Active Directory的重要性對(duì)于系統(tǒng)管理員來說是不言而喻的，下面就介紹了有關(guān)Active Directory進(jìn)行災(zāi)難恢復(fù)的相關(guān)內(nèi)容。

Active Directory 是 Windows 網(wǎng)絡(luò)中最為關(guān)鍵的服務(wù)之一。為了避免出現(xiàn)停機(jī)時(shí)間和損失生產(chǎn)力，對(duì)與 Active Directory 有關(guān)的問題制訂有效的災(zāi)難恢復(fù)計(jì)劃是至關(guān)重要的。這一點(diǎn)聽起來容易，但令人吃驚的是，有很多管理員甚至沒有為最常見的一個(gè) Active Directory 故障方案 - 意外刪除數(shù)據(jù) - 制定計(jì)劃。

意外刪除對(duì)象是服務(wù)失敗最常見的根本原因之一。當(dāng)我參加研討會(huì)和會(huì)議時(shí)，我常常詢問有誰曾經(jīng)因?yàn)橐馔鈩h除數(shù)據(jù)而導(dǎo)致 Active Directory 失敗。而每次幾乎所有人都舉手。

要理解為何數(shù)據(jù)恢復(fù)是如此復(fù)雜，必須先理解以下內(nèi)容：Active Directory 如何恢復(fù)和復(fù)制對(duì)象、如何刪除對(duì)象以及權(quán)威還原和非權(quán)威還原的結(jié)構(gòu)。

存儲(chǔ)對(duì)象

Active Directory 是一個(gè)實(shí)施 X.500/LDAP 數(shù)據(jù)模型的專門的對(duì)象數(shù)據(jù)庫(kù)。數(shù)據(jù)存儲(chǔ)（稱為目錄信息樹或 DIT）基于可擴(kuò)展存儲(chǔ)引擎 (ESE)，這是一個(gè)索引順序訪問方法 (ISAM) 數(shù)據(jù)庫(kù)引擎。從概念上說，Active Directory 將 DIT 存儲(chǔ)在兩張表中：數(shù)據(jù)表（包含實(shí)際的 Active Directory 對(duì)象和屬性）和鏈接表（包含對(duì)象之間的關(guān)系）。

每個(gè) Active Directory 對(duì)象存儲(chǔ)在數(shù)據(jù)表中單獨(dú)的一行，每個(gè)屬性一列。數(shù)據(jù)表包含存儲(chǔ)在域控制器 (DC) 上的所有副本的所有條目。在一個(gè)常規(guī) DC 上，數(shù)據(jù)表包含來自域 NC（命名上下文）、配置 NC 和架構(gòu) NC 的條目。在全局編錄上，數(shù)據(jù)表包含林中每個(gè)對(duì)象的條目。

Active Directory 使用可分辨名稱標(biāo)記 (DNT)（一個(gè) 32 位的整數(shù)）來唯一標(biāo)識(shí)數(shù)據(jù)表中的每一行。用于內(nèi)部引用對(duì)象的 DNT 比其他標(biāo)識(shí)符如可分辨名稱 (DN) 和 objectGUID（一個(gè) 16 字節(jié)的二進(jìn)制結(jié)構(gòu)）都小得多。但是與 objectGUID 不同的是，DNT 是一個(gè)本地標(biāo)識(shí)符，并且在每個(gè) DC 上都不同。

Active Directory 如何鏈接對(duì)象

Active Directory 管理 DIT 中對(duì)象間的兩類關(guān)系：父子關(guān)系（也稱為容器關(guān)系）和引用關(guān)系（也稱為鏈接關(guān)系）。為了實(shí)施父子關(guān)系，Active Directory 在數(shù)據(jù)表中存儲(chǔ)了一個(gè)稱為父可分辨名稱標(biāo)記（或 PDNT）的附加列。該列始終包含對(duì)象的父對(duì)象的 DNT。

Active Directory 中的每個(gè)屬性均由 Active Directory 架構(gòu)容器中的 attributeSchema 對(duì)象定義。Active Directory 中的某些屬性定義為鏈接屬性，由 attributeSchema 對(duì)象的 linkID 屬性中的一個(gè)非零偶數(shù)值確定。鏈接屬性建立了目錄中對(duì)象間的關(guān)系，可以是單值或多值。組對(duì)象的成員屬性是多值鏈接屬性的一個(gè)例子 — 它建立了組對(duì)象及其成員對(duì)象之間的鏈接。

