如前所述,在虛擬機器中執行的域控制器的限制不適用於在物理計算機上執行的域控制器。 在備份或還原虛擬域控制器時,某些虛擬化軟體功能和做法不應使用:
若要在域控制器出現故障時對其進行還原,必須定期備份系統狀態。 系統狀態包括 active directory 的資料和日誌檔案、登錄檔、系統卷 (sysvol 資料夾) 和作業系統的各種元素。 此要求對於物理域控制器和虛擬域控制器都是相同的。 與 active directory 相容的備份應用程式執行的系統狀態還原過程旨在確保還原過程後本地和複製 active directory 資料庫的一致性,包括通知呼叫 id 的複製夥伴重置。 但是,使用虛擬宿主環境和磁碟或作業系統映像應用程式,管理員可以繞過域控制器系統狀態還原時通常會發生的檢查和驗證。
如果域控制器虛擬機器出現故障,並且更新序列號 (usn) 回滾,則還原虛擬機器的情況有兩種:
使用下圖中的過程來確定還原虛擬化域控制器的最佳方式。
對於 rodc,還原過程和決策更為簡單。
如果域控制器虛擬機器存在有效的系統狀態備份,則可以按照備份工具(用於備份 vhd 檔案)所規定的還原過程來安全地還原備份。
重要若要正確還原域控制器,必須在 dsrm 中啟動它。 不得允許域控制器在正常模式下啟動。 如果在系統啟動期間錯過了進入 dsrm 的機會,請先關閉域控制器的虛擬機器,然後才能在正常模式下將其完全啟動。 必須在 dsrm 中啟動域控制器,因為在正常模式下啟動域控制器會遞增其 usn,即使域控制器已與網路斷開連線也是如此。 有關 usn 回滾的詳細資訊,請參閱 usn 和 usn 回滾。
如果看不到 windows 啟動管理器螢幕,並且域控制器開始在正常模式下啟動,請關閉虛擬機器以防止其完成啟動。 根據需要重複此步驟多次,直到可以訪問 windows 啟動管理器螢幕。 不能從 windows 錯誤恢復選單訪問 dsrm。 因此,請關閉虛擬機器,並在出現 windows 錯誤恢復選單時重試。
在 windows 啟動管理器螢幕中,按 f8 訪問高階啟動選項。
在 "高階啟動選項" 螢幕中,選擇 "目錄服務還原模式",然後按 enter。 這會在 dsrm 中啟動域控制器。
使用用於建立系統狀態備份的工具的相應還原方法。 如果使用 windows server 備份,請參閱 執行 ad ds 的非權威還原。
如果你沒有早於虛擬機器失敗的系統狀態資料備份,則可以使用以前的 vhd 檔案來還原虛擬機器上執行的域控制器。 如果可以,建立 vhd 的副本,以便在過程中遇到問題或錯過某個步驟時,可以使用複製的 vhd 重試。
重要使用以前的 vhd,如前一部分中所述,在 dsrm 中啟動虛擬域控制器。 不允許域控制器在正常模式下啟動。 如果錯過了 windows 啟動管理器螢幕,並且域控制器開始在正常模式下啟動,請關閉虛擬機器以防止其完成啟動。 有關輸入 dsrm 的詳細說明,請參閱上一節。
開啟登錄檔編輯器。 若要開啟登錄檔編輯器,請單擊 "開始",再單擊 "執行",鍵入regedit,然後單擊 "確定"。 如果出現了「使用者帳戶控制」 對話方塊,請確認其所顯示的操作是你要採取的操作,然後單擊「是」 。 在登錄檔編輯器中,展開以下路徑:hkey _ local _ machine \ system \ currentcontrolset \ services \ ntds \ parameters。 查詢名為 "dsa 先前還原計數" 的值。 如果值為,請記下該設定。 如果值不存在,則設定等於預設值0。 如果看不到任何值,請不要新增值。
右鍵單擊parameters項,單擊 "新建",然後單擊 "dword (32 位) 值"。
鍵入 "從備份中還原的新名稱資料庫",然後按 enter。
雙擊剛才建立的值,開啟 "編輯 dword (32 位) 值" 對話方塊,然後在 "值資料" 框中鍵入1。 在執行帶有 service pack 4 的 windows 2000 server (sp4) ,windows server 2003 的域控制器上提供了在 windows server 2003、windows server 2008 和 windows server 2008 r2 (安裝了 microsoft 知識庫)和 windows server 2008 上檢測和恢復中包含的更新的域控制器上的 "從備份中還原的資料庫" 選項。
在正常模式下重新啟動域控制器。
當域控制器重新啟動時,開啟事件檢視器。 若要開啟事件檢視器,請依次單擊「開始」 、「控制面板」 ,雙擊「管理工具」 ,然後雙擊「事件檢視器」 。
展開 "應用程式和服務日誌",然後單擊 "目錄服務" 日誌。 確保 "詳細資訊" 窗格中顯示事件。
右鍵單擊 "目錄服務" 日誌,然後單擊 "查詢"。 在 "查詢內容" 中,鍵入1109,然後單擊 "查詢下乙個"。
複製the invocationid attribute for this directory server has been changed.
