繼上文Active Directory災(zāi)難恢復(fù)詳解一和Active Directory災(zāi)難恢復(fù)詳解二之后，本文接著介紹有關(guān)Active Directory進(jìn)行災(zāi)難恢復(fù)的相關(guān)內(nèi)容。

問題：域內(nèi)的組成員身份未還原

權(quán)威還原用戶對(duì)象不恢復(fù)用戶的組成員身份。為什么？因?yàn)槌蓡T身份關(guān)系使用組對(duì)象的成員屬性（前向鏈接）而非用戶的 memberOf 屬性（后向鏈接）進(jìn)行存儲(chǔ)和復(fù)制。問題是如何查找用戶舊的組成員身份以及在得知其身份后如何正確恢復(fù)它們。

Microsoft 對(duì)恢復(fù)用戶組成員身份的進(jìn)程逐漸進(jìn)行改良，因此您所使用的技術(shù)取決于運(yùn)行的 Active Directory 版本。下一節(jié)主要適用于 Windows 2000 Active Directory。

確定用戶舊的組成員身份非常簡單：只需在還原的 DC 上檢查后向鏈接屬性 — 在這種情況下，是用戶對(duì)象的 memberOf 屬性。memberOf 屬性將包含用戶域中本地組和全局組的所有成員身份?？梢允褂?Active Directory 用戶和計(jì)算機(jī) MMC 管理單元 (ADUC) 或使用 LDIFDE 實(shí)用程序（該程序隨 Windows Server 附帶）列出還原用戶的組成員身份。

以下 LDIFDE 命令行將列出 Molly Clark 所屬的 DRNET 域中的組，將結(jié)果存儲(chǔ)在 output.ldf 文件中：

C:\> ldifde –r “(distinguishedName=CN=Molly Clark,OU=Engineering,DC=DRNET,DC=Local)” –l memberOf –p Base –f output.ldf

請(qǐng)注意，必須使用任何 LDAP 工具啟動(dòng) DC 進(jìn)入正常模式，并且再次重申，必須禁用入站復(fù)制；否則還原的數(shù)據(jù)將被覆蓋。禁用入站復(fù)制最簡單的方式是使用 REPADMIN 命令：

REPADMIN /options <dcname>+DISABLE_INBOUND_REPL

此處，<dcname> 是正在向其還原的 DC 名稱。完成后不要忘記使用 –DISABLE_INBOUND_REPL 重新啟用復(fù)制。

如果只要恢復(fù)幾個(gè)用戶，方法很簡單，只需使用 ADUC 手動(dòng)將用戶添加回組。如果要恢復(fù)的用戶數(shù)量較多，可以使用一些工具使某些過程自動(dòng)化。Microsoft GROUPADD 實(shí)用程序（可從 Microsoft 產(chǎn)品支持服務(wù)獲得）可以接受您創(chuàng)建用來列出用戶舊的組成員身份的 LDIF 文件，并依次生成一個(gè)重新創(chuàng)建這些成員身份的 LDIF 文件。例如，可以使用此 GROUPADD 命令處理我們?cè)谇拔氖纠袨?Molly Clark 創(chuàng)建的 LDIF 文件：

C:\> groupadd /after_restore output.ldf

此命令將以名稱 groupadd_<domain>.ldf（其中 <domain> 是將更新其組的域的完全限定域名）為 Molly Clark 在其中具有組成員身份的每個(gè)域創(chuàng)建一個(gè)新的 LDIF 文件?？梢允褂萌缦旅顚?dǎo)入上面創(chuàng)建的 LDIF 文件：

C:\> ldifde –i –k –f groupadd_child.drnet.net.ldf

對(duì)于 Windows Server 2003，Microsoft 改進(jìn)了 NTDSUTIL，利用成員屬性中出現(xiàn)的其他元數(shù)據(jù)支持鏈接值復(fù)制 (LVR)。如果還原的用戶對(duì)象曾經(jīng)是域中任何組的成員，而用戶的組成員身份使用 LVR 元數(shù)據(jù)存儲(chǔ)，則 NTDSUTIL 將增加成員屬性相應(yīng)值的版本號(hào)，從而引起還原的成員身份復(fù)制。

