AD的备份:
依次点击“开始→程序→附件→系统工具→备份”,在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框。
在选择“备份文件和设置”项后,点击“下一步”按钮进入“要备份的内容”对话框,选择“让我选择要备份的内容”项并点击“下一步”按钮。在“要备份的项目”对话框中依次展开“桌面→我的电脑”,勾选“System State”项
在下一步的“备份类型、目标和名称”对话框中根据提示选择好备份文件的存储路径,并设置好备份文件的名称,点击“下一步”按钮。接着在打开的对话框中点击“完成”按钮。
此时请中断计算机系统中的其他操作,因为片刻后AD数据库的备份操作就会开始进行了。
AD的还原:
还原AD数据库
相对于AD数据库的备份操作,AD数据库的还原操作就显得稍微有些复杂了。因为除了按备份向导的提示进行操作外,还需要进行一些额外的操作才能顺利完成还原。主要的原因是因为AD服务正常运行时,是不能够进行AD数据库还原操作的。
所以AD数据库的还原操作应该按以下方式进行:
1.进入目录服务还原模式
重新启动计算机在进入初始画面前,按F8键进入Windows高级选项菜单界面。此时可以通过键盘上的上下方向键选择“目录服务还原模式(只用于Windows域控制器)”项。
在回车确认后,使用具有管理员权限的账户登录系统,此时可以看出系统是处于安全模式的。
2.使用还原向导
在进入目录服务还原模式后,依次点击“开始→程序→附件→系统工具→备份”,在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框,选择“还原文件和设置”。在“还原项目”对话框中选中备份文件。
在稍后弹出的界面中点击“完成”按钮。稍等片刻,系统将弹出一个警告提示框,点击“确定”按钮,确认数据库的覆盖操作即可开始AD数据库的还原。
在完成还原操作后,点击对话框中的“关闭”按钮就可以结束了。最后将会弹出一个“备份工具”提示框,点击“是”按钮重新启动计算机即可。
最后要提醒大家的是,有些朋友还原AD数据库时会出现忘记当初设置的还原密码(添加AD服务时设置)的情况,这个时候就无法进入目录还原模式了。
遇到这种情况时请勿慌张,因为我们可以通过依次点击“开始→运行”,在弹出的运行栏中输入“Ntdsutil”命令的方法,在弹出的窗口中进行进入目录还原模式密码的重设操作。
在设置还原密码成功后,还需要重新启动计算机,重启后即可使用新的还原密码进入目录服务还原模式了。
在Windows2000中,备份与恢复Active Directory是一项非常重要的工作.在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可.但是在 Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同.
你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份.系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域 名服务和活动目录8部分,通常情况下只前3部分.这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份.
一.备份Active Directory数据.
如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上.
如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份.详细过程如下:
1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具.
2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步.
3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:\bak\AD0322.bkf",下一步,完成备份向导.如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置.
4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间.备份完毕系统会生成备份报表.
5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放.因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存.
二.Active Directory的恢复
有两种办法可以恢复Active Directory.
第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复.
另一种方法就是从备份介质进行恢复.通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情.
1.验证方式和非验证方式
从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore).
通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据.举个例子,假设今天是星期五,你使用了 星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据.
验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化.还拿上面的例子来说,当你在星期五 使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态.验证模式 恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复 Active Directory,强制使域恢复到原来的好的状态.应该说这种方式是用的比较多的一种恢复Active Directory的方式.
2.非验证恢复Active Directory
要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态).为恢复Active Directory,你必须使用server处于"目录服务恢复模式".要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8, 启动系统启动高级菜单,选择"目录服务恢复模式".
当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用.你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录).登录成功后,你就可以进行 恢复Active Directory的操作.
(1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup";
(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集.
(3)选择合适的备份文件,完成数据恢复.重新启动机器即可.
(4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了.----沧海),除非你进行了设置.
3.验证方式恢复Active Directory
为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复.验证式恢复可以实现全部或部分Active Directory数据的恢复.
(1)使用非验证方式恢复Active Directory,重新启动机器.
(2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录.
(3)"开始"->"运行",输入"ntdsutil",启动命令行工具.
(4)恢复整个Active Directory数据库,使用下列命令:
authoritative restore
restore database
恢复部分Active Directory数据,使用下列命令:
authoritative restore
restore subtree ou=Brien,dc=files,dc=COM
(红色部分要根据实际情况确定,比如你的域名字是mydom.net,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推.恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点 菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份.)
使用quit命令退出,重新启动机器.
