没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
Active Directory 灾难恢复
服务以及保证其顺利运行所需的系统是 操作
系统的核心。系统管理员必须了解如何使这些关键的系统保持正常运行,以及在出现故障
时如何采取应对措施。
在 基础结构中,域控制器可以充当多种角色 — 全局编录 、操作
主机 以及单一域控制器。本文中介绍了在出现故障后恢复 数据
库的步骤,而且还介绍了将服务器还原为特定角色所必需的特殊要求。
引言
本文讨论将域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复
的步骤。此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导。导致灾难的
另一个原因是人为因素,例如将包含错误的数据复制到公司的其它域控制器上。
本文提供有关对运行 的域控制器(不运行其它服务)进行恢复的信息。
如果该计算机上还安装有其它服务,例如域名系统 或 信息服务 ,则
可能还需要其它步骤,但是这些步骤不包括在本文中。
本文中的大多数示例都是基于 备份实用程序 !"的,该程
序是 中附带的默认备份应用程序。有关该工具的更多信息,可以在附录
#中找到。用户可以有自己喜欢的备份应用程序,但是本文中的内容仍然适用。
本文不讨论涉及 的故障排除问题。而是用于解决如下情况:所有的故
障排除手段都已经失败,并且 无法正常运行,在这种情况下用户无法
将域管理器引导到正常模式。
本文假定用户具有关于 及其相关组件的预备知识。有关
的信息,请阅读 $%中的
&一书。
系统管理员可以使用本文中的信息来制定灾难恢复规划,但是本文还必须与本单位内部环
境以及现有灾难恢复策略中的具体信息相结合。
概述
服务是 的目录服务。它是操作系统的核心组件,为企
业和操作系统中的其它组件提供基本数据。
为管理员提供组织网络资源,管理用户、计算机和应用程序所需要的中
心服务。
在 中可以存储许多不同的对象,包括:
1
用户。
组。
安全凭据,例如证书。
系统资源,例如计算机(或服务器)和打印机。
复制组件,设置本身也是 中的对象。
组件配置,以前它存储在 '中的注册表中,现在则存储在
的类中。
控制工作环境的规则和策略。
下面的图 (描述了集中存储在 中的许多不同对象。
图 (可以存储在 中的许多不同对象。
数据库
是一个事务处理数据库系统,它使用日志文件来支持回滚语法,从而确
保将事务提交到数据库中。与 关联的文件包括:
!)数据库。
*"""""!+,)事务日志。
*!-)检查点文件。
$(!+,和 $!+,)预留的日志文件。
!会随着数据库的填充而不断增大。但是,日志的大小却是固定的 (.。对数
据库进行的任何更改都会被追加到当前的日志文件中,而且其磁盘映像会不断保持更新。
*!+,是当前的日志文件。对数据库进行更改后,会将该更改写入到 *!+,文件中。
当 *!+,文件充满事务之后,它会被重新命名为 *"""""!+,。(从 (开始,
并使用十六进制累加。) 由于 使用循环记录,所以在旧日志文件写入
数据库之后,这些旧日志文件会及时删除。在任何时刻都可以找到 !+,文件,而且还
可能有一个或多个 *"""""!+,文件。
2
$(!+,和 $!+,是“占位符”— 用来在此驱动器上预留(在此情况下)最后的
.磁盘空间。这是为了给日志文件提供足够的空间,以便在其它所有磁盘空间都已使用
的情况下可以正常关机。
*!-文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,
通常在恢复或初始化时。
出于性能考虑,日志文件应该位于数据库所在磁盘以外的其它磁盘上,以减少磁盘争用情
况。
在进行备份时,可能会创建新的日志文件。如前所述,由于要进行循环记录,所以需要删
除该日志文件(如常规旧日志文件)。
服务器和角色
- 域控制器 是上面驻留有域数据库并执行验证服务的服务器。
在 中,域数据库是 数据库的一部分。在
中,对象更改可以在该环境内的任何 上执行,而不是象在
'/!中那样,只能在主域控制器 0上进行。
必须启动并执行复制操作,以确保环境中的所有 上都驻留有当前和正确的目录版
本。另外,在特定目录林中的所有域控制器上都驻留有目录林配置和架构容器的副本。
域控制器还可以作为全局编录或充当如下所述的特定角色。为应对可能出现的故障情况,
知道特定 是一个 还是承担了操作主机角色非常重要,因为只有这样才能采取正确
的行动。
全局编录
全局编录的主要功能是在整个 目录林内进行快速和有效的搜索。拥
有它所属的域中所有对象的可读1写的完全副本,以及目录林中其它每一个域中的只读部分
副本(所有对象,但不包括部分属性集)。因此,全局编录使目录林内的目录结构对于最