關閉事件檢視器。
使用登錄檔編輯器驗證dsa 先前還原計數中的值是否等於前乙個值加1。 如果這不是正確的值,並且在事件檢視器中找不到事件 id 1109 的條目,請確認域控制器的 service pack 是最新的。 你不能在同一 vhd 上再次嘗試此過程。 你可以在 vhd 副本上重試,或通過從步驟1開始,在正常模式下重試。
關閉登錄檔編輯器。
本部分介紹由於使用較舊版本的虛擬機器還原 active directory 資料庫時可能會發生的複製問題。 有關 active directory 複製過程的更多詳細資訊,請參閱 active directory 複製概念
active directory 域服務 (ad ds) 使用 (usn) 的更新序列號來跟蹤域控制器之間的資料複製。 每次對目錄中的資料進行更改時,usn 會遞增以指示已進行了更改。
對於目標域控制器儲存的每個目錄分割槽,usn 用於跟蹤域控制器引入其資料庫的最新源更新,以及儲存目錄分割槽副本的每個其他域控制器的狀態。 當域控制器將更改複製到其他域控制器時,它們會查詢其複製夥伴的 usn 更改,這些更改大於域控制器從每個夥伴收到的最後一次更改的 usn。
以下兩個複製元資料表包含 usn。 源域控制器和目標域控制器使用它們來篩選目標域控制器需要的更新。
最新向量:目標域控制器為跟蹤從所有源域控制器接收的源更新而維護的表。 當目標域控制器請求對目錄分割槽進行更改時,它將為源域控制器提供最新的向量。 然後,源域控制器使用此值來篩選它傳送到目標域控制器的更新。 在成功完成複製迴圈後,源域控制器會將其最新向量傳送到目標,以確保目標域控制器知道它已與每個域控制器的原始更新同步,並且更新與源處於同一級別。
高水印:目標域控制器維護的乙個值,用於跟蹤從特定分割槽的特定源域控制器接收的最新更改。 高水位線阻止源域控制器傳送目標域控制器已收到的更改。
不是活動目錄的Azure活動目錄!
摘要 在現代雲時代的大環境下,雲服務的概念已經是無人不知無人不曉了。像阿里雲 谷歌雲 aws azure等等已經深入日常的方方面面。那對於雲中的身份,我們今天特別的介紹一下azure active directory aad 的概念,希望可以幫助您了解的更加清晰。azure活動目錄是一種新的現代化身...
監測目錄活動
監測目錄活動 c 中有類 filesystemwatcher 不但能夠知道指定目錄樹中的檔案 目錄的改變,而且能夠知道是哪個檔案 目錄在改變,而我用findfirstchangenotification等win api 卻不能實現第二個功能,虛耗了不少時間,昨日在msdn中發現 readdirect...
活動目錄維護
1.壓縮和重新索引活動目錄 2.修復活動目錄資料庫 大多是ntdsutil工具。ntdsutil在執行它的部分工作時會使用由另乙個名為esentutl的實用程式提供的指令。1.只有在希望 ntds.dit占用的磁碟空間時,才需要執行離線碎片整理。如果是聯絡碎片整理,雖然會對資料庫 進行壓縮,但是不會...