即使看起來組的成員屬性包含成員的 DN（例如，通過 Active Directory 用戶和計(jì)算機(jī)管理單元顯示），但這不是 Active Directory 存儲(chǔ)它們的方式。當(dāng)您將成員對(duì)象的 DN 添加到組的成員屬性時(shí)，Active Directory 存儲(chǔ)對(duì)象的 DNT 而并非其 DN。由于即使將對(duì)象重命名 DNT 也不會(huì)改變，因此可以重命名用戶對(duì)象，而且 Active Directory 不用對(duì)系統(tǒng)中所有的組排序以更新每個(gè)成員屬性的 DN。這就是 Active Directory 如何在 DIT 內(nèi)維護(hù)引用完整性的原理。圖 1 所示為一個(gè)經(jīng)過大大簡(jiǎn)化的數(shù)據(jù)表和鏈接表如何彼此關(guān)聯(lián)的示意圖。這些表所示的三個(gè)用戶對(duì)象（Molly Clark、Alexander Tumanov 和 Makoto Yamagishi）都是 Senior Engineers 組的成員。

這些鏈接稱為前向鏈接。類似地，Active Directory 還提供了后向鏈接屬性。這為從鏈接指向的對(duì)象返回到引用鏈接的對(duì)象提供了引用，意味著該對(duì)象具有前向鏈接。用戶和組的 memberOf 屬性是后向鏈接屬性的一個(gè)例子。屬性 Schema 對(duì)象描述了一個(gè)后向鏈接屬性，該屬性具有 linkID 值，其值比相應(yīng)的前向鏈接屬性以偶數(shù)編號(hào)的 linkID 值大 1。 例如，Windows Server^® 2003 R2 架構(gòu)中成員屬性的 linkID 值為 2，作為后向鏈接的 memberOf 屬性的 linkID 值為 3。有關(guān)詳細(xì)信息，圖 2 提供了一個(gè)默認(rèn)情況下 Windows Server 2003 R2 架構(gòu)中定義的鏈接屬性列表。

后向鏈接屬性總是多值的，由 Active Directory 自動(dòng)維護(hù)。實(shí)際上，您不能直接修改后向鏈接屬性。盡管看起來可以通過 Active Directory 用戶和計(jì)算機(jī) MMC 管理單元修改用戶或組的 memberOf 屬性，但該管理單元實(shí)際上修改的是相應(yīng)組的成員屬性，而 Active Directory 將在后臺(tái)更新 memberOf 屬性。這就是為什么無需有關(guān)用戶對(duì)象的權(quán)限即可添加用戶到組的原因；因?yàn)槟鷮?shí)際上修改的是組對(duì)象的成員屬性。因?yàn)槊總€(gè) DC 都在本地管理其后向鏈接屬性，所以永遠(yuǎn)不會(huì)復(fù)制對(duì)后向鏈接的更改。只復(fù)制對(duì)前向鏈接屬性的更改（如組的成員屬性）。

在一個(gè)常規(guī) DC 上，數(shù)據(jù)表包含域?qū)ο蟮臈l目以及來自配置和架構(gòu)容器的對(duì)象條目。但一些組類型可能包含對(duì)位于其他域中對(duì)象的引用。Active Directory 如何存儲(chǔ)不在其數(shù)據(jù)表中的對(duì)象的 DNT？答案在于基礎(chǔ)結(jié)構(gòu)主機(jī) FSMO（靈活單主機(jī)操作）角色所有者和稱為幻影對(duì)象的對(duì)象。

幻影對(duì)象

當(dāng)將一個(gè)成員從一個(gè)域添加到其他域中的組時(shí)，Active Directory 在數(shù)據(jù)表中自動(dòng)創(chuàng)建一個(gè)稱為幻影的特殊對(duì)象，它包含新成員的 objectGUID、objectSid 和 DN。這提供了可存儲(chǔ)在組的成員屬性中的 DNT。如果域控制器是全局編錄，則將無需創(chuàng)建幻影，因?yàn)樵谄鋽?shù)據(jù)表中林中每個(gè)對(duì)象都已有一個(gè)條目。

擁有基礎(chǔ)結(jié)構(gòu) FSMO 角色的 DC 定期根據(jù)全局編錄檢查其數(shù)據(jù)表中的條目，當(dāng)它發(fā)現(xiàn)有對(duì)象被移動(dòng)、重命名或刪除時(shí)，它將更新數(shù)據(jù)表中的幻影并將更改復(fù)制到域中的其他 DC。根據(jù)引用計(jì)數(shù)，基礎(chǔ)結(jié)構(gòu)主機(jī)還會(huì)刪除域中任何前向鏈接屬性都不再引用的幻影。