终用户而言是透明的,从而为用户创造了一个使得在目录中查找对象变得简单和有效的搜
索机制。
另外,为在本机 域中进行通用组成员和用户主要名称 20枚举,也需
要全局编录。因此,如果 不能在客户端登录时联系到 ,则客户端将只接收到缓存
的本地登录凭据,而对远程资源进行的访问将被拒绝。
注意 若要知道 是否为全局编录服务器,请查看站点和服务管理单元中的 对
象的属性。(在域控制器的 设置上单击鼠标右键,然后选择属性。) 如果选中全局
编录复选框,则该 就是一台全局编录服务器。可以在任何现用的 上查看该管理单
元,以检查出现故障的 是否为 。
操作主机服务器
支持多主机更新。在每一个 上都驻留有其目录分区的可读1写版本。
因此,必须可以进行存在冲突的更改,例如在不同的 上同时对目录
3
中同一对象进行的更改。使用定义完善的冲突解决方法,从而使所有的
最终都趋近相同的值。
尽管具有该定义完善的方法,但有时防止出现冲突比在出现问题之后解决冲突要好。在冲
突解决方法不适用时,中的操作主机会防止进行冲突更新。
定义了五种操作主机角色:
架构主机
域命名主机
相对标识号 $主机
主域控制器模拟器 0*
基础结构主机
架构主机和域命名主机是按目录林分配的角色,表示在整个目录林中只有一个架构主机和
一个域命名主机。其它操作主机角色都是按照域分配的角色,表示目录林中的每一个域都
有自己的 $主机、0*和基础结构主机。
若要检查哪一台 具有域命名主机角色,请打开“域和信任”管理单元。若要检查架构主
机,请打开“架构”管理单元。对于任意按照域分配的角色,请检查“用户和计算机”管理单元。
在每一个管理单元的最高层容器(在左侧窗格中),单击鼠标右键并选择操作主机。
3架构”管理单元不是随 一起提供的默认 管理单元。若要使
它出现在可用管理单元列表中,必须从 中安装管理工具软件
包 & !&。
若要注册“架构”管理单元,请在命令提示符下或在开始菜单上的运行命令中键入
$,4-&&,&!++。
架构主机
具有架构主机角色的 是可以更新目录架构的唯一 。这些架构更新会从架构主机复
制到目录林中的所有其它域控制器中。
域命名主机
具有域命名主机角色的 是可以执行以下任务的唯一 :
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 $主机
此操作主机负责向其它 分配 $池。只有一个服务器执行此任务。在创建安全主体
(例如用户、组或计算机)时,需要将 $与域范围内的标识符相结合,以创建唯一的安
全标识符 。
4
每一个 都会收到用于创建对象的 $池(默认为 5()。$主机
通过分配不同的池来确保这些 在每一个 上都是唯一的。通过 $主机,还可以在
同一目录林中的不同域之间移动所有对象。
0*
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 '/!备份域控制器 .加入到新的
环境。
本机 环境将密码更改转发到 0*。每当 验证密码失败后,它会与
0*取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没
有被复制到验证 中。
时间同步 — 目录林中各个域的 0*都会与目录林的根域中的 0*进行同步。
基础结构主机
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含
该对象的全局唯一标识符 2、安全标识符 和可分辨的名称 。如果被引用
的对象移动,则在域中担当结构主机角色的 会负责更新该域中跨域对象引用中的
和 。
复制
由于 拥有其所在域中的所有对象的副本,并且具有这些对象的读1写
权限,所以通过该域中的任一 都可以对该域进行管理。这些操作会影响对象的状态,
因此必须要将这些操作复制到其它 中。
复制是在 中传播对象更新的过程。
已更改对象的复制并不会立即执行。在一段时间后,复制操作会触发,该操作将收集所有
的更改并将这些信息提供给集合中的其它 。因此在正常操作中,可以认为任何 上
的 始终处于松散的一致状态。也就是说,由于复制更改可能正处在从
其它 传送的过程中或正在等待触发,所以有关 环境中所有 的信
息很可能是不同的。最终,这些更改会到达,每一个 会与其它 同步。
在考虑 的恢复技术时,复制和松散一致性是非常重要的概念。
备份
灾难恢复规划的一个重要部分,是理解 备份的含义
和注意事项。
系统状态
会被作为系统状态的一部分进行备份,而系统状态是相互依赖的系统组
件的集合。这些组件必须一起备份(和还原)。
组成域控制器上系统状态的组件包括:
5
剩余39页未读,继续阅读
资源评论
ssungd175
- 粉丝: 0
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功