在域構架網絡中,域控制器是多麼的重要,所以一臺域控制器的崩潰對於網絡管理員而言,無疑是一場惡夢,那麼活動目錄應該如何來備份和恢復呢?在這裏我將詳細的爲大家講一下這個問題,我們一般把活動目錄的備份和恢復分成兩種情況:
1、 整個網絡中有且僅有一臺域控制器;
首先,本人並不成贊成網絡中存在這種情況,也就是說網絡中最好是存在兩臺或兩臺以上的域控制器,當然有些朋友可能會說:買服務器你給錢啊?我先聲明:我沒錢。而且現在的老闆都很精喲,一般是能用就行,至於壞了怎麼辦?那當然是網絡管理員來想辦法解決了,難道白給你工資啊?所以有些網絡中的確存在着只有一臺域控制器的現象,那麼對於這種情況,備份是必不可少的了,而且建議備份到網絡上,別備份到本地計算機上,因爲備份在本地的話,萬一服務器的硬盤燒燬,那麼你的備份也會隨之而去,這樣的話和沒有備份沒什麼區別。那麼,怎麼備份?我們要用到Windows 2003自帶的備份工具Ntbackup。點擊“開始-運行”,輸入:“Ntbackup”回車,也可以點擊“開始-程序-附件-備份”,其實是一回事,我們就可以看到如下的畫面:
![]()
點擊我用箭頭指出的“高級模式”:
![]()
再點擊用紅框標出的“備份嚮導(高級)”,這時會出現一個備份嚮導:
![]()
在這裏請大家注意,直接點“取消”,這樣可以進入備份工具控制器,以便有更多的可以自定義的項目:
![]()
在這裏,需要提醒大家的是,如果你只是想備份活動目錄的話,那麼你只需要備份一下系統狀態就可以了。但本人強烈建議:最好再做一個整個C盤的備份!以防止丟失一些其它的數據。在這裏,我爲了節省時間,就僅僅備份一下系統數據了:
![]()
在上圖的左下角,“備份媒體或文件名”裏可以選擇備份的路徑,並且支持網絡備份的。
選擇好備份文件的存放路徑後,就可以點擊“開始備份”了:
![]()
點擊“開始備份”後,會出現如下畫面:
![]()
在上面的選項中,點擊“計劃”,系統會提示你“保存當前備份設置”,保存完成後,會出現下面的畫面:
![]()
在這裏要輸入正確的具有管理員權限的帳號和密碼纔可以,輸入後點“確定”,就會出現一個“計劃的作業選項”:
![]()
點擊上述畫面中的“屬性”:
![]()
在這裏,可以設置計劃作業,以方便系統以後自動按照計劃進行備份,就不用一次次的手動備份了。設置完成後,就回到了剛剛的畫面:
![]()
這次點擊“高級”:
![]()
在這裏,可選擇一些如數據備份完成後驗證其完整性之類的選項,這個大家可以根據需要進行選擇,主要向大家簡單介紹一下五個備份類型:
正常:備份所有選擇的文件夾和文件,不依賴於任何標記,但會清除標記
副本:備份所有選擇的文件夾和文件,不依賴於任何標記,但不會清除標記
增量:只備份選擇的且有標記的文件夾和文件,但是會清除標記;
差異:只備份選擇的且有標記的文件夾和文件,且不清除標記;
每日:以天爲單位,每天發生變化的文件都會被備份;
這五種備份類型具體如何應用,如何配合使用,請大家結合自己的實際情況決定。配置好這些備份參數以後,就可以進行備份操作了:
![]()
整個備份時間還是比較長的,大約要20分鐘左右,當然具體還要根據你的系統中的數據量來決定性的,在我這個實驗環境裏10分鐘不到就OK了。備份完成後,我們可以在備份目錄下找到這個備份文件,其大小爲:537M。
![]()
![]()
在這裏,我們要選擇,第七項:“目錄服務還原模式(只用於Windows域控制器)”,真不知道這句話是微軟找誰來翻譯的,我覺得括號裏的文字應該翻譯成:“只用於恢復Windows域控制器”才比較合適,這句話不知道害過多少人,我就見過不少網絡管理員是先把服務器提升爲域控制器,然後再執行恢復操作,其實大家難道忘記了,我們剛剛備份的文件裏有活動目錄信息的。
在Windows的登陸窗口,如果你的服務器只是成員服務器,那麼請輸入本地管理員的密碼,如果是域控制器,請輸入還原密碼。什麼?還原密碼是什麼?看看我的第一篇文章吧。
繼續點擊“開始-運行”,輸入“Ntbackup”,並回車:
![]()
這回可別再選擇備份嚮導了,要用“還原嚮導(高級)”:
![]()
點“下一步”,出來如下畫面:
![]()
在“文件”上擊右鍵:
![]()
點擊“文件編錄”:
![]()
輸入備份文件所在的位置,然後確定:
![]()
然後點擊“下一步”:
![]()
在上述畫面中確認無誤的話,就可以點擊“完成”了:
![]()
