在核心站点的每个域控制器都无法响应时,尽管拥有一个包括防止复制失灵的程序的灾难恢复计划非常重要,但那种情况是很难发生的。更常见的困难是由于硬盘崩溃,劣质网卡,文件系统退化,活动目录退化或各种小问题,都会造成一个域控制器的损坏。
那么对于单个域控制器失灵该如何制定灾难恢复计划呢?
这里有两个答案:
1、从备份中进行恢复(注意:活动目录是处于系统状态,因此系统状态的恢复也能恢复活动目录)。
2、不要进行恢复。重新安装并进行再提升,或者只用通过降级再提升的方法。
第一种方案,也就是从备份进行恢复,并没有看起来的容易。尽管多数直接的方法就是像上面提到的那样重新提升域控制器性能,但在很多情况里是需要从备份进行恢复的。例如,恢复一个没有活动域控制器的域或整个森林时,只有通过恢复域中一个域控制的系统状态,然后安装其他服务器并将其提升到域控制器来完成。这里不需从备份里恢复其他域控制器。在一个多重域森林里,你必须首先恢复根域,然后再是子域。关于该过程的信息,微软在他们的白皮书:《最佳方法:活动目录森林恢复》里都有记录。
在从备份媒介进行域控制器恢复时,要注意以下几点:
1、只需在每个域中恢复单个域控制器(如果是多重域和父子结构,就要从根域开始)。在恢复了第一个域控制器后,利用DCPromo载入附加域控制器。
2、在一个确实的灾难恢复计划里,你必须认识到恢复很可能在不同硬盘而不是进行备份的初始硬盘里进行。这里可参看微软KB文章263532:如何在拥有不同硬盘配置的计算机里进行活动目的灾难恢复。
3、备份带只在60日内适用,或者根据Tonbstone生命周期值的设定情况而定。(参看微软KB216993:活动目录备份的有效期为60日)。确保你能定期创建并验证备份带,并将其安全保存。
4、没必要简单恢复一个域控制器,因为它通常扮演一个或多个FSMO角色。这些角色也能交由其他域控制器完成。如果你确实拥有一个角色,那么初始的角色获得者就不再存在(清除并重新装载)。
5、在现有域中,自备份开始那天,从备份带自动恢复一个域控制器所要的天数会让域控制器过时。这会引起同步现象,由于要复制的变化增大从而增加了复制升级的时间,对网络的影响也更大。这就取决于备份带创建起所引起的更改数量。
我与一些管理员一起工作过,他们都打算从备份带恢复域控制器。有一次,两个域控制器都发生故障,只能在不同时候通过备份带进行恢复。我们花了2天时间使系统恢复工作,而且我们也是按照规定步骤做的,也就是手动降级域控制器,清理活动目录,等待复制然后以相同名字重新升级。值得注意的是,一个降级并重新升级域控制器的原因是由于复制无法进行。但如果复制中断,也无法通过DCPromo进行降级。在3月份的活动目录灾难恢复系列问题中,我们将学习如何手动降级域控制器,清理活动目录,并且修复一些安装在域控制器里,在手动降级过程中又出现问题的应用程序,如Exchange。
本文作者: