GHOST
首先必須強調,GHOST是很優秀的軟件。但是正是因爲太多的人將他看成“救命稻草”,但是服務器和PC不一樣。系統裝好後,用GHOST作備份,對於單機和對等網上是無可厚非的,但是在domain.環境下卻不能這麼用。
因爲部署過活動目錄的人都知道,所有的domain.用戶都是有一個帳號和密碼的,但有沒有人知道其實在domain.內的計算機和domain.控制器的通訊也是要用密碼的?當然這個密碼是隨機的,而且是定期修改的,所以當恢復一個很久以前的GHOST備份的時候,你會發現系統無法和domain.控制器聯繫,因爲密碼換過了,當然這種情況的解決辦法還是很簡單的,退出domain.,再重新加入domain.
首先必須強調,GHOST是很優秀的軟件。但是正是因爲太多的人將他看成“救命稻草”,但是服務器和PC不一樣。系統裝好後,用GHOST作備份,對於單機和對等網上是無可厚非的,但是在domain.環境下卻不能這麼用。
因爲部署過活動目錄的人都知道,所有的domain.用戶都是有一個帳號和密碼的,但有沒有人知道其實在domain.內的計算機和domain.控制器的通訊也是要用密碼的?當然這個密碼是隨機的,而且是定期修改的,所以當恢復一個很久以前的GHOST備份的時候,你會發現系統無法和domain.控制器聯繫,因爲密碼換過了,當然這種情況的解決辦法還是很簡單的,退出domain.,再重新加入domain.
有無域環境
隨着網絡的普及,越來越多的計算機是運行在網絡上的了,而域是管理和維護大型網絡所必需的邏輯環境。2000的專業版和XP的專業版都可以允許加入到域環境中,以接受集中的管理和策略限制(有關此部分內容,這裏不作解釋)。因爲加入域一般需要管理員統一操作,於是就有朋友在加入域後才作Ghost備份,以希望以後恢復時就不需要重新加入域了,事實是這樣的嗎?當你恢復備份後,準備重新登錄域時,你會發現,系統不讓你登錄了,提示:系統主域計算機帳戶丟失,請聯繫管理員。糟糕了吧,怎麼回事呢?這要從域的安全驗證說起。
域和組的區別
工作組是一羣計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關係,在域內訪問其他機器,不再需要被訪問機器的許可了。爲什麼是這樣的呢?因爲在加入域的時候,管理員爲每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱爲登錄票據,它是由2000的DC(域控制器)上的KDC服務來頒發和維護的。爲了保證系統的安全,KDC服務每30天會自動更新一次所有的票據,並把上次使用的票據記錄下來。周而復始。也就是說服務器始終保存着2個票據,其有效時間是60天,60天后,上次使用的票據就會被系統丟棄。如果你的Ghost備份裏帶有的票據是60天的,那麼該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設置這一票據。或者使用2000資源包裏的NETDOM命令強制重新設置安全票據。因此在有域的環境下,請儘量不要在計算機加入域後使用Ghost備份系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯繫你的系統管理員,你可以需要管理員重新設置計算機安全票據,否則你將不能登錄域環境
隨着網絡的普及,越來越多的計算機是運行在網絡上的了,而域是管理和維護大型網絡所必需的邏輯環境。2000的專業版和XP的專業版都可以允許加入到域環境中,以接受集中的管理和策略限制(有關此部分內容,這裏不作解釋)。因爲加入域一般需要管理員統一操作,於是就有朋友在加入域後才作Ghost備份,以希望以後恢復時就不需要重新加入域了,事實是這樣的嗎?當你恢復備份後,準備重新登錄域時,你會發現,系統不讓你登錄了,提示:系統主域計算機帳戶丟失,請聯繫管理員。糟糕了吧,怎麼回事呢?這要從域的安全驗證說起。
域和組的區別
工作組是一羣計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關係,在域內訪問其他機器,不再需要被訪問機器的許可了。爲什麼是這樣的呢?因爲在加入域的時候,管理員爲每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱爲登錄票據,它是由2000的DC(域控制器)上的KDC服務來頒發和維護的。爲了保證系統的安全,KDC服務每30天會自動更新一次所有的票據,並把上次使用的票據記錄下來。周而復始。也就是說服務器始終保存着2個票據,其有效時間是60天,60天后,上次使用的票據就會被系統丟棄。如果你的Ghost備份裏帶有的票據是60天的,那麼該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設置這一票據。或者使用2000資源包裏的NETDOM命令強制重新設置安全票據。因此在有域的環境下,請儘量不要在計算機加入域後使用Ghost備份系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯繫你的系統管理員,你可以需要管理員重新設置計算機安全票據,否則你將不能登錄域環境