在出來的警告窗口上點擊“確定”:
![]()
這個畫面和備份的畫面差不多吧?幾分種後就可以完成,完成後,系統會要求你重新啓動計算機。重啓後,你就會發現這臺成員服務器已經變成域控制器了,並且和以前的一模一樣。
![]()
2、 多域控制器環境下的活動目錄恢復
可能看到這個標題有人就會問,怎麼一上來就講恢復啊?不用備份嗎?是的,如果僅僅是活動目錄信息的確是不用備份的。爲什麼?大家還記得我在前面的文章中提到過,從Windows 2000域開始,採用的是多宿主複製的機構,也就是所有的活動目錄修改都會被複制到所有的域控制器上,所以是不需要備份的。只要看一下怎麼恢復就可以了。
先來說明一下實驗環境:
域名:demo.com
第一臺域控制器:
計算機名:server.demo.com
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1
並且FSMO五種角色及GC全部在第一臺域控上。
第二臺域控制器:
計算機名:test20031.demo.com
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.2
災難情況:第一臺域控制器由於硬件原因,導致無法啓動。
這時我們會發現下面的客戶端雖然還可以利用本地緩存進行登陸,但已經無法再利用域資源了,我們的目的就是要讓第二臺額外域控制器來接替第一臺的工作,也就是說把FSMO和GC全部轉移到額外域控制器上來。這裏要分成兩步:
一、首先,要把第一臺域控制器的所有信息從活動目錄裏面刪除:
(1)、點擊“開始-運行”,輸入:“cmd”並回車,在命令提示符下輸入:“ntdsutil”,然後回車,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然後回車的方法來調用使用說明:
![]()
![]()
然後我們要顯示一下Site中的域:
![]()
結果找到兩個,其中“1”是我建的子域,所以這裏要先擇“0”:
![]()
通過上面的信息,我們可以看到兩個服務器,其中SERVER是我們要刪除的,因爲它已經DOWN機了。所以這裏要選擇“0”:
![]()
![]()
![]()
(2)、使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中欲刪除服務器對象,
ADSI EDIT在SUPPORT TOOLS工具包裏,打開後,找到如下位置:![]()
擊右鍵,然後選“刪除”就可以了。
(3)、在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
![]()
把複製連接也刪除了:
![]()
以上有幾個刪除幾個。
二、把FSMO角色強行奪取過來。這裏又要用到“Ntdsutil”了:
我們先要連接到目標服務器上:
3. 鍵入 connections,然後按 Enter。
![]()
![]()
請注意:這裏有兩種方法分別是Seize和Transfer,如果原來的FSMO角色的擁有者處於離線狀態,那麼就要用Seize,如果處於聯機狀態,那麼就要用Transfer。在這裏由於SERVER已經離線了,所以要用“Seize”:
![]()
這裏是奪取PDC角色的圖示,點“是”,其它角色的也是一樣的操作,最後退出。
大家了爲安全起見,可以運行一下我上次給轉給大家的腳本:
![]()
由上圖可見,所有的FSMO已經轉移到TEST20031服務器上了。最後就是把GC轉移過來:
在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
![]()
![]()
在“全局編錄”前打外勾,然後確定退出就可以了。
最後到客戶端去修改一下DNS服務器的位置,就可以發現客戶端又可以正常登陸了。而且所有的域資源又可以正常使用。最後請大家注意以下幾點:
1、 在單域控環境中,請儘量的多備份,以保證備份有效性,最好幾種備份類型結合使用。
2、 在多域控環境中,如果用Seize,那麼那臺壞掉的服務器在重裝系統以前請不要回到網絡中來,哪怕是已經修好了,也一定要重新安裝操作系統,爲什麼?因爲FSMO角色具有唯一性,如果此時回到網絡中,那就會出現FSMO角色重複的現象。
3、 在多域控環境中,那臺壞域控修復後,重裝系統,請儘量不要再使用原來的計算機名,以防止產生一些莫名其妙的問題,就讓那臺服務器在網絡裏永遠消失吧!
