
Seize RID master - Conectado Reescribiendo el rol de RID en el servidor
Seize schema master - Reescribiendo el rol de esquema en el servidor conectado
¡El DC que se está capturando no podrá volver a conectarse a la red sin volver a instalar el sistema operativo! !
2) Restaurar AD desde copia de seguridad
Recuperar AD desde archivos de copia de seguridad es muy adecuado. Sin embargo, preste atención al modo de restauración utilizado. Si recupera la información de una operación incorrecta, debe recordar utilizar el modo de recuperación de autorización.
Nota:
* Copia de seguridad caducada: como se mencionó anteriormente, la copia de seguridad de AD no puede restaurar los datos hace 60 días. Si necesita restaurar la copia de seguridad de 60 días, debe modificar el tiempo de marca global de acuerdo con KB216993 para restaurar. . Su ubicación en el
CN = Servicio de directorio, CN = Windows NT, CN = Servicios, CN = Configuración, DC = COMPAÑÍA, DC = COM, el nombre es: tombstoneLifetime, la operación necesita editar directamente los datos de AD, Utilice herramientas como ADSI, LDP.
Nota: ¡Por favor ten cuidado!
* Restaurar bajo hardware diferente: Normalmente, no se recomienda que restaure la copia de seguridad de AD en hardware diferente a menos que confirme que el hardware de la nueva máquina y la máquina original son básicamente iguales y use el mismo archivo de capa de abstracción de hardware (HAL). .
* Copia de seguridad y restauración remotas: después del archivo BOOT.INI, puede usar la opción de comando /safeboot: dsrepair para iniciar la máquina remota en modo de recuperación.
5. Conclusión
Este artículo describe brevemente el concepto general y la teoría básica de Active Directory, y se centra en las habilidades y operaciones de copia de seguridad y recuperación de AD, así como en los métodos de recuperación catastróficos.

Apéndice: Ayuda para NTDSUTIL
ntdsutil:?

? - Imprima esta información de ayuda
Restauración autoritativa - Restauración autoritativa de la base de datos D99v
Administración del dominio - Prepare la creación de un nuevo dominio
Archivos - Administre los archivos de la base de datos NTDS
Ayuda - Imprima esta información de ayuda
Lista de IPDeny - Administrar listas de denegación de IP LDAP
Políticas LDAP - Administrar políticas de protocolo LDAP
Limpieza de metadatos - Limpiar objetos para servidores no utilizados
Popups% s - Habilitar o deshabilitar la ventana emergente con "on" u "off" > quit - para salir de las funciones del servicio público
- propietario de la función de gestión de NTDS fichas
gestión de cuentas de seguridad - gestionar base de datos de cuentas de seguridad - copia la limpieza SID
análisis de la base de datos semántica - gramatical
< Br>
Copyright © Conocimiento de Windows All Rights Reserved