幻影允許 DC 管理指向林內(nèi)其他域中對(duì)象的引用，但前向鏈接屬性還可以引用林外的對(duì)象 — 例如受信任的域。在這種情況下，Active Directory 在域 NC 中的 CN=ForeignSecurityPrincipals 容器內(nèi)創(chuàng)建一個(gè)稱為外部安全主體 (FSP) 的對(duì)象。FSP 包含外部對(duì)象的安全標(biāo)識(shí)符 (SID) 和標(biāo)識(shí)外部域中對(duì)象的其他屬性，但沒有流程確保 FSP 保持最新。出于數(shù)據(jù)恢復(fù)的目的，我們將象對(duì)待其他任何 Active Directory 對(duì)象一樣對(duì)待 FSP。

刪除對(duì)象

在這里，我將焦點(diǎn)主要放在還原用戶及其組成員身份上。但是，同樣的原則也適用于恢復(fù)其他鏈接屬性。

當(dāng) Active Directory 刪除一個(gè)對(duì)象時(shí)，它并沒有從 DIT 物理刪除該對(duì)象。相反地，它將該對(duì)象的 isDeleted 屬性設(shè)置為 true 從而將其標(biāo)記為已刪除，這樣使得該對(duì)象對(duì)常規(guī)目錄操作不可見。按照架構(gòu)定義，Active Directory 刪除所有未指定要保存的屬性并將對(duì)象的相對(duì)可分辨名稱 (RDN) 更改為 <old RDN>\0aDEL:<objectGUID>。然后，它將對(duì)象移動(dòng)到 NC 的 CN=Deleted Objects 容器。（配置 NC 中有一些對(duì)象類 Active Directory 不移動(dòng)到“已刪除對(duì)象”容器。）Active Directory 刪除任意指向已刪除對(duì)象保留的其他對(duì)象的前向鏈接 — 這樣在鏈接表中降低了其引用計(jì)數(shù)。如果有其他對(duì)象包含指向現(xiàn)在已刪除對(duì)象的前向鏈接，Active Directory 同樣也會(huì)刪除這些鏈接。

得到的對(duì)象稱為 tombstone。Active Directory 將此 tombstone 復(fù)制到其中做了同樣更改的其他 DC。請(qǐng)注意，Active Directory 不會(huì)復(fù)制對(duì)指向已刪除對(duì)象的前向鏈接所做的更改。每個(gè) DC 在本地進(jìn)行同等更改，因此不需要復(fù)制更改。我將在本文稍后的部分討論恢復(fù)組成員身份的后續(xù)結(jié)果。

Active Directory 維護(hù) DIT 中邏輯上刪除的對(duì)象由 CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<root domain> 對(duì)象的 tombstoneLifetime 屬性決定。對(duì)每個(gè) DC 的垃圾收集流程將刪除比配置的 tombstone 生存期更老的 tombstone。默認(rèn)情況下，tombstone 生存期對(duì) Windows^® 2000、Windows Server 2003 和 Windows Server 2003 R2 是 60 天，對(duì) Windows Server 2003 SP1 是 180 天。

Tombstone 生存期對(duì)還原過程有著重大意義。不能還原比 tombstone 生存期更老的備份。因?yàn)橐褎h除并從域中作為垃圾收集的對(duì)象不再有 tombstone，所以永遠(yuǎn)不會(huì)將刪除操作重新復(fù)制到還原的 DC。接下來，已刪除的對(duì)象將作為延遲對(duì)象保留在還原的 DC 中，而還原的 DC 將永遠(yuǎn)不能正確地與域中其他 DC 聚合。

復(fù)制對(duì)象

無論何時(shí)域控制器執(zhí)行任何類型的更新操作（例如添加對(duì)象或修改屬性）時(shí)，DC 都會(huì)為更新操作分配一個(gè)唯一的 64 位數(shù)字，稱為更新序列號(hào) (USN)。Active Directory 使用 USN 標(biāo)記更新的對(duì)象和屬性以幫助確定是否需要復(fù)制它們。

Active Directory 逐個(gè)屬性地復(fù)制對(duì)象。也就是說，如果修改一個(gè)對(duì)象的屬性，Active Directory 將只復(fù)制該屬性，而非整個(gè)對(duì)象。要做到這一點(diǎn)，Active Directory 使用復(fù)制元數(shù)據(jù)跟蹤它對(duì)每個(gè)屬性所做的更改。一個(gè)屬性的復(fù)制元數(shù)據(jù)包括：