本文出自 51CTO.COM技術博客
1、 整個網絡中有且僅有一臺域控制器;
首先,本人並不成贊成網絡中存在這種情況,也就是說網絡中最好是存在兩臺或兩臺以上的域控制器,當然有些朋友可能會說:買服務器你給錢啊?我先聲明:我沒錢。而且現在的老闆都很精喲,一般是能用就行,至於壞了怎麼辦?那當然是網絡管理員來想辦法解決了,難道白給你工資啊?所以有些網絡中的確存在着只有一臺域控制器的現象,那麼對於這種情況,備份是必不可少的了,而且建議備份到網絡上,別備份到本地計算機上,因爲備份在本地的話,萬一服務器的硬盤燒燬,那麼你的備份也會隨之而去,這樣的話和沒有備份沒什麼區別。那麼,怎麼備份?我們要用到Windows 2003自帶的備份工具Ntbackup。點擊“開始-運行”,輸入:“Ntbackup”回車,也可以點擊“開始-程序-附件-備份”,其實是一回事,我們就可以看到如下的畫面:
點擊我用箭頭指出的“高級模式”:
再點擊用紅框標出的“備份嚮導(高級)”,這時會出現一個備份嚮導:
在這裏請大家注意,直接點“取消”,這樣可以進入備份工具控制器,以便有更多的可以自定義的項目:
在這裏,需要提醒大家的是,如果你只是想備份活動目錄的話,那麼你只需要備份一下系統狀態就可以了。但本人強烈建議:最好再做一個整個C盤的備份!以防止丟失一些其它的數據。在這裏,我爲了節省時間,就僅僅備份一下系統數據了:
在上圖的左下角,“備份媒體或文件名”裏可以選擇備份的路徑,並且支持網絡備份的。
選擇好備份文件的存放路徑後,就可以點擊“開始備份”了:
點擊“開始備份”後,會出現如下畫面:
在上面的選項中,點擊“計劃”,系統會提示你“保存當前備份設置”,保存完成後,會出現下面的畫面:
在這裏要輸入正確的具有管理員權限的帳號和密碼纔可以,輸入後點“確定”,就會出現一個“計劃的作業選項”:
點擊上述畫面中的“屬性”:
在這裏,可以設置計劃作業,以方便系統以後自動按照計劃進行備份,就不用一次次的手動備份了。設置完成後,就回到了剛剛的畫面:
這次點擊“高級”:
在這裏,可選擇一些如數據備份完成後驗證其完整性之類的選項,這個大家可以根據需要進行選擇,主要向大家簡單介紹一下五個備份類型:
正常:備份所有選擇的文件夾和文件,不依賴於任何標記,但會清除標記
副本:備份所有選擇的文件夾和文件,不依賴於任何標記,但不會清除標記
增量:只備份選擇的且有標記的文件夾和文件,但是會清除標記;
差異:只備份選擇的且有標記的文件夾和文件,且不清除標記;
每日:以天爲單位,每天發生變化的文件都會被備份;
這五種備份類型具體如何應用,如何配合使用,請大家結合自己的實際情況決定。配置好這些備份參數以後,就可以進行備份操作了:
整個備份時間還是比較長的,大約要20分鐘左右,當然具體還要根據你的系統中的數據量來決定性的,在我這個實驗環境裏10分鐘不到就OK了。備份完成後,我們可以在備份目錄下找到這個備份文件,其大小爲:537M。
有人可能會問,一個活動目錄至於有這麼多的數據嗎?其實如果你剛剛注意備份時候顯示的信息的話,那麼你就會知道,其實這個備份包括了三樣東西:BOOT信息、活動目錄信息、及System32文件夾下的所有文件,最大的就是那個System32文件夾,所以537M就不足爲奇了。OK,備份完成了。那麼萬一域控制器發生損壞後該如何恢復呢?接下來就看這個了,首先你得重新安裝操作系統,在我這裏由於用的是虛擬機,所以我只要把前面的更改刪除就可以了。嘿嘿,用虛機就是有這種好處,什麼時候物理機也可以這樣就好了。然後在開機的時候按F8:
在這裏,我們要選擇,第七項:“目錄服務還原模式(只用於Windows域控制器)”,真不知道這句話是微軟找誰來翻譯的,我覺得括號裏的文字應該翻譯成:“只用於恢復Windows域控制器”才比較合適,這句話不知道害過多少人,我就見過不少網絡管理員是先把服務器提升爲域控制器,然後再執行恢復操作,其實大家難道忘記了,我們剛剛備份的文件裏有活動目錄信息的。
