■ 河南 刘进京

编者按：在企业网络环境中，活动目录的作用是非常重要的。在实际的网络运行中，可能会出现和活动目录有关的各种故障，这无疑会给网络管理造成不利影响。因此，及时发现并排除这些问题，对活动目录进行灾难恢复，是网络管理员必须掌握的技术。

以Windows Server 2016为操作环境，利用系统提供的多种活动目录恢复功能，包括回收站，服务器元数据清除和目录还原等方法，可以快速有效的排除与活动目录有关的故障。

使用回收站，找回消失的数据

对于活动目录域服务来说，可以依据企业的实际应用环境，来添加对应的OU和用户。对于用户的属性，可以进行更新和修改。对于无关的用户，可以将其删除。例如在PowerShell中执 行“Get-Aduser -filter*”命令，可以查看所有的账户信息。执行“Get-Aduser -filter | select distinguishedname”命令，显示账户汇总信息。

实际上，当删除的某个账户后，其实执行的Soft Delete软删除操作。即被删除的对象依然保存在活动目录数据库中，经过180天后才会被彻底清除。

对于活动目录中的Delete Object对象来说，是可以根据需要对其进行恢复的。如果要恢复误删除的对象，在Windows Server 2008 R2之前，需要使用LDP.EXE这款工具，执行一系列复杂的操作来实现。

对于之后的系统，系统提供了对象回收站这一逻辑管理单元，可以使用活动目录管理中心这一工具轻松进行恢复。

打开Active Directory管理中心，在左侧对应域的根目录，在右侧点击“启用回收站”项启动该功能。

注意：该功能一旦启用则不能撤销。

这样，在活动目录中就会增加名为“Delete Objects”的容器，在其中存储所有被删除的对象。选择某个删除的对象，点击右侧“还原”项，即可将其恢复过来。

此外，从Windows Server 2008开始，系统针对活动目录对象提供了防意外删除功能。

在Active Directory用户的计算机窗口中点击菜单“查看”-“高级功能”项，喧选择某个账户，在其属性窗口中的“对象”面板中选择“防止对象被意外删除”项。这样当删除该对象时，系统就会其对其进行拦截。

对于容器来说，默认已经开启了防意外删除包谷功能。

对于之前的系统，也可以使用“ldp.exe”程序，执行恢复操作。

以管理员身份登录域控制器，点击“Win+R”键，执行“ldp.exe”程序，在弹出窗口中点击菜单“连接”-“连接”项，在连接窗口中输入林根域内的域控制器主机名称（例如“DCServer”），点击确定按钮。

点击菜单“连接”-“绑定”项，在弹出窗口中点击确定按钮。

点击菜单“查看”-“树”项，在树视图窗口中输入林根域域名（例如“xxx.com”）。

点击确定按钮。点击菜单“选项”-“控制”项，在控制窗口右下角的“预定义加载”列表中选择“Return deleted objects”项。

点击确定按钮，在窗口左侧的分析列表中 的 打 开“CN=Deleted Objects,DC=xxx,DC=com”节点，在下面可以看到误删除的账户名信息。

在该误删除项的右键菜单上点击“修改”项，在弹出窗口中的“属性”栏中输入“isDeletd”，在“操作”栏中选择“删除”项。

点击“输入”按钮，完成输入操作后，在“属性”栏中输入“distinguishedName”，在“值” 栏 中 输 入“cn=zhanghu,ou=市 场部 ,dc=xxx,dc=com”，这里采用的是假设的账户名，组织单元名和域名，您可以根据实际情况加以更改。

在窗口左下角选择“扩展”和“同步”项，在“操作”栏中选择“替换”项，点击“输入”按钮，完成恢复信息的输入操作。最后点击“运行”按钮，就可以恢复误删除的账户了。

清除活动目录中的杂乱信息

活动目录元数据清除功能，适用于DC损坏的情况。

例如，在网络中存在多个域控，当添加新的域控时，可能因为其硬盘/主板/电源受损等原因，导致其安装失败。但是该DC已经将一些数据写入到了“NTDS.DIT”数据库文件中的配置分区中，这就需要将该DC从配置分区中清除。

