AD域備份和恢復文庫

1、AD域備份和恢復文庫.txt-/自私，讓我們只看見自己卻容不下別人。如果發(fā)短信給你喜歡的人，他不回，不要再發(fā)?？粗愕南嗥?，我就特沖動的想P成黑白掛墻上!有時，不是世界太虛偽，只是，我們太天真。AD域備份和恢復2009年05月11日 星期一 16:20AD的備份： 依次點擊“開始程序附件系統(tǒng)工具備份”，在打開的“備份或還原向?qū)А睂υ捒蛑悬c擊“下一步”按鈕進入“備份或還原”選擇對話框。 在選擇“備份文件和設(shè)置”項后，點擊“下一步”按鈕進入“要備份的內(nèi)容”對話框，選擇“讓我選擇要備份的內(nèi)容”項并點擊“下一步”按鈕。在“要備份的項目”對話框中依次展開“桌面我的電腦”，勾選“System State”

2、項 在下一步的“備份類型、目標和名稱”對話框中根據(jù)提示選擇好備份文件的存儲路徑，并設(shè)置好備份文件的名稱，點擊“下一步”按鈕。接著在打開的對話框中點擊“完成”按鈕。 此時請中斷計算機系統(tǒng)中的其他操作，因為片刻后AD數(shù)據(jù)庫的備份操作就會開始進行了。 AD的還原： 還原AD數(shù)據(jù)庫 相對于AD數(shù)據(jù)庫的備份操作，AD數(shù)據(jù)庫的還原操作就顯得稍微有些復雜了。因為除了按備份向?qū)У奶崾具M行操作外，還需要進行一些額外的操作才能順利完成還原。主要的原因是因為AD服務(wù)正常運行時，是不能夠進行AD數(shù)據(jù)庫還原操作的。 所以AD數(shù)據(jù)庫的還原操作應該按以下方式進行： 1.進入目錄服務(wù)還原模式 重新啟動計算機在進入初始畫面前，

3、按F8鍵進入Windows高級選項菜單界面。此時可以通過鍵盤上的上下方向鍵選擇“目錄服務(wù)還原模式（只用于Windows域控制器）”項。 在回車確認后，使用具有管理員權(quán)限的賬戶登錄系統(tǒng)，此時可以看出系統(tǒng)是處于安全模式的。 2.使用還原向?qū)?在進入目錄服務(wù)還原模式后，依次點擊“開始程序附件系統(tǒng)工具備份”，在打開的“備份或還原向?qū)А睂υ捒蛑悬c擊“下一步”按鈕進入“備份或還原”選擇對話框，選擇“還原文件和設(shè)置”。在“還原項目”對話框中選中備份文件。 在稍后彈出的界面中點擊“完成”按鈕。稍等片刻，系統(tǒng)將彈出一個警告提示框，點擊“確定”按鈕，確認數(shù)據(jù)庫的覆蓋操作即可開始AD數(shù)據(jù)庫的還原。 在完成還原操作后

4、，點擊對話框中的“關(guān)閉”按鈕就可以結(jié)束了。最后將會彈出一個“備份工具”提示框，點擊“是”按鈕重新啟動計算機即可。 最后要提醒大家的是，有些朋友還原AD數(shù)據(jù)庫時會出現(xiàn)忘記當初設(shè)置的還原密碼（添加AD服務(wù)時設(shè)置）的情況，這個時候就無法進入目錄還原模式了。 遇到這種情況時請勿 慌張，因為我們可以通過依次點擊“開始運行”，在彈出的運行欄中輸入“Ntdsutil”命令的方法，在彈出的窗口中進行進入目錄還原模式密碼的重設(shè)操作。 活動目錄之備份與恢復 一臺域控制器的崩潰對于網(wǎng)絡(luò)管理員而言，無疑是一場惡夢，那么活動目錄應該如何來備份和恢復呢?在這里我將詳細的為大家講一下這個問題，我們一般把活動目錄的備份和恢復

5、分成兩種情況: 1、 整個網(wǎng)絡(luò)中有且僅有一臺域控制器; 首先，本人并不成贊成網(wǎng)絡(luò)中存在這種情況，也就是說網(wǎng)絡(luò)中最好是存在兩臺或兩臺以上的域控制器，當然有些朋友可能會說:買服務(wù)器你給錢啊?我先聲明:我沒錢。而且現(xiàn)在的老板都很精喲，一般是能用就行，至于壞了怎么辦?那當然是網(wǎng)絡(luò)管理員來想辦法解決了，難道白給你工資啊?所以有些網(wǎng)絡(luò)中的確存在著只有一臺域控制器的現(xiàn)象，那么對于這種情況，備份是必不可少的了，而且建議備份到網(wǎng)絡(luò)上，別備份到本地計算機上，因為備份在本地的話，萬一服務(wù)器的硬盤燒毀，那么你的備份也會隨之而去，這樣的話和沒有備份沒什么區(qū)別。那么，怎么備份?我們要用到Windows 2003自帶的備份

