一、问题描述

如果域中存在多个域控制器，但每个域拥有的活动目录（ Active Directory）内容不相同，此时应该以哪个域控制器的活动目内容为准？

出现该问题的情形如：假如一个域控下存在多个域控制器，其中有一个域控制器需要维护因此会不在线一段时间，此时其他的域控制器在这段时间内对活动目录内容进行了修改操作，当该需要维护的域控制器维护完成后进行上线时，就会出现（域控制器拥有的内容不同，此时应该以哪个域控制器的内容为准呢？）

二、问题分析

当多个域控制器发现各自的活动目录内容不一致时会分析活动目录的优先级，从而决定以哪个域控制器的活动目录内容为准。活动目录的优先级比较主要考虑以下三方面因素：

①版本号：指的是活动目录对象的修改次数，以版本号最高者优先。（例如：域中有两个域控制器 A 和 B，A 域控制器上的用户user1密码被修改了 2次，最后被改为：:123456789；B 域控制器上的用户user1密码被修改了 3次，最后被改为：Qazx123。那么 A 和 B 发现他们活动目录中 user1 密码不一致，这时 A 和 B 会分析版本号，发现版本号分别是 2 和 3，这时A就会把 B 的活动目录内容复制到本机的活动目录中。经过这么一轮复制后，A 和 B 的活动目录内容就达到了新的平衡，它们活动目录中所有对象的版本号也都完全一致了）。

②时间：版本号相同，则时间靠后者优先。如果 A 和 B 两个域控制器都是对 user1 口令修改了 3次，那么版本号就是相同的；这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。【注意：活动目录中时间是个非常重要的因素，域内计算机的时间误差不能超过 5 分钟，而且活动目录中还有一个墓碑时间的限制，这些我们以后再详细加以说明】

③GUID：如果 A 和 B 两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的 GUID 了，显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见，因此 GUID 这个因素只是一个备选方案。

三、场景示例说明

3.1、场景

场景内容如下：

①域中有两台域控制服务器【192.168.146.217】、【192.168.146.227】；

②域中有一个【信息部】的组织下的张一山用户，我们在【192.168.146.227】上对活动目录进行了备份。

③后面我们在【192.168.146.217】上不小心将【信息部】组织下的张一山用户给删除了；正常情况下【192.168.146.227】中也会同步删除掉活动目录中的【信息部】组织下的张一山用户来保持统一；

此时我们该怎样做才能将【信息部】组织下的张一山用户内容恢复出来呢？

（如果我们直接使用恢复备份的方法在一个域中存在多个域控制器是行不通的，因为【192.168.146.217】操作了活动目录，故该域控制器的版本号就高于恢复的域控制器内容，一旦恢复完成，恢复出来的【信息部】组织下的张一山就会被删除掉，实现多个域控制器的版本号一致）

3.2、解决方法

3.2.1、解决思路

在【192.168.146.227】从备份还原活动目录之后，可以利用一个名为【NTDSUTIL.EXE】的工具来修改活动目录对象的版本号，让【192.168.146.227】的版本号大于【192.168.146.217】的版本号，这样我们就可以利用高版本号达到目的了。这种还原方式我们称为授权还原，以下就通过一个示例演示具体操作流程。

3.2.2、解决流程

1、情况说明：

①前提：已经对【192.168.146.227】的活动目录进行了备份请参考：

windows server 2016 活动目录部署系列（五）域控制器的备份和还原https://coffeemilk.blog.csdn.net/article/details/121370221中的备份内容（注意：备份的内容中包含了【信息部】组织下的所有人）；

②在备份完成后不小心删除了【信息部】组织下的所有人；

③现在开始恢复备份的域控制器，详细操作如下：

2、授权还原

①重启【192.168.146.227】，然后不停按下 F8键进入高级启动项模式，如下图所示，选择进入目录服务还原模式。目录服务还原模式可以把活动目录挂起，适合我们从备份还原活动目录。

②进入还原模式登陆界面；注意：在该还原登录界面下不能选择域管理员帐号，必须使用服务器的本地的管理员帐号登录，并且密码是该计算机的域控制器的还原密码（即：该域控密码是在刚才配置和原来域控制器设置的密码）。