Windows Server 2003 SP1 的 NTDSUTIL 版本集成了 GROUPADD 功能，可以在執(zhí)行用戶對(duì)象的權(quán)威還原時(shí)自動(dòng)創(chuàng)建 LDIF 文件。圖 5 所示為一個(gè) NTDSUTIL 新版本，圖 6 所示為自動(dòng)創(chuàng)建的 LDIF 文件的內(nèi)容。 

圖 5內(nèi)置 GROUPADD 功能的新 NTDSUTIL (單擊該圖像獲得較大視圖)  

如果要還原一個(gè)包含很多用戶和組的整個(gè) OU，手動(dòng)將用戶添加回其所在的組是很麻煩的?；謴?fù)還原的組成員身份的另一個(gè)方法是權(quán)威還原組本身。

但是權(quán)威還原組有兩個(gè)問題。第一個(gè)問題是相當(dāng)明顯的：如果還原組，該組中的成員身份將恢復(fù)到其在備份時(shí)的狀態(tài)。這意味著自從上一次備份以來所做的所有更改都必須重新應(yīng)用于該組。第二個(gè)問題有些微妙，必須按 Active Directory 復(fù)制的方式處理。在權(quán)威還原用戶和組后，無法確保它們復(fù)制的順序。如果一個(gè)組對(duì)象在還原的用戶對(duì)象之前復(fù)制到 DC，則復(fù)制的域控制器將自動(dòng)從組刪除該用戶引用，因?yàn)樵撚脩魧?duì)象尚未存在于該 DC 上。當(dāng)稍后用戶對(duì)象復(fù)制時(shí)，不會(huì)將其添加到組。

解決此問題最簡單的方法是再對(duì)組執(zhí)行一次權(quán)威還原。執(zhí)行首次權(quán)威還原后，重新啟動(dòng)進(jìn)入正常模式并確保復(fù)制正確進(jìn)行。然后重新啟動(dòng)返回到 DSRM 并運(yùn)行 NTDSUTIL 執(zhí)行用戶所屬組的權(quán)威還原。這是為了確保當(dāng)啟動(dòng)返回到正常模式時(shí)，用戶對(duì)象將在引用它的組對(duì)象復(fù)制之前完成復(fù)制。

問題：其他域內(nèi)的組成員身份未還原

“此用戶屬于哪個(gè)組”問題實(shí)際上比我介紹的更困難。要還原的用戶可能同時(shí)是本地域和其他域中通用組的成員，而進(jìn)行非權(quán)威還原時(shí)，不會(huì)還原那些組成員身份。因此您如何得知用戶屬于其他域中的什么組呢？答案就在全局編錄中。除自身域的數(shù)據(jù)外，全局編錄還包含林中其他域數(shù)據(jù)的只讀副本。

要利用全局編錄的林范圍數(shù)據(jù)，必須對(duì)全局編錄執(zhí)行非權(quán)威還原，這意味著您必須以備份全局編錄開始。現(xiàn)在，當(dāng)您運(yùn)行 LDIFDE 標(biāo)識(shí)用戶的組成員身份時(shí)，就可以從其他域中找出用戶的通用組成員身份。

當(dāng)您列出要恢復(fù)的用戶的組成員身份時(shí)，連接到全局編錄端口 3268 而不是默認(rèn)的 389，然后指定林的根域作為搜索基準(zhǔn)。LDIFDE 將顯示恢復(fù)的用戶的組成員身份，包括其在林中所有域內(nèi)的通用組中的成員身份。以下是操作方法：

C:\> ldifde –r “(distinguishedName=CN=Don Clark,OU=Engineering,DC=DRNET,DC=Local)” -t 3268 –l memberOf –p Base –f output.ldf

如果在全局編錄上運(yùn)行 GROUPADD 或新的 NTDSUTIL，將會(huì)生成一個(gè)用戶域的 LDIF 文件，并為還原用戶所屬通用組所在的每個(gè)域生成一個(gè) LDIF 文件。當(dāng)導(dǎo)入這些 LDIF 文件時(shí)，將還原該用戶所有的組成員身份。好了，差不多了 — 接著討論下一個(gè)問題。