6、工具Ntbackup。點擊“開始-運行”，輸入:“Ntbackup”回車，也可以點擊“開始-程序-附件-備份”，其實是一回事，我們就可以看到如下的畫面: 點擊我用箭頭指出的“高級模式”: 再點擊用紅框標出的“備份向?qū)?高級”，這時會出現(xiàn)一個備份向?qū)? 在這里請大家注意，直接點“取消”，這樣可以進入備份工具控制器，以便有更多的可以自定義的項目: 在這里，需要提醒大家的是，如果你只是想備份活動目錄的話，那么你只需要備份一下系統(tǒng)狀態(tài)就可以了。但本人強烈建議:最好再做一個整個C盤的備份!以防止丟失一些其它的數(shù)據(jù)。在這里，我為了節(jié)省時間，就僅僅備份一下系統(tǒng)數(shù)據(jù)了: 在上圖的左下角，“備份媒體或文件名”里

7、可以選擇備份的路徑，并且支持網(wǎng)絡(luò)備份的。 選擇好備份文件的存放路徑后，就可以點擊“開始備份”了: 點擊“開始備份”后，會出現(xiàn)如下畫面: 在上面的選項中，點擊“計劃”，系統(tǒng)會提示你“保存當前備份設(shè)置”，保存完成后，會出現(xiàn)下面的畫面: 在這里要輸入正確的具有管理員權(quán)限的帳號和密碼才可以，輸入后點“確定”，就會出現(xiàn)一個“計劃的作業(yè)選項”: 點擊上述畫面中的“屬性”: 在這里，可以設(shè)置計劃作業(yè)，以方便系統(tǒng)以后自動按照計劃進行備份，就不用一次次的手動備份了。設(shè)置完成后 ，就回到了剛剛的畫面: 這次點擊“高級”: 在這里，可選擇一些如數(shù)據(jù)備份完成后驗證其完整性之類的選項，這個大家可以根據(jù)需要進行選擇，主要

8、向大家簡單介紹一下五個備份類型: 正常:備份所有選擇的文件夾和文件，不依賴于任何標記，但會清除標記 副本:備份所有選擇的文件夾和文件，不依賴于任何標記，但不會清除標記 增量:只備份選擇的且有標記的文件夾和文件，但是會清除標記; 差異:只備份選擇的且有標記的文件夾和文件，且不清除標記; 每日:以天為單位，每天發(fā)生變化的文件都會被備份; 這五種備份類型具體如何應用，如何配合使用，請大家結(jié)合自己的實際情況決定。配置好這些備份參數(shù)以后，就可以進行備份操作了: 整個備份時間還是比較長的，大約要20分鐘左右，當然具體還要根據(jù)你的系統(tǒng)中的數(shù)據(jù)量來決定性的，在我這個實驗環(huán)境里10分鐘不到就OK了。備份完成后，

9、我們可以在備份目錄下找到這個備份文件，其大小為:537M。 有人可能會問，一個活動目錄至于有這么多的數(shù)據(jù)嗎?其實如果你剛剛注意備份時候顯示的信息的話，那么你就會知道，其實這個備份包括了三樣東西:BOOT信息、活動目錄信息、及System32文件夾下的所有文件，最大的就是那個System32文件夾，所以537M就不足為奇了。OK，備份完成了。那么萬一域控制器發(fā)生損壞后該如何恢復呢?接下來就看這個了，首先你得重新安裝操作系統(tǒng)，在我這里由于用的是虛擬機，所以我只要把前面的更改刪除就可以了。嘿嘿，用虛機就是有這種好處，什么時候物理機也可以這樣就好了。然后在開機的時候按F8: 在這里，我們要選擇，第七項

10、:“目錄服務(wù)還原模式(只用于Windows域控制器”，真不知道這句話是微軟找誰來翻譯的，我覺得括號里的文字應該翻譯成:“只用于恢復Windows域控制器”才比較合適，這句話不知道害過多少人，我就見過不少網(wǎng)絡(luò)管理員是先把服務(wù)器提升為域控制器，然后再執(zhí)行恢復操作，其實大家難道忘記了，我們剛剛備份的文件里有活動目錄信息的。 在Windows的登陸窗口，如果你的服務(wù)器只是成員服務(wù)器，那么請輸入本地管理員的密碼，如果是域控制器，請輸入還原密碼。什么?還原密碼是什么?看看我的第一篇文章吧。 繼續(xù)點擊“開始-運行”，輸入“Ntbackup”，并回車: 這回可別再選擇備份向?qū)Я?，要用“還原向?qū)?高級”: 點“

