上篇博文中我們介紹了部署額外域控制器，也瞭解到域內所有的域控制器都有一個內容相同的Active Directory，而且 Active Directory 的內容是動態平衡的，也就是說任何一個域控制器修改了 Active Directory，其他的域控制器都會把這個 Active Directory 的變化複製過去。

今天我們要考慮這麼一個問題，如果域中有多個域控制器，但他們所擁有的 Active Directory 內容不一致，那麼應該以哪個域控制器的 Active Directory 內容為準？可能我們會疑惑，怎麼會出現這種情況呢？其實假如有個域控制器由於更換硬體導致有幾天時間沒有線上，而其他的域控制器在這段時間對 Active Directory 進行了修改，那麼當這個域控制器重新上線時就會出現我們所提到的這種情形。

當域控制器們發現彼此的 Active Directory 的內容不一致，他們就需要分析一下 Active Directory 的優先順序，從而決定以哪個域控制器的 Active Directory 內容為準。Active Directory 的優先順序比較主要考慮三方面因素，分別是：

1、版本號：版本號指的是 Active Directory 物件的修改次數，版本號高者優先。例如域中有兩個域控制器 A 和 B，A 域控制器上的使用者 administrator 口令被修改了 4 次，最後被改為 12345；B 域控制器上的使用者 administrator 口令被修改了 5次，最後被改為 123456。那麼 A 和 B 發現他們的 Active Directory 中 administrator 口令不一致，這時 A 和 B 會分析版本號，發現版本號分別是 4 和 5，

2、時間：如果 A 和 B 兩個域控制器都是對 administrator 口令修改了 4 次，那麼版本號 就是相同的。這種情況下兩個域控制器就要比較時間因素，看哪個域控制器完成修改的時間靠後，時間靠後者優先。這裡我們順便提及一下，Active Directory 中時間是個非常重要的因素，域內計算機的時間誤差不能超過 5 分鐘，

3、GUID：如果 A 和 B 兩個域控制器的版本號和時間都完全一致，這時就要比較兩個域控制器的 GUID 了，顯然這完全是個隨機的結果。一般情況下時間完全相同的非常罕見，因此 GUID 這個因素只是一個備選方案。

下面我們引入一個具體的例子讓大家加深理解。

1、域中有兩個域控制器 Florence 和 Firenze。

2、域中有一個使用者張建國，我們在 Firenze 上對 Active Directory 已經進行了備份。 

3、我們在 Florence 上不小心把張建國誤刪除了，顯然 Firenze 會很快把 Active Directory 中的張建國也刪除，以便和 Florence 的 Active Directory 保持一致。

那麼我們應該怎麼做才能把張建國給恢復回來呢？

可能我們會想到利用 Firenze 上的 Active Directory 備份來解決這個問題，既然備份中有張建國，那麼把備份還原回來不就 OK 了嗎？這個問題沒這麼簡單，如果域中只有一個域控制器，那麼用備份還原是成立的。但現在域中有兩個域控制器，我們就要好好考慮一下了。

發現問題：Firenze 從備份還原後，Active Directory 中已經擁有了張建國的使用者賬號，但 Firenze 會和 Florence 比較 Active Directory 內容，並且Florence的版本號要高，所以Firenze 認為 Florence 的 Active Directory 比自己的優先順序高，因此 Firenze 會把 Florence 的 Active Directory 複製過來， 這樣一來，剛被還原的張建國肯定會被重新刪除掉！

解決思路：在 Firenze 從備份還原 Active Directory 之後，我們可以利用一個工具NTDSUTIL.EXE來修改Active Directory物件的版本號，讓Firenze的版本號大於Florence的版本號，這樣我們就可以利用達到目的了。這種還原方式我們稱為授權還原，下面我們通過一個例項為大家演示一下具體過程。

在以下介面中，勾選“授權還原”，

點選“恢復”，過程需要10－20分鐘，請稍等...

如下圖所示，還原結束後，千萬別選擇重啟計算機，我們還沒有修改Active Directory的版本號呢，保持以下介面，開啟命令提示符視窗。

在命令提示符中，運行了 NTDSUTIL，再執行 Authoritative restore 來修改 AD 物件的版本號。

我們可以簡單地執行 restore database，這樣整個 AD 內所有對 象的版本號都將加到最大，版本號加到最大是什麼含義呢？微軟規定，AD 物件 的版本號每天最多可以增加10萬。在本例中我們不需要把AD中所有物件的版本號都增加到最大，只要修改張建國的版本號就可以了。因此我們可以使用 Restore Object 命令只針對張建國的版本號進行修改，那如何在AD中表示張建國呢？按照目錄物件的命名規範，張建國隸屬於 ADTEST.COM 域中的人事部組織單位，那我們描述張建國就應該使用“cn＝張建國，ou＝人事部，dc＝adtest，dc＝com”。如下圖所示，我們輸入修改指令後觀察一下執行的效果。

執行完命令後，系統詢問是否執行授權還原，我們選擇“是”。

重啟計算機，正常啟動，以域管理員登入,提示如下，

開啟Active Directory使用者和計算機，如下圖所示，Firenze的 AD 中已經重新擁有了使用者張建國，修改版本號成功了。

很多朋友會很自然地想到利用 Firenze 上的 Active Directory 備份來解決這個 問題，既然備份中有張建國，那麼把備份還原回來不就 OK 了嗎？這個問題沒這 麼簡單，如果域中只有一個域控制器，那麼用備份還原是成立的。但現在域中有 兩個域控制器，我們就要好好考慮一下了。Firenze 從備份還原後，Florence

和 Firenze 的 Active Directory 內容就不一樣了，那麼 Florence 和 Firenze 的 Active Directory 哪個優先順序更高呢？哦，不對，似乎是 Florence 的版本 號更高一些！那我們就可以從理論上得出結論，Firenze 從備份還原之後，Acti ve Directory 中已經擁有了張建國的使用者賬號，但 Firenze 和 Florence 比較 了 Active Directory 之後，Firenze 認為 Florence 的 Active Directory 比自 己的優先順序高，因此 Firenze 會把 Florence 的 Active Directory 複製過來， 這樣一來，剛被還原的張建國肯定會被重新刪除掉！

難道我們對此就無能為力了嗎？不是的，在 Firenze 從備份還原 Active Direc tory 之後，我們可以利用一個工具NTDSUTIL.EXE 來修改 Active Direct ory 物件的版本號，讓Firenze的版本號大於Florence的版本號，這樣我們就可以利用遊戲規則順利地達到目的了。這種還原方式我們稱為授權還原，下面我們通過一個例項為大家演示一下具體過程。

現在的場景是 Firenze 已經對 Active Directory 進行了備份，備份中包含了域 使用者張建國。在備份之後我們誤刪除了張建國，現在我們在 Firenze 上開始利 用備份進行主要還原。首先在 Firenze 上重啟計算機，BIOS 自檢後按下 F8， 如下圖所示，選擇進入目錄服務還原模式。目錄服務還原模式可以把 Active Di rectory 掛起，適合我們從備份還原 Active Directory。