作者 主題: trueimage備份windows 2003 AD疑問兼討論  (閱讀 8080 次)

0 會員 與 1 訪客 正在閱讀本文。

jackhsiao

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
trueimage備份windows 2003 AD疑問兼討論
« 於: 2009-03-16 11:36 »
各位大大
小弟有個備份疑問,假設我有二台ad,a機器為5大角色主控端,b為BC,二台都一個星期備一次,若今天a機器隔屁了,若我回復系統,那就是回到上個星期的系統
那此時ad目錄復寫是否會有問題,因為a為一個星期期的資料,b仍是最新的資料,但5大角色還在a,那優先權應該還是a
問題二,若在a機器掛掉時,我把角色轉移至b機器,然後去回復a機器,請問是否會有角色沖突
不然是否有較好的解決方法

jacktseng

  • 鑽研的研究生
  • *****
  • 文章數: 934
    • 檢視個人資料
回覆: trueimage備份windows 2003 AD疑問兼討論
« 回覆 #1 於: 2009-03-17 00:20 »
問題一:
在理論上 A Server 的備份檔不要超過六十天,在還原回來後,還是可以正常跟 B Server 複寫同步,這段時間差異的資料會由 B Server 為主,複寫至 A Server
不過小弟沒在實務上實作過,找了一下,發現有的案例即使備份檔案沒有超過六十天,還原後還是導致二台 DC 複寫有問題
案例參考
http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/5a2670de-3e09-4adc-a532-ab8b22a5873c/
http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/cb1aa84a-0e23-478e-9a79-19dcf481ac3a/
不過也有可能是還原的步驟中間有什麼差錯,導致這個結果
沒實際遇到,也不得而知,比較保險的作法,會建議使用問題二的答案解法來作

問題二:
角色移轉至 B Server 後,五大角色已存在於 B,若是又還原 A Server,由於在備份檔中 A Server 仍是具有 FSMO 五大角色的 DC,還原回來會導致角色衝突,所以正確作法應該是
1.B Server 搶 FSMO 五大角色
2.強制移除 A Server DC 角色
http://support.microsoft.com/kb/216498/zh-tw
可參考之前的討論
http://phorum.study-area.org/index.php/topic,52893.msg270731.html#msg270731
3.A Server 重新安裝 OS,再升級為 DC。

補充說明
Windows Server 2003 tombstone lifetime
預設值:Windows 2003 RTM 60 天,SP1則為 180 天,但 SP1 是有條件的修改為 180 天,並不是升級了 SP1 就一定修改成 180 天。
Windows Server 2003 SP2 後,已修正此一問題。
至於細節,請自行閱讀
1.Active Directory 複寫指南
http://technet.microsoft.com/zh-tw/magazine/2007.10.replication.aspx

2.Active Directory 資料庫記憶體回收收集處理程序
http://support.microsoft.com/kb/198793/zh-tw

3.Active Directory 的系統狀態備份的可用架期間
http://support.microsoft.com/kb/216993/zh-tw

4.預設的標記存留時間 (TSL,Tombstone Lifetime) 值會保持在 60 天,而非增加到在 Windows Server 2003 R2 180 天
http://support.microsoft.com/kb/924890

5.備份和復原 AD DS 案例概觀
http://technet.microsoft.com/zh-tw/library/cc732238.aspx

6.AD的還原步驟也可以參考
http://download.microsoft.com/download/9/b/2/9b24903a-a633-4901-97fa-f87abb618027/1032355852/1123_DPM2007_AD_Exchange%20Server_V10.pptx
« 上次編輯: 2009-03-17 09:09 由 jacktseng »

jackhsiao

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
回覆: trueimage備份windows 2003 AD疑問兼討論
« 回覆 #2 於: 2009-03-18 09:53 »
感謝jacktseng大大的回覆
小弟最近正在架設測試,等我有消息時在我在把測試報告貼上來^_^

maxwkimo

  • 懷疑的國中生
  • **
  • 文章數: 39
  • 性別: 男
    • 檢視個人資料
Re: 回覆: trueimage備份windows 2003 AD疑問兼討論
« 回覆 #3 於: 2011-11-04 17:16 »
感謝jacktseng大大的回覆
小弟最近正在架設測試,等我有消息時在我在把測試報告貼上來^_^

我也遇到類似的問題,但情境和環境不太一樣,我是發生在VMware的vSphere環境中
由於虛擬化環境很方便的可以對OS做快照或是備份,但目前的問題是發生在以下的狀況,我大致上描述一下問題

在標準的AD網域中,我對其中一個加入網域的機器A進行快照,快照日期可能是2011/1/1
但假設2011/1/5號整個網域進行windows更新,在更新完畢後,2011/1/6號我把網域A機器還原快照至2011/1/1
就發生網域認不到A機器,明明就在Tombstone Lifetime 60天內且在相同環境進行環原,但就是無法和網域連線
我的DNS僅設定指向AD且確定60天內的期限未超過,而且我們公司有個很要命的問題,公司已經將本機administrator停用
所以所有管理行為,皆透過網域administrator進行管理,目前發生這樣的問題,該機器除了用非正規的方式重置密碼或重建機器這兩種方法外
沒有別的解法,請問是否有其他方式可以解決小弟我這個頭痛的問題


u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
Re: trueimage備份windows 2003 AD疑問兼討論
« 回覆 #4 於: 2011-11-04 19:54 »
A是member server的話
AD上原先的電腦帳戶A要砍掉
A server再重新加入網域

但是加入網域這個動作還是要有本機Admin權限...
如果domain admin還可以快取登入的話比較好辦
整台電腦可用帳號都沒admin權限可能真的要用crack手法拿權限
多見者博,多聞者智,拒諫者塞,專己者孤