第一天:僅存在一個網域控制站 (DC1)。在 DC1 上設定 Windows Server Backup 以儲存系統狀態。從 AD 中刪除重要使用者。
第二天:提升額外的網域控制站 (DC2)。
第三天:將 DC1 啟動到 DSRM 並透過系統狀態恢復(非授權)恢復到 Day 1。透過 ntdsutil(權威)標記要恢復的重要使用者。重新啟動 DC1。
DC1 不與 DC2 同步,且 DC2 不知道出現在 DC1 上的 Active Directory 使用者和電腦中。 Active Directory 網站和服務顯示 DC2 的 NTDS 物件(我假設從林中的其他網域同步回 DC1),但我們無法執行元資料清理,因為它找不到電腦物件。此時,由於 DC1 不會與其他網域控制站同步,因此整個 AD 恢復到 Day 1,而不僅僅是恢復重要使用者。
我們能從這種情況中恢復過來嗎?這是預期的行為還是環境中缺乏先決條件?
答案1
您的情況可能會有所不同,但在我看來,在 Active Directory 中沒有明智的方法來執行單一物件復原。事物是相互關聯的,並且物件一直在變化(這可能是 Active Directory 中的「活動」)。
我建議針對您遇到的情況啟用 Active Directory 回收站。
執行系統狀態復原幾乎總是只適用於災難復原(即當您遺失所有 DC 時)。然而,在這種情況下,你可能失去的比這多得多,所以在這種情況下重新開始可能是更好的選擇。
答案2
您遇到的問題是,在您的備份(第一天)中沒有第二個 DC。您採用的方法通常會起作用,並且允許您僅恢復一個對象如果當您在 DC1 上進行備份時,DC2 是網域的一部分。
你有點像先有雞還是先有蛋的情況——當你恢復 DC1 時(正如你正確指出的那樣),它不知道 DC2,所以它不會信任它(用於複製)。基於同樣的原因,DC2 也無法讓自己對 DC1 有權威。因此,您最終會得到 2 個獨立的 AD 版本,因為 DC 彼此不信任。你無法解決這個問題,你只是運氣不好,在你的第二個 DC 上線之前刪除了一個重要的物件。
答案3
支援對任意時間點執行權威還原,只要備份不早於 Active Directory 林中的邏輯刪除生命週期(180 天)。您也可以為網域新增其他網域控制器,並且仍然還原只有一個網域控制器時進行的備份。
您唯一必須注意的是,任何新升級的網域控制站都與 Active Directory 完全同步,而且它們完成了初始 SYSVOL 同步。在透過授權還原進行物件復原之前,請確保網域中的所有網域控制站上都存在 NETLOGON 和 SYSVOL 共用。
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
在我使用兩個網域控制站的場景中,DC2 未完全複製,正在等待初始 SYSVOL 同步。 DC1 隨後恢復,並且在重新引導後也處於初始 SYSVOL 同步的相同狀態。這導致兩個網域控制站不再複製,並且從此時起兩者實際上都擁有自己的 Active Directory 副本。