問題：恢復(fù)其他域中的域本地組成員身份

在 Windows Active Directory 環(huán)境中有三種組。全局組只能包含同一個(gè)域中的成員，但可以用作其自身域和林中其他域的域本地組內(nèi)的成員。全局組的成員屬性不出現(xiàn)在全局編錄中，但這不是問題，因?yàn)槿纸M只能包含來自其自身域的成員。通用組可以包含來自任何域的成員，可以用作林中其他通用組的成員以及用作其自身域和林中其他域的域本地組的成員。通用組的成員屬性復(fù)制到全局編錄。域本地組可以包含來自林中任意域的成員，但不能用作其他域中組的成員。更重要的是，域本地組的成員屬性和全局組的成員屬性一樣，不出現(xiàn)在全局編錄中。結(jié)果導(dǎo)致恢復(fù)其他域中域本地組的用戶成員身份很困難。

在 Windows Server 2003 SP1 之前，恢復(fù)外部域中域本地組成員身份的唯一方式是在每個(gè)域中還原 DC，手動(dòng)搜索包含該還原用戶的所有域本地組的域數(shù)據(jù)，然后將用戶添加回標(biāo)識(shí)的組。在一個(gè)擁有眾多域的大型環(huán)境中，這樣會(huì)耗時(shí)太多。

Windows Server 2003 SP1 版本的 NTDSUTIL 可以幫助處理。當(dāng)在域控制器上運(yùn)行 NTDSUTIL 時(shí)，該實(shí)用程序創(chuàng)建一個(gè)包含還原的用戶對(duì)象的 DN 和 GUID 的文本文件。然后，對(duì)于每個(gè)外部域，可以非權(quán)威還原單個(gè) DC，將該文本文件復(fù)制到 DC，然后運(yùn)行 NTDSUTIL 生成特定于域的新 LDIF 文件，將恢復(fù)的用戶添加回其所屬的域本地組。

要做到這一點(diǎn)，請(qǐng)?jiān)诿總€(gè)外部域的 DC 上執(zhí)行以下步驟：

啟動(dòng)外部域中的 DC 進(jìn)入 DSRM。

使用 NTBACKUP 還原包含還原用戶的組成員身份的 DIT 副本。

將 NTDSUTIL 創(chuàng)建的 .txt 文件復(fù)制到當(dāng)前 DC。

打開命令窗口，鍵入 ntdsutil。

鍵入 authoritative restore。

鍵入 create LDIF file(s) from <file name>（其中，<file name> 是文本文件的名稱）。

鍵入 quit 兩次以退出 ntdsutil。

重新啟動(dòng) DC 進(jìn)入正常 Active Directory 模式。

鍵入 ldifde –i –f <ldif filename>（其中，<ldif filename> 是剛才創(chuàng)建的 LDIF 文件的名稱）。

現(xiàn)在，您已經(jīng)還原了所有刪除用戶的組成員身份。

循序漸進(jìn)

恢復(fù) Active Directory 用戶及其組成員身份（尤其是在一個(gè)多域環(huán)境中）是很復(fù)雜的。正確恢復(fù)組成員身份所需的具體步驟取決于運(yùn)行的 Windows 版本。

如果運(yùn)行的是 Windows 2003 SP1，則需要采取如下步驟：

啟動(dòng) GC 進(jìn)入 DSRM 并使用包含刪除用戶的備份執(zhí)行系統(tǒng)狀態(tài)還原。

使用 NTDSUTIL 執(zhí)行已刪除用戶的權(quán)威還原。NTDSUTIL 將創(chuàng)建一個(gè)包含還原對(duì)象 DN 和 GUID 的文本文件以及一個(gè)或多個(gè) LDIF 文件來還原用戶的組成員身份。

使用 LDIFDE –i –f <LDIF filename>（其中，<LDIF filename> 是步驟 2 中創(chuàng)建的 LDIF 文件的名稱）將組成員身份導(dǎo)入當(dāng)前域和其他域。

重新啟動(dòng)全局編錄進(jìn)入正常模式。

在每個(gè)外部域的 DC 上，啟動(dòng)進(jìn)入 DSRM 并使用包含還原用戶的組成員身份的備份執(zhí)行系統(tǒng)狀態(tài)還原。