11、下一步”，出來如下畫面: 在“文件”上擊右鍵: 點擊“文件編錄”: 輸入備份文件所在的位置，然后確定: 然后點擊“下一步”: 在上述畫面中確認無誤的話，就可以點擊“完成”了: 在出來的警告窗口上點擊“確定”: 這個畫面和備份的畫面差不多吧?幾分種后就可以完成，完成后，系統(tǒng)會要求你重新啟動計算機。重啟后，你就會發(fā)現(xiàn)這臺成員服務(wù)器已經(jīng)變成域控制器了，并且和以前的一模一樣。 2、 多域控制器環(huán)境下的活動目錄恢復 可能看到這個標題有人就會問，怎么一上來就講恢復啊?不用備份嗎?是的，如果僅僅是活動目錄信息的確是不用備份的。為什么?大家還記得我在前面的文章中提到過，從Windows 2000域開始，采用的

12、是多宿主復制的機構(gòu)，也就是所有的活動目錄修改都會被復制到所有的域控制器上，所以是不需要備份的。只要看一下怎么恢復就可以了。 先來說明一下實驗環(huán)境: 域名: 第一臺域控制器: 計算機名: IP:192.168.5.1 子網(wǎng)掩碼:255.255.255.0 DNS:192.168.5.1 并且FSMO五種角色及GC全部在第一臺域控上。 第二臺域控制器: 計算機名: IP:192.168.5.2 子網(wǎng)掩碼:255.255.255.0 DNS:192.168.5.2 災難情況:第一臺域控制器由于硬件原因，導致無法啟動。 這時我們會發(fā)現(xiàn)下面的客戶端雖然還可以利用本地緩存進行登陸，但已經(jīng)無法再利用域資源了

13、，我們的目的就是要讓第二臺額外域控制器來接替第一臺的工作，也就是說把FSMO和GC全部轉(zhuǎn)移到額外域控制器上來。這里要分成兩步: 一、首先，要把第一臺域控制器的所有信息從活動目錄里面刪除: (1、點擊“開始-運行”，輸入:“cmd”并回車，在命令提示符下輸入:“ntdsutil”，然后回車，如果你不是很清楚“ntdsutil”的使用方法，可以用“?”然后回車的方法來調(diào)用使用說明: 在這里我們要選擇“Metadata cleanup -清理不使用的服務(wù)器的對象”然后依次輸入下面的命令: 然后我們要顯示一下Site中的域: 結(jié)果找到兩個，其中“1”是我建的子域，所以這里要先擇“0”: 通過上面的信息

14、，我們可以看到兩個服務(wù)器，其中SERVER是我們要刪除的，因為它已經(jīng)DOWN機了。所以這里要選擇“0”: 選中后，按“q”退出到上一層菜單: 在上圖中點擊“是”: 然后再按2個“q”退出。 (2、使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中欲刪除服務(wù)器對象， ADSI EDIT在SUPPORT TOOLS工具包里，打開后，找到如下位置: 擊右鍵，然后選“刪除”就 可以了。 (3、在“管理工具”里，打開“AD站點和服務(wù)”，找到如下位置: 把復制連接也刪除了: 以上有幾個刪除幾個。 二、把FSMO角

15、色強行奪取過來。這里又要用到“Ntdsutil”了: 我們先要連接到目標服務(wù)器上: 連接成功后，按“q”退出到上層菜單，并且看一下幫助信息: 請注意:這里有兩種方法分別是Seize和Transfer，如果原來的FSMO角色的擁有者處于離線狀態(tài)，那么就要用Seize，如果處于聯(lián)機狀態(tài)，那么就要用Transfer。在這里由于SERVER已經(jīng)離線了，所以要用“Seize”: 這里是奪取PDC角色的圖示，點“是”，其它角色的也是一樣的操作，最后退出。 大家了為安全起見，可以運行一下我上次給轉(zhuǎn)給大家的腳本: 由上圖可見，所有的FSMO已經(jīng)轉(zhuǎn)移到TEST20031服務(wù)器上了。最后就是把GC轉(zhuǎn)移過來: 在“管理工具”里，打開“AD站點和服務(wù)”，找到如下位置: 在“屬性”上單擊: 在“全局編錄”前打外勾，然后確定退出就可以了。 最后到客戶端去修改一下DNS服務(wù)器的位置，就可以發(fā)現(xiàn)客戶端又可以正常登陸了。而且所有的域資源又可以正常使用。最