第 1 天:仅存在一个域控制器 (DC1)。在 DC1 上配置了 Windows Server Backup 来保存系统状态。从 AD 中删除一个重要用户。
第 2 天:提升附加域控制器(DC2)。
第 3 天:将 DC1 启动到 DSRM 并通过系统状态恢复(非授权)恢复到第 1 天。通过 ntdsutil(授权)标记要恢复的重要用户。重新启动 DC1。
DC1 不与 DC2 同步,而 DC2 不知道在 DC1 上的 Active Directory 用户和计算机中显示。Active Directory 站点和服务显示 DC2 的 NTDS 对象(我假设从林中的其他域同步回 DC1),但我们无法运行元数据清理,因为它找不到计算机对象。此时,由于 DC1 不与其他域控制器同步,因此整个 AD 恢复到第 1 天,而不仅仅是恢复重要用户。
我们能从这种情况中恢复过来吗?这是预期的行为还是环境中缺少先决条件?
答案1
您的情况可能有所不同,但在我看来,在 Active Directory 中没有合理的方法可以进行单对象还原。事物相互关联,对象一直在变化(这可能是 Active Directory 中的“活动”)。
对于您所遇到的情况,我建议启用 Active Directory 回收站。
执行系统状态恢复几乎总是只适用于灾难恢复(即当您丢失了所有 DC 时)。但是,在这种情况下,您可能损失的远不止这些,因此在这种情况下,重新开始可能是更好的选择。
答案2
您的问题是,在备份(第 1 天)中没有第二个 DC。您采用的方法通常会起作用,并且允许您仅恢复一个对象如果当您在 DC1 上进行备份时,DC2 是域的一部分。
您遇到了一个先有鸡还是先有蛋的问题 - 当您恢复 DC1 时(正如您正确指出的那样),它不知道 DC2,因此它不会信任它(用于复制)。出于同样的原因,DC2 无法使自己对 DC1 具有权威性。因此,您最终会得到 2 个不同版本的 AD,因为 DC 彼此不信任。您无法解决这个问题,只是您运气不好,因为在第二个 DC 联机之前删除了一个重要对象。
答案3
支持对任意时间点进行权威性还原,只要该备份不早于 Active Directory 林中的 tombstoneLifetime(180 天)。您还可以向域添加其他域控制器,并且仍可还原在只有一个域控制器时进行的备份。
您唯一需要注意的是,任何新升级的域控制器都与 Active Directory 完全同步,并且它们已完成其初始 SYSVOL 同步。在通过授权还原进行对象恢复之前,请确保域中的所有域控制器上都存在 NETLOGON 和 SYSVOL 共享。
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
在我有两个域控制器的场景中,DC2 未完全复制,正在等待初始 SYSVOL 同步。然后 DC1 被恢复,并且在重新启动后也处于初始 SYSVOL 同步的相同状态。这导致两个域控制器不再复制,并且实际上从此时起,它们都拥有自己的 Active Directory 副本。