在Windows的登陸窗口,如果你的服務器只是成員服務器,那麼請輸入本地管理員的密碼,如果是域控制器,請輸入還原密碼。什麼?還原密碼是什麼?看看我的第一篇文章吧。
繼續點擊“開始-運行”,輸入“Ntbackup”,並回車:
這回可別再選擇備份嚮導了,要用“還原嚮導(高級)”:
點“下一步”,出來如下畫面:
在“文件”上擊右鍵:
點擊“文件編錄”:
輸入備份文件所在的位置,然後確定:
然後點擊“下一步”:
在上述畫面中確認無誤的話,就可以點擊“完成”了:
在出來的警告窗口上點擊“確定”:
這個畫面和備份的畫面差不多吧?幾分種後就可以完成,完成後,系統會要求你重新啓動計算機。重啓後,你就會發現這臺成員服務器已經變成域控制器了,並且和以前的一模一樣。
2、 多域控制器環境下的活動目錄恢復
可能看到這個標題有人就會問,怎麼一上來就講恢復啊?不用備份嗎?是的,如果僅僅是活動目錄信息的確是不用備份的。爲什麼?大家還記得我在前面的文章中提到過,從Windows 2000域開始,採用的是多宿主複製的機構,也就是所有的活動目錄修改都會被複制到所有的域控制器上,所以是不需要備份的。只要看一下怎麼恢復就可以了。
先來說明一下實驗環境:
域名:demo.com
第一臺域控制器:
計算機名:server.demo.com
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1
並且FSMO五種角色及GC全部在第一臺域控上。
第二臺域控制器:
計算機名:test20031.demo.com
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.2
災難情況:第一臺域控制器由於硬件原因,導致無法啓動。
這時我們會發現下面的客戶端雖然還可以利用本地緩存進行登陸,但已經無法再利用域資源了,我們的目的就是要讓第二臺額外域控制器來接替第一臺的工作,也就是說把FSMO和GC全部轉移到額外域控制器上來。這裏要分成兩步:
一、首先,要把第一臺域控制器的所有信息從活動目錄裏面刪除:
(1)、點擊“開始-運行”,輸入:“cmd”並回車,在命令提示符下輸入:“ntdsutil”,然後回車,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然後回車的方法來調用使用說明:
在這裏我們要選擇“Metadata cleanup ----清理不使用的服務器的對象”然後依次輸入下面的命令:
然後我們要顯示一下Site中的域:
結果找到兩個,其中“1”是我建的子域,所以這裏要先擇“0”:
通過上面的信息,我們可以看到兩個服務器,其中SERVER是我們要刪除的,因爲它已經DOWN機了。所以這裏要選擇“0”:
選中後,按“q”退出到上一層菜單: ![]()
在上圖中點擊“是”:
然後再按2個“q”退出。
(2)、使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中欲刪除服務器對象,
ADSI EDIT在SUPPORT TOOLS工具包裏,打開後,找到如下位置:
擊右鍵,然後選“刪除”就可以了。
(3)、在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
把複製連接也刪除了:
以上有幾個刪除幾個。
二、把FSMO角色強行奪取過來。這裏又要用到“Ntdsutil”了:
我們先要連接到目標服務器上:
1. 單擊“開始”,單擊“運行”,在“打開”框中鍵入 ntdsutil,然後單擊“確定”。
