AD域服务授权还原
服务器A域服务器B之间的数据是同步的,如果服务器A删除用户,同时服务器B增加用户,那么数据要以哪个为准呢。
对于域同步数据冲突的问题上,域服务器检查一下项目判断数据以哪个为准:
1:对象属性:指的是对象的修改次数(或版本号),属性值大的优先。
2:修改时间:指不同DC对该对象的修改时间,靠后优先。
3:修改对象 的DC的GUID,GUID指的是DC的硬件值,MAC地址靠后优先。
例如AD域还原,还原的是域里面的用户和密码等数据。如果server01与server02在abc.com的域中,并且数据已经进行同步。管理员在server01上觉得tom这个用户没有什么用,删除了tom。几天后,管理员又想要tom这个用户,必须做AD数据的还原。然而普通的还原会还原不成功,为什么呢?
因为server01与server02域之间的数据是同步的,server01还原了tom这个用户的对象属性,但是这个数据会被server02域中的新数据所替代。所以复制不成功。
实验环境:server01与server02之间AD的数据是同步的,备份域的数据,之后server01删除组织单位IT和用户,进行授权还原。查看server02与server01是否还原成功。
所谓的授权还原就是手动增加对象的属性值
步骤:
1:查看域数据之间同步是否正常
2:备份域数据
3:删除组织单位IT下的tom用户
4:还原域数据
重启服务器―F8进入安全模式―登录到本地
打开服务器管理器―工具―windows server backup―右侧恢复―下一步
备份:
恢复系统状态:
勾选对Active Directory 文件执行授权还原,这个很重要,如果不勾选授权不会成功,相当于普通的还原。
恢复成功后必须重启计算机,在重启之前必须在命令行中执行如下命令:
ntdsutil---AD的维护工具
Activate Instance NTDS ---激活实例NT域服务
Authritative restore---授权还原dit数据库
restore object cn=tom,ou=it,dc=abc,dc=com---还原对象 域abc.com下的组织单位IT下的tom用户
restore object cn=jirry,ou=it,dc=abc,dc=com---还原对象 域abc.com下的组织单位IT下jirry用户
quit---推出到上级目录
quit---推出到上级目录
5:重启后,检查还原是否成功
按回车:
查看server01与server02是否有组织单位IT下的tom用户,有则成功
