Active Directory 林恢复 - 恢复多域林中的单个域
在某些情况下,可能仅需要恢复具有多个域的林中的单个域,而不需要恢复完整的林。 本主题介绍了恢复单个域时的注意事项和可能的策略。
与林恢复过程类似,从域中的备份还原一个或多个 DC,并执行剩余 DC 的元数据清理。 然后,通过加入新成员、安装 AD DS 角色并提升这些角色来添加新域控制器。 还可以使用 DC 克隆或从媒体 安装任务。
单域恢复为重建全局编录 (GC) 服务器带来了独特的挑战。 例如,如果域的第一个域控制器 (DC) 是从一周前创建的备份还原的,则林中所有其他 GC 中该域的数据将比还原的 DC 数据要新。 若要重新建立 GC 数据一致性,有两个选项可用:
从林中的所有 GC(恢复的域中的 GC 除外)中取消托管并重新托管恢复的域分区,同时并完成后,重新托管林中的所有 DC。 此外,请确保不会重载剩余的 DC。 在大型环境中,协调此活动可能非常复杂。
按照林恢复过程来恢复域,然后从其他域中的 GC 中删除延迟对象。
以下各部分提供了每个选项的一般注意事项。 对于不同的 Active Directory 环境,进行恢复所需完成的一整套步骤会有所不同。
重新托管所有 GC
警告
所有域的默认域管理员用户帐户(“RID-500”)的登录名和密码必须可用,并且启用了帐户,以防出现阻止访问 GC 进行登录的问题。
注意
若要允许在没有 GC 验证的情况下登录,还可以将 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures 值配置为 1。
如果未知,请使用每个域中的另一个帐户获取域 ID whoami /all ,或运行以下命令来标识 RID 500。\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value
可以使用 repadmin /unhost 和 repadmin /rehost 命令(repadmin /experthelp 的一部分)重新托管所有 DC。 你将在未恢复的每个域中的每个 GC 上运行 repadmin 命令。 需要确保所有 GC 不再保留恢复的域的副本。 为此,请先从林的所有未恢复域的所有域控制器取消托管域分区。 由于 GCS 不再包含分区,因此可以重新托管它。 重新托管时,请考虑林的站点和复制结构。 例如,在重新托管该站点的其他 DC 之前,请完成每个站点的一个 DC 的重新托管。
对于每个域只有几个域控制器的小型组织,此选项可能十分有利。 所有 GC 都可以在周五晚上重建,并且如果必要,可以在周一早上之前完成所有只读域分区的复制。 但是,如果需要恢复覆盖全球站点的大型域,则在其他域的所有 GC 上重新托管只读域分区会显著影响操作,并可能需要停机。
检查和删除延迟对象
在林中所有其他域的 GC 上,为恢复的域的只读分区检查和删除潜在的延迟对象。
延迟对象清理的源必须是恢复的域中的 DC。 若要确保源 DC 中没有任何域分区的延迟对象,可以删除全局编录。
对于那些无法承担与重新托管域命名上下文相关的停机风险的大型组织,删除延迟对象是有利的。
有关详细信息,请参阅使用 repadmin 删除延迟对象。