信息:当你删除用户账户之后,此账户并不会立即从活动目录数据库内删除,而是被转移到活动目录数据库内的一个名为deleted object的隐藏文件夹内,同时这个版本号会增加一,server2003sp1以后的版本的默认是180天之后将其彻底删除,在之前的版本系统只有60天。
背景:两台域控,第一台的某账户被不小心删除了,此时如果使用备份还原执行非授权还原,那么还原之后当进入正常系统之后,两台域控制器的活动目录相互进行数据复制时,版本新的会覆盖掉旧的,因此所做的还原账户就白费了,因此我们需要进行授权还原
进入目录服务还原模式先进行非授权还原
其操作就是上面的讲备份的恢复到某一时间点(建议使用命令进入目录服务还原模式,因为在还原之后操作系统需要重启,但还是进入目录服务还原模式,如果是按F8来进入的话,没来得及按准时间,那么进入系统后两台DC便会相互复制数据,所做的便白费了。因此建议使用命令进入,因为要进入正常系统还得使用一次命令,比较保险)
查看user的DN
1. 使用命令:dsquery.exe user
2. 使用命令查看版本属性:repadmin /showmeta "CN=tom,CN=Users,DC=yangwj,DC=com"
3. 因为修改之后版本号会增加,因此可以通过这个来前后对比(上图里的tom并未删除)
4. 开始执行授权还原的命令:
1、 首先输入ntdsutil
2、 然后输入activate instance ntds激活实例
3、 接下来输入:authoritative restore
4、 最后输入开始授权的还原的命令:restore object cn=tom,cn=users,dn=yangwj,dc=com
5、 由于我没有在dsrm下执行,也就是前面没有做备份,因此没有效果图,如果有疑惑的可以与我联系,按照我上面的步骤和命令来执行不会出错,但是难免会有些系统运行的问题。若是要针对整个活动目录的数据库执行授权还原的话,请运行restore database命令;如果是针对组织单位比如业务部执行授权还原,请执行:restore subtree ou=业务部,dc=yangwj,dc=com
6、 还原之后可以手动执行同步,让数据相互复制,以便看到效果,输入命令:repadmin /syncall dc.yangwj.com /e /d /A /P。
其中/e表示包含所有站点内的域控制器
/d表示信息中以distinguished name(dn)来识别服务器
/A表示同步此域控制器内所有目录分区
/P表示同步方式是将此域控制器的变动数据传送给其他域控制器
7、 完成同步之后,可以看到tom用户已经被还原,而且通过查看属性版本号,会被增加了100000.(使用命令:repadmin /showmeta cn=tom,cn=users,dc=yangwj,dc=com)
转移active directry数据库文件
首先需要停止AD DS服务
使用命令:net stop ntds
1、 停止之后输入:ntdsutil,然后再输入activate instance ntds命令激活实例
2、 然后输入files命令,之后使用命令move db to C:\ntds(此为路径,文件夹不需要自己建)
3、 转移事物日志,使用的命令:move logs to c:\ntds
4、 可以顺便执行数据库的完整性检查(如同Windows的碎片整理),命令为:Integrity
备注:相关的操作可以参照help