【引子】

手机中熟悉的旋律响起，接起电话，传来的消息却让人很是不快：紧急故障，有客户处发生AD对象意外删除的灾难，共计百余计算机帐号被误删，涉及全国范围诸多生产系统，如不及时处理，将造成大范围业务瘫痪。

刻不容缓，马上“全副武装”直奔现场。经过几近通宵的鏖战，终于完成灾难恢复。

【思考】

AD作为企业IT基础架构管理的核心，其重要程度不言而喻。能够对AD灾难恢复场景进行冷静的对待及气定神闲的处理，无疑是揽大厦之将倾的重要功劳，也是对一位系统管理员的极大考验。

本文将结合诸多项目经验及AD的理论基础，分享AD管理中可能遇到的灾难场景以及应对策略。声明一点，本文讨论的前提条件是至少有两台DC的合理的AD架构，如果因为只有一台DC，造成部份情况下不可挽回的灾难，请自备香火烧香拜佛。

注：本文只讨论不同的AD灾难场景，及应对思路，并不涉及技术细节，望读者朋友们，以全局为重，多想多练，关于技术细节的实现，将另外介绍。

1、场景一：误删除对象，有备份，但操作尚未通步至其他DC。

如果异致对象丢失的操作发现及时，尚未同步至其他DC，此时能及时切断该DC与其他DC的联系，则可以将故障限制在一台DC 上，只需要恢复备份（要进入目录服务还原模式），然后正常开机联网，让它与其他DC同步数据，则可以恢复故障。

2、场景二：误删除对象，有备份，操作已通步至其他DC。

通常情况下，当我们发现AD对象损坏或丢失，都已经同步至其他DC，而此时，如果单纯的利用还原备份的方法，会导致失败。原因为：被删除的对象的数据并不是真正的被删除，而是有一个墓碑生存时间，而此时进行还原操作，还原后的DC是旧的未删除的对象，其他DC上面，是新的，已经被删除的对象，当数据同步时，按照后应用有效的原则，是会以被删除为准的，所以还原后的对象还是会被删除。

此时，我们需要一种还原方法，叫做授权还原，简单说，就是将还原回来的对象的版本号人为的提高，将其强行改为最新的数据，使其同步时作为权威数据。

授权还原的思路如下：

• 进入目录服务还原模式，还原备份（注意：不要选择授权还原AD数据库，以免导致所有数据被还原到备份状态）；

• 还原成功后，不要重启DC，进入命令行工具，准备进行授权还原；

• 命令及关键参数如下：ntdsutil/authoritative restore

• 提示：一定要熟悉被还原对象的LDAP名称的语法。

3、场景三：误删除对象，但无备份。

对于无备份的对象还原，主要有两种解决方法：AD回收站和墓碑还原。

对于林功能级别低于Windows 2008R2的环境，还原无备份的AD对象则只能通过墓碑还原来完成，默认情况下，被删除的对象，会成为Tombstone对象，而这类对象会被删除除登录名及SID以外的多数属性，包括密码，如果想要还原，则可以通过ldp.exe工具，修改如下两个属性即可：isdeleted、distinguishedname。

如果林功能级别达到windows 2008R2，强烈建议开启AD回收站功能，这样可以非常容易的实现AD对象的无损还原，如果服务器是Windows 2008R2，则AD回收站需要在Windows Powershell 中完成，如果服务器是Windows 2012及以上版本，AD回收站可以在图形界面下完成，就如同桌面系统传统的回收站一样方便。

关于AD回收站的几点注意事项：

 AD回收站一旦开启，则无法禁用；

 无法还原在AD回收站功能开启前，被删除的对象；

 需要林功能级别达到Windows 2008R2才可以开启该功能；

 开启AD回收站后，LDP工具则不可以再使用；

 AD回收站中的对象保留期限是180天。

4、场景四：DC损坏。

对于DC损坏，又无法快速修复的情况，可以考虑重建DC，但是原DC在数据中会成为垃圾数据，需要将其清理。

可以使用命令ntdsutil来进行垃圾服务器对象清理，具体参数是metadatacleanup。如果清理的过程中，发现被清理对象是操作主机，则会弹出提示框，并可以直接迁移操作主机角色。

本文转自天鬼皇 51CTO博客，原文链接：http://blog.51cto.com/ghostlan/1570412，如需转载请自行联系原作者