使用創(chuàng)建 ldif 文件命令運(yùn)行 NTDSUTIL。

重新啟動(dòng) DC 進(jìn)入正常模式。

使用 LDIFDE –i –f <filename>（其中，<filename> 是在步驟 6 中創(chuàng)建的 LDIF 文件的名稱）還原外部域中的組成員身份。

此時(shí)可以選擇使用 REPADMIN /syncall 強(qiáng)制復(fù)制。

如果運(yùn)行的 Windows Server 2003 版本沒有安裝 SP1 或運(yùn)行的是 Windows 2000，將涉及到其他一些步驟。由于 NTDSUTIL 的較舊版本不創(chuàng)建 LDIF 文件，因此可以使用 GROUPADD 實(shí)用程序來創(chuàng)建它們。步驟如下：

啟動(dòng)全局編錄進(jìn)入 DSRM 并使用包含刪除用戶的備份執(zhí)行系統(tǒng)狀態(tài)還原。

禁用 NIC 或拔掉電纜阻止入站復(fù)制。

重新啟動(dòng)全局編錄進(jìn)入正常模式。

使用 LDIFDE –r "(distinguishedName=<dn>)" -t 3268 -l memberOf –p Base -f membership.ldf 使用可分辨名稱 <dn> 轉(zhuǎn)儲(chǔ)用戶的成員身份。

使用 GROUPADD /after_restore membership.ldf 創(chuàng)建 LDIF 文件。

使用 LDIFDE –i –f <filename>（其中，<LDIF filename> 是步驟 5 中 GROUPADD 創(chuàng)建的 LDIF 文件的名稱）將組成員身份導(dǎo)入當(dāng)前域和其他域。

使用 REPADMIN /options <dcname> -DISABLE_INBOUND_REPL 重新啟用入站復(fù)制。

在每個(gè)外部域的 DC 上，啟動(dòng)進(jìn)入 DSRM 并使用包含還原用戶的組成員身份的備份執(zhí)行系統(tǒng)狀態(tài)還原。

重新啟動(dòng) DC 進(jìn)入正常模式。

使用 LDIFDE –i –f <filename>（其中，<filename> 是步驟 5 中 GROUPADD 創(chuàng)建的 LDIF 文件的名稱）還原外部域中的組成員身份。

此時(shí)可以選擇使用 REPADMIN /syncall 強(qiáng)制復(fù)制。

現(xiàn)在，對(duì)早于 Windows Server 2003 SP1 的環(huán)境唯一剩下的事就是恢復(fù)還原用戶的外部域本地組成員身份。唯一的選擇就是手動(dòng)還原域本地組成員身份或從備份還原 DC 并權(quán)威還原域本地組。

總結(jié)

雖然很容易從 Active Directory 意外刪除用戶甚至 OU，但正確恢復(fù)刪除的用戶及其組成員身份可能驚人地復(fù)雜、耗時(shí)并且容易出錯(cuò)。要確保從這類災(zāi)難中盡可能快地恢復(fù)，必須理解對(duì)象鏈接、復(fù)制、刪除和權(quán)威還原的結(jié)構(gòu)。

您認(rèn)為您在產(chǎn)品環(huán)境中首次嘗試此操作時(shí)能正確完成所有步驟嗎？為了確保下一次不得不恢復(fù) CEO 的用戶對(duì)象時(shí)有所準(zhǔn)備，最好制訂恢復(fù)刪除對(duì)象的書面計(jì)劃。并確保在將該計(jì)劃用于實(shí)際數(shù)據(jù)之前至少練習(xí)一兩次。您的老板（和 CEO）將會(huì)對(duì)此非常感激。

希望本系列介紹的有關(guān)Active Directory災(zāi)難恢復(fù)的知識(shí)能夠?qū)ψx者有所幫助。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. Active Directory遷移工具ADMT
3. Exchange版本轉(zhuǎn)換基于Active Directory路由
4. 如何實(shí)現(xiàn)Active Directory到Lotus Domino遷移？
5. Windows Server 2008 Active Directory域服務(wù)安裝