2. 鍵入 roles (管理NTDS角色所有者令牌),然後按 Enter。
注意:要在 Ntdsutil 實用工具中的任一提示符處查看可用命令的列表,請鍵入 ?,然後按 Enter。
2. 鍵入 roles (管理NTDS角色所有者令牌),然後按 Enter。
注意:要在 Ntdsutil 實用工具中的任一提示符處查看可用命令的列表,請鍵入 ?,然後按 Enter。
3. 鍵入 connections,然後按 Enter。
4. 鍵入 connect to server servername,然後按 Enter,其中 servername 是要賦予其 FSMO 角色的域控制器的名稱。 這裏是:test20031
連接成功後,按“q”退出到上層菜單,並且看一下幫助信息:
請注意:這裏有兩種方法分別是Seize和Transfer,如果原來的FSMO角色的擁有者處於離線狀態,那麼就要用Seize,如果處於聯機狀態,那麼就要用Transfer。在這裏由於SERVER已經離線了,所以要用“Seize”:
這裏是奪取PDC角色的圖示,點“是”,其它角色的也是一樣的操作,最後退出。
大家了爲安全起見,可以運行一下我上次給轉給大家的腳本:
由上圖可見,所有的FSMO已經轉移到TEST20031服務器上了。最後就是把GC轉移過來:
在“管理工具”裏,打開“AD站點和服務”,找到如下位置:
在“屬性”上單擊:
在“全局編錄”前打外勾,然後確定退出就可以了。
最後到客戶端去修改一下DNS服務器的位置,就可以發現客戶端又可以正常登陸了。而且所有的域資源又可以正常使用。最後請大家注意以下幾點:
1、 在單域控環境中,請儘量的多備份,以保證備份有效性,最好幾種備份類型結合使用。
2、 在多域控環境中,如果用Seize,那麼那臺壞掉的服務器在重裝系統以前請不要回到網絡中來,哪怕是已經修好了,也一定要重新安裝操作系統,爲什麼?因爲FSMO角色具有唯一性,如果此時回到網絡中,那就會出現FSMO角色重複的現象。
3、 在多域控環境中,那臺壞域控修復後,重裝系統,請儘量不要再使用原來的計算機名,以防止產生一些莫名其妙的問題,就讓那臺服務器在網絡裏永遠消失吧!
------------------------------------------------------------------------------------------------------
如果在DC損壞的時候,那麼當前這個域就不能正常工作了,如果出現了這樣的問題該如何解決?
首先應該在域中創建至少兩個DC,默認DC會將剛纔提到的五種操作主機集於一身,如果損壞或者重新安裝操作系統的話,那麼就需要操作主機的角色轉移或抓取了。
轉移:transfer ,舊的DC如果還能正常工作或還能啓動的情況下我們的操作可以用轉移,轉移可以在圖形化和命令行下完成,轉移後,舊的DC就可以重新安裝操作系統了。
抓取:seize,抓取是指舊的DC已經不能正常工作,或已經不能啓動,那麼帶給網絡管理員的麻煩是,域中的某些計算機已經不能正常登陸到域中,此時需要使用強迫抓取,將五種操作主機都強制到可用的DC上
使用命令完成操作:
ntdsutil 進入ntds工具提示符
roles 調整操作主機角色
connections 進入連接模式
connect to server "DC名" 連接到可用DC上
quit 返回上層菜單
transfer pdc (或其他) 進行轉移或抓取
quit 退出
在企業中會遇到DC損壞時,往往DC也是DNS服務器,那麼意味着DNS服務器也損壞了,需要在創建額外DC時同時再創建一個額外的DNS(不是輔助的),在DNS創建時一定要選擇“與AD集成的區域”,少等片刻DNS的數據就自動的複製到額外的DNS中了,這樣DNS損壞時,也不用擔心了