Active Directory 樹系復原 - 復原多網域樹系中的單一網域
在某些情况下,可能需要在具有多個網域的樹系中僅復原單一網域,而不是完整的樹系復原。 本主題介紹復原單一網域的注意事項以及可能的策略。
與樹系復原程序類似,您可以從網域中的備份還原一個或多個 DC,並對其餘 DC 執行中繼資料清除。 然後透過加入新成員、安裝 AD DS 角色並對其進行升級來新增新的網域控制站。 您也可以使用 DC 複製或從媒體安裝來執行此工作。
單一網域復原對重建通用類別目錄 (GC) 伺服器提出了獨特的挑戰。 例如,假設網域的第一個網域控制站 (DC) 是根據一週前建立的備份還原而來,則樹系中所有其他 GC 將比還原後的 DC 具有更多該網域的最新資料。 要重建 GC 資料一致性,有兩個選項:
從樹系中的所有 GC (已還原網域中的 GC 除外) 中取消裝載已還原網域分割,同時完成後,重新裝載樹系中的全部 GC。 還要確保不讓剩下的 GC 多載。 在大型環境中,協調此活動可能非常複雜。
遵循樹系復原程序來還原網域,然後從其他網域中的 GC 中移除延遲物件。
在下列各節中,會針對每個選項提供一般注意事項。 復原需要執行的一整套步驟會因為 Active Directory 環境的不同而有所差異。
重新裝載所有 GC
警告
所有網域的預設網域系統管理員使用者帳戶 (「RID-500」) 的登入名稱和密碼必須可用,並且在出現封鎖存取 GC 進行登入的問題時啟用該帳戶。
注意
要允許在不進行 GC 驗證的情况下登入,還可以將 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures
值設定為 1。
如果未知,請針對每個網域中的另一個帳戶取得網域標識碼whoami /all
,或執行下列命令來識別 RID 500。\$DomainSID = (Get-ADDomain).DomainSID.Value
\$ObjSID = New-Object
System.Security.Principal.SecurityIdentifier("\$DomainSID-500")
\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])
\$RID500.Value
可以使用 repadmin /unhost
和 repadmin /rehost
命令 (repadmin /experthelp
的一部分) 重新承載所有 GC。 您将在每个未還原網域中的每个 GC 上运行 repadmin
命令。 需要確保的是,所有 GC 不再持有已還原網域的複本。 若要實現這一點,請首先從樹系中所有未還原網域的所有網域控制站中取消裝載網域分割。 由於 GC 不再包含分割,您可以重新裝載它。 重新裝載時,請考慮樹系的網站和複寫結構。 例如,在重新裝載該網站的其他 DC 之前,先完成每個網站一個 DC 的重新裝載。
對於每個網域只有幾個網域控制站的小型組織來說,此選項可能是有利的。 所有 GC 都可以在週五晚上重建,如有必要,可以在週一上午之前完成所有唯讀網域分割的複寫。 但是,如果您需要還原覆蓋全球網站的大型網域,則在其他網域的所有 GC 上重新裝載唯讀網域分割可能會嚴重影響作業,並可能需要停機。
檢查並移除延遲物件
在樹系中所有其他網域的 GC 上,檢查並移除已還原網域的唯讀分割之潜在延遲物件。
延遲物件清除的來源必須是已還原網域中的 DC。 為了確保來源 DC 沒有任何網域分割的延遲物件,可以移除通用類別目錄。
移除延遲物件對於那些不能承擔與重新裝載網域命名内容相關之停機風險的大型組織來說是有利的。
如需詳細資訊,請參閱使用 repadmin 來移除延遲物件。