③进入还原模式桌面后，打开windows server backup备份工具，选中【本地备份】-->选择【恢复】进行操作。

注意：这里恢复到【原始位置】且必须勾选【对Active Directory文件执行授权还原】。

等待还原结束。

当还原结束后一定不能重新启动，我们必须要先修改该域服务器的活动目录版本号（即：在如下图所示的界面时，运行【 NTDSUTIL】命令修改版本号）

①打开命令行界面
②运行 ntdsutil 命令；
③运行 activate instance ntds 设置活动实例为‘ntds’
④运行 authoritative restore 来修改活动目录对象的版本号。
⑤运行 restore database 命令对活动目录的所有版本号都添加到最大注意：我们可以简单地运行 restore database，这样整个 AD 内所有对 象的版本号都将加到最大；版本号加到最大是什么含义呢？微软规定，AD 对象 的版本号每天最多可以增加10万。在本例中我们不需要把AD中所有对象的版本号都增加到最大，只要修改信息部组织的版本号就可以了；因此我们可以使用 Restore Object 命令只针对张一山的版本号进行修改。那如何在AD中表示张一山呢？按照目录对象的命名规范，张一山隶属于 coffeemilk.com 域中的无穷大科技有限公司组织和信息部组织，那我们描述张一山就应该使用“cn=张一山,ou＝信息部,ou=无穷大科技有限公司,dc＝coffeemilk,dc＝com”。执行命令为：restore object cn=张一山,ou＝信息部,ou=无穷大科技有限公司,dc＝coffeemilk,dc＝com

授权还原完成后，可使用 quit 命令退出 NTDSUTIL。

3.2.3、授权还原完成后重启系统

系统正常重启后，使用域管理员账号登录

弹窗提示如下：

最后打开AD DS的用户和计算机查看信息部组织下的张一山人员恢复则表示成功

windows server 2016 活动目录部署系列（七）活动目录的授权还原相关推荐

Windows Server 2016系统高级管理系列-DFS分布式文件系统
https://blog.csdn.net/wmcoo/article/details/105309345 DFS分布式文件系统在线视频观看地址:https://edu.51cto.com/cours ...
Windows Server 2016快速入门部署远程桌面服务
打开服务器管理器,然后单击管理 -> 添加角色和功能在" 开始之前"页面上的向导中,单击"下一步". 在" 选择安装类型"页面上,选 ...
Windows Server 2016 配置指南全系列
配置和 Linux 平台不一样,往往我们使用 Windows Server 都会选择有 GUI 的图形化版本(高手用 Core 也不用看我半吊子的教程了),而且 Windows 又自身占了一部分内存 ...
Windows Server 2016之RDS部署之添加RD网关
紧接着前面的的RDS环境,我们不但的完善:在这里还是一样,我们需要准备一台服务器来做RD网关服务器:加入域中并且添加到RDCB服务器的"服务器管理器-所有服务器"中. 如下添加方式 ...
Windows Server 2016之RDS部署之添加RD虚拟化主机
根据以下概述,可以看到RDS环境已经搭建好了,紧跟着下面我们要陆续的完善RDS整个部署,敬请期待吧! 进入"服务器管理器"-"远程桌面服务"-"概述& ...
服务器2008系统安装iis教程,Windows Server 2016系统安装IIS图文配置教程
平时我们使用较多的还是Linux系统,即便有接触到Windows系统的话,也使用的2003系统,这个以前接触较多且安装IIS以及其他软件的时候比较熟悉.或者我们可以使用宝塔这么常用的WEB环境一键快速 ...
windows server 2016 活动目录部署系列（四）资源的权限分配
一.实现效果 1.1.前提客户端需要加入域且创建域用户: windows server 2016 活动目录部署系列(三)加入域且创建域用户https://coffeemilk.blog.csdn.n ...
windows server 2016 活动目录部署系列（五）域控制器的备份和还原
一.问题说明目前我们已经搭建好基础域环境内容,并且进行了域账号的创建和资源的权限分配:已经能够正常运行满足基础的业务需要. 但是,由于我们搭建的基础域模型是单一架构,并没有冗余设计,这样就会 ...
windows server 2016 活动目录部署系列（二）创建域控制器（AD DS）
一.准备内容 ①安装Windows Server 2016系统在VMware WorkStation中安装Windows Server 2016https://coffeemilk.blog.csd ...

windows server 2016 活动目录部署系列（七）活动目录的授权还原