AD域 DSRM

editor 网络运维 0 阅读
DSRM (Directory Services Restore Mode,目录服务还原模式) 是 Windows Server 域控制器的“安全模式”或“救命稻草”。
当 AD 数据库(Ntds.dit)损坏、被误删、或者遭遇勒索软件攻击导致系统无法正常启动时,你需要进入这个模式进行修复。
1. DSRM 密码是什么?
在将服务器提升为 Additional DC 的安装过程中,系统会强制要求你设置一个 DSRM 密码
  • 独立性:它与域管理员密码(Domain Admin)是完全分开的。
  • 本地性:它实际上是这台域控服务器上的本地管理员密码,只在该服务器进入 DSRM 模式时有效。
  • 重要性:如果本地和云端 DC 都挂了,没有这个密码,你将无法通过备份文件还原 AD 数据库。
2. 什么时候会用到它?
  • AD 数据库损坏:系统提示找不到数据库文件。
  • 误删恢复:不小心删除了某个关键组织单位(OU)或大量用户,需要从备份中进行授权还原
  • 系统补丁冲突:更新导致 AD 服务无法启动。
3. 如何进入 DSRM 模式?
  • 传统方式:重启服务器,在启动时按 F8,选择“目录服务还原模式”。
  • 现代方式(远程桌面常用):
    1. 运行 msconfig
    2. 在“引导 (Boot)”选项卡中,勾选“安全引导 (Safe boot)”并选择“Active Directory 修复 (Active Directory repair)”。
    3. 重启后,系统会进入一个不加载 AD 服务的环境,此时必须用 .\Administrator  DSRM 密码 登录。
4. 万一忘记了怎么办?
如果你现在还能正常登录域控,可以用命令行随时重置它(建议本地和云端设为一致,方便管理):
  1. 打开命令行(CMD)输入:ntdsutil
  2. 输入:set dsrm password
  3. 输入:reset password on server null(null 表示当前服务器)
  4. 按提示输入两次新密码。
  5. 输入 q 退出。
💡 给您的建议
在配置云端 Additional DC 时,请务必将 DSRM 密码记录在公司的加密密码管理器(如 KeePass 或 1Password)中。因为云端 DC 往往作为最后的防线,一旦本地损毁且忘记了云端的 DSRM 密码,整个域环境可能面临无法重建的风险。
------------------------
DSRM详细的还原步骤(额外文档)
进行 DSRM 还原通常发生在 域控系统崩溃AD 数据库损坏  误删了关键对象(如整个部门的用户) 的场景下。
以下是使用 Windows Server 自带的 Windows Server Backup (WSB) 插件进行还原的详细步骤:
第一步:进入 DSRM 模式
由于 AD 数据库文件(Ntds.dit)在系统正常运行时是被锁定的,必须在 DSRM 模式下替换。
  1. 重启服务器,在启动过程中按 F8(或通过 msconfig 设置),选择 目录服务还原模式 (Directory Services Restore Mode)
  2. 登录:使用本地管理员账号登录。
    • 用户名:.\Administrator
    • 密码:您在部署 DC 时设置的 DSRM 密码
第二步:选择还原类型(关键决策)
在开始前,您必须决定是哪种还原:
  • 非授权还原 (Non-Authoritative Restore):最常用。适用于单台 DC 损坏。还原后,它会从其他在线的 DC(比如您的云端或本地另一台)同步最新的数据。
  • 授权还原 (Authoritative Restore):适用于误删了数据。如果您在 A 服务器删了人,B 服务器也会同步删除。此时需在 A 还原后,手动声明“我这份备份才是老大”,强制覆盖其他所有 DC。
第三步:执行还原过程 (以非授权还原为例)
  1. 打开 服务器管理器 -> 工具 -> Windows Server Backup
  2. 在右侧操作栏点击 恢复 (Recover)
  3. 选择备份位置:如果是保存在云盘或外部硬盘,选择“备份存储在其他位置”。
  4. 选择日期:挑选一个健康的备份时间点。
  5. 选择恢复类型:务必选择 状态系统 (System State)
  6. 位置选择:选择“原始位置”。
  7. 确认勾选:勾选“执行 Active Directory 文件的授权还原”(注意:只有当你确定要以这份备份覆盖全域数据时才勾选,否则保持默认进行非授权还原)。
  8. 点击 恢复,等待系统进度条完成并重启。
第四步:(可选) 执行授权还原命令
如果您是为了找回误删的账号,在上述步骤重启前,不要直接进入系统,需配合 ntdsutil
  1. 在 DSRM 模式的命令行输入:ntdsutil
  2. 输入:activate instance ntds
  3. 输入:authoritative restore
  4. 输入:restore object "CN=User1,OU=Sales,DC=contoso,DC=com" (替换为您要恢复的具体路径) 或 restore subtree "OU=Sales,DC=contoso,DC=com" (恢复整个部门)。
  5. 退出并重启。
⚠️ 专家提示:
  • 备份有效性:AD 备份有“保质期”(默认 180 天,称为 Tombstone Lifetime)。如果备份超过 180 天,千万不要尝试还原,会导致域环境产生“残留对象”从而彻底紊乱。
  • 云端优势:在云端部署 Additional DC 的好处是,如果本地 DC 彻底报废,你甚至不需要做 DSRM 还原——直接在云端把这台 DC 的 FSMO 五种角色夺取过来,它就变成了新的主控中心。
您现在的备份是用 Windows 自带工具 做的,还是 第三方软件(如 Veeam, Veritas)?不同的工具进入还原界面的方式略有区别。
版权声明:本文内容由互联网用户撰写,该文观点仅代表作者本人。本站爱分享仅提供分享服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请立马联系本站,本站将立刻删除。
THE END
分享
二维码
< <上一篇
下一篇>>
文章目录
关闭