对于这种情况，可以在其他的DC上打开Active Directory活动目录和计算机窗口，在左侧选择“Domain Controllers”项，在右侧可以看到该已经损坏的DC。仅仅在其名称的右键菜单上点击“删除”项将其清除，是不能解决问题的。

在CMD窗 口 中 执行“ntdsutil” 命 令，在“ntdsutil:”提示符下执行“activate instance ntds”命令，激活NTDS实例名称。

执 行“metadata cleanup”命令，在元数据清除模式下执行“select operation target”命 令，选择站点/服务器/域/角色和命名上下文，执行“connect to server dc1.xxx.com”命令，连接到指定的正常的DC服务器。

当使用本登录的用户凭证绑定之后，执行“q”命令返回上级菜单。

执行“list domains”命令，显示找的域名。

执行“select domain 0”命令，选择指定的域，一般来说，0表示一个森林的根域。

执行“List sytes”命令，显示站点信息。执行“select site 0”命令，选择目标站点。

执 行“list naming contexts”命令，显示命名上下文信息，即活动目录数据库中的所有分区，一般包括 Configuration，Schema，Domain等分区。

执 行“select naming context 1”命 令，选 择Domain分 区。 执 行“list servers in site”命令，显示该站点中的所有DC服务器。

例 如 执 行“select server 3”命令，选择目标DC服务器，这里的“3”为具体的编号，可以根据实际情况修改。执行“q”命令，返回元数据清除模式。执行“remove selected server”命令，在弹出的警告窗口中点击“是”按钮，才彻底清除了该DC在活动目录中的元数据信息。

此外，在卸载对应DC的过程中如果出错，或者正在运行的某台DC损坏而无法修复，都会导致活动目录数据库中保存错误信息的情况，都可以使用上述方法对其进行清除。

使用目录还原，保护活动目录安全

为了保证活动目录域服务顺畅运行，除了需要准备多台DC外，还需要对其进行及时的备份。这样，即使某台DC出现启动失败等情况，也可以从容加以应对。

可以使用备份数据进行恢复，在恢复的过程中，可能在其他的DC上添加了新的账户信息，当其恢复完成后，其他的DC会通过复制的方式，将变动信息同步到该DC上，这称为非授权的还原。

此外，如果这些DC服务器感染了恶意程序，恶意程序对活动目录的信息进行了破坏操作（例如随意修改账户属性等），因为这可能涉及到大量的配置信息，手工逐个恢复比较繁琐。

如果在之前及时进行了备份，就可以在其中一台DC上执行恢复操作，将活动目录数据恢复到正常状态。但是，如果该DC重新启动后，其他DC上的混乱数据也会同步到该DC中。解决的方法是，只允许该DC将数据同步复制到其他的DC上，这称为授权还原。要实现这种反向复制，需要在还原后的活动目录对象的USN值进行适当调整。

例如在DCsrv2上打开Windows Server Backup程序，在右侧点击“一次性备份”项，在向导界面中选择“自定义”项，再打开窗口中可以选择裸机恢复，系统状态等项目。之后选择备份路径，执行具体的备份操作。

当出现以上故障时，可以在按下Shift键的同时重启该DC，在重启过程中会自动进入修复模式（如图1）。选择“疑难解答”和“启动设置”项，点击“重启”按钮，在之后出现的高级启动选项界面中选择“目录服务修复”项，输入目录还原模式密码。

图1 修复模式界面

图2 选择还原的类型

进入系统后打开Windows Server Backup程序，在右侧选择“恢复”项，在向导界面中选择“系统状态”项，在下一步窗口（如图2）中选择“原始位置”项，如果执行的是授权还原模式，需要选择“对Active Directory文件执行授权还原”项。之后点击“恢复”按钮，执行恢复操作接口。

注意：对于授权还原来说，不能选择“自动重新引导服务器以完成恢复过程”项。

这里以授权还原为例进行说明，当恢复后，在重新启动前，需要在CMD

窗 口 中 执 行“ntdsutil”命令，在提示符下执行“activate instance ntds”，“authoritative restore”命令，在授权还原提示符下执行“restore object "cn=user1,ou=dapart,dc=xxx,d c=com"”命令，针对目标账户进行授权还原，这里仅仅使用名为“user1”的用户为例进行说明，实际上就是对其属性版本号增加10000的值，这样该DC重启后，指定的对象的属性会同步到其他的DC上。