本地 USN，標(biāo)識(shí)本地 DC 上的更改操作。

引起更改的 DC 的 invocationID（特別是 DC 相應(yīng)的 nTDSSettings 對(duì)象的 invocationID 屬性），標(biāo)識(shí)域控制器上 DIT 的特定生成。

源操作位于源 DC 上時(shí)的 USN。

時(shí)間戳，包含進(jìn)行源更改時(shí)的 DC 系統(tǒng)時(shí)間。

32 位版本序號(hào)，每次值更改時(shí)遞增。

當(dāng)目標(biāo) DC 從其源 DC 合作伙伴請(qǐng)求更改時(shí)，它將最近成功進(jìn)行復(fù)制更改的 USN 發(fā)送到源 DC，同時(shí)附帶包含最大源 USN 的最新向量。這些源 USN 是目標(biāo) DC 從每個(gè)具有所復(fù)制 NC 副本的 DC 上所見的最大源 USN 。源 DC 使用此信息以便只發(fā)送目標(biāo) DC 尚未看見的那些更新。

當(dāng)目標(biāo) DC 處理傳入的屬性更新時(shí)，它將核對(duì)每個(gè)屬性的版本號(hào)。如果傳入屬性的版本號(hào)大于 DC 已有的該屬性版本，則 DC 將存儲(chǔ)該傳入值。如果傳入版本號(hào)等于 DC 已有的版本，則 DC 將比較時(shí)間戳并使用時(shí)間戳最新的屬性。如果時(shí)間戳相同，目標(biāo) DC 將選擇具有最大 invocationID 的值。這樣可以確保每個(gè) DC 最終為每個(gè)復(fù)制的屬性確定相同的值。

鏈接值復(fù)制

在 Windows 2000 中，Active Directory 復(fù)制多值屬性的方式與復(fù)制單值屬性相同。這對(duì)那些多值成員屬性可能在不同 DC 上經(jīng)常更改的大型動(dòng)態(tài)組對(duì)象可能帶來問題。如果一位管理員添加用戶到一個(gè) DC 上的組，而另一位管理員在復(fù)制延遲窗口內(nèi)添加其他用戶到另一個(gè) DC 上的組，則 Active Directory 將選擇后一個(gè)添加并完全丟失前一個(gè)添加。Microsoft 在 Windows Server 2003 中使用一個(gè)稱為鏈接值復(fù)制 (LVR) 的進(jìn)程處理此問題。

憑借 Windows Server 2003 林的功能級(jí)別或過渡林的功能級(jí)別，Active Directory 分別復(fù)制多值前向鏈接屬性的單個(gè)值，每個(gè)值擁有其自己的復(fù)制元數(shù)據(jù)。這有效解決了在 Windows 2000 中發(fā)現(xiàn)的問題，即在不同 DC 上幾乎同步的組成員身份更新可能導(dǎo)致數(shù)據(jù)丟失。

但是，有一點(diǎn)需要指出。提升林的功能級(jí)別不會(huì)自動(dòng)使用新的復(fù)制元數(shù)據(jù)修復(fù)現(xiàn)有的多值鏈接屬性。只有那些在提升林的功能級(jí)別之后添加的值才有新的元數(shù)據(jù)。這對(duì)恢復(fù)組成員身份具有重大影響，您很快就會(huì)看到。

備份

Windows 包括非?；镜?NTBACKUP 實(shí)用程序，可以使用它來執(zhí)行 DC 的系統(tǒng)狀態(tài)備份。域控制器的系統(tǒng)狀態(tài)包括其注冊(cè)表、SYSVOL、Active Directory DIT 文件和關(guān)鍵系統(tǒng)文件。大多數(shù)第三方備份實(shí)用程序也有備份和還原 DC 系統(tǒng)狀態(tài)的功能。

要執(zhí)行對(duì)磁盤文件的系統(tǒng)狀態(tài)備份，請(qǐng)使用以下命令：

NTBACKUP backup systemstate /F “<filename>&rdquo

此處，<filename> 是要?jiǎng)?chuàng)建的備份文件的名稱，應(yīng)使用 .bkf 擴(kuò)展名。

欲知更多內(nèi)容，請(qǐng)點(diǎn)擊Active Directory災(zāi)難恢復(fù)詳解二。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. Active Directory遷移工具ADMT
3. Exchange版本轉(zhuǎn)換基于Active Directory路由
4. 如何實(shí)現(xiàn)Active Directory到Lotus Domino遷移？
5. Windows Server 2008 Active Directory域服務(wù)安裝