如何备份和恢复Active Directory
Active Directory 产品操作指南
Active Directory 产品操作指南第 3 章—详细的维护操作本页内容概述过程:备份Active Directory过程:Active Directory 的非授权还原过程:Active Directory 对象的授权还原过程:通过重新安全恢复域控制器过程:为现有域安装域控制器过程:删除Active Directory过程:重命名域控制器过程:管理Active Directory 数据库过程:管理SYSVOL过程:管理Windows 时间服务任务:配置林的时间源任务:在计算机,而不是在PDC 仿真器上配置可靠时间源任务:配置客户端以向特定时间源请求时间任务:优化轮询间隔任务:禁用Windows 时间服务过程:管理信任过程:管理站点任务:添加新站点任务:将子网添加至网络任务:链接复制站点任务:更改站点链接属性任务:将域控制器移至不同的站点任务:删除站点过程:管理域控制器上的防病毒软件过程:添加全局编录过程:从域控制器中删除全局编录过程:确认站点中的全局编录服务器过程:移动操作主机角色步骤:减少PDC 仿真器的工作量过程:传输角色持有者过程:占用操作主机角色过程:选择备用操作主机概述本章提供了有关维护Active Directory 所必须执行的过程的详细信息。
这些过程是按照其所属的MOF 象限来排列顺序,在每个象限中则遵照构成该象限的MOF 服务管理功能(SMF) 指南。
这些象限是:•操作象限•支持象限•优化象限•更改象限操作象限系统管理SMF 操作角色群每日返回页首过程:备份Active Directory说明将Active Directory 作为Microsoft® Windows 系统状态(彼此依赖的系统组件集合)的一部分进行备份。
必须对所有的系统状态组件进行备份并存储在一起。
域控制器上的系统状态组件包括:•系统启动(引导)文件。
这是Windows Server 2003 启动所必需的文件。
Active Directory 备份与还原
Active Directory 备份与还原在域的环境中,要定期的备份AD数据库,当AD数据库出现问题时,可以通过备份的数据还原AD数据库。
备份文件和文件夹的用户必须具有特定权限和权利的用户才可以,如果是本地组中的管理员或Backup Operator,则只能备份本地计算机上本地组所适用的所有文件和文件夹。
同样,如果是域控制器上的管理员或备份操作员,可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。
活动目录的备份第一步:依次打开命令提示符,输入【Ntbackup】回车第二步:选择【高级模式】,显示备份工具界面,也可以下一步通过向导第四步:选择备份选项卡,选中需要备份的磁盘或者System Status。
选择保存的路径注:如果只想备份活动目录的话,那么只需要备份一下系统状态就可以了。
但在这里建立最好是将整个系统盘做一个完整的备份,以防止丢失一些其他的数据。
第五步:开始备份,在选择备份方式时,需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡,这里可以选择你想备份的类型,第六步:单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步:进入目录服务还原模式。
重新启动计算机,在进入Windows Server 2003 的初始画面前,按F8键进入Window高级选项菜单界面。
通过键盘上的方向键选择【目录服务还原模式】第二步:进入还原向导操作。
运行【ntbackup】选择高级模式,选中要还原的数据第三步:点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息,应该妥善保护。
为了安全起见,应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。
如果想进行更深入的保护,可以把AD数据库文件转移到一个有冗余或者镜像的卷,以便磁盘发生错误的时候可以恢复。
第一步:进入【目录服务还原模式】第二步:进入命令提示符:输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车(选择数据库移动的盘符)完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见,还原目录数据库时需设置密码保护步骤如下:首先必须进入【目录服务还原模式】进入命令提示符,输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码,确认密码完成。
ActiveDirectory备份和还原
Windows2008 中Active Directory 备份和还原构中针对关键任务的组件。
如果active directory 出现故障,网络实际就崩溃了。
因此,active directory 的备份和恢复计划是安全性、业务连续性和法规遵从性的基础。
windows server 2008 为active directory? 带来了许多新功能,其中对备份和恢复计划具有重大影响的两个功能是:新的windows server backup 实用工具,以及获取和使用active directory 的“卷影复制服务”快照的能力。
在本文中,我将介绍这些增强功能所带来的变化,以及如何利用这些变化来简化active directory 备份活动。
ntbackup 与windows server backup组策略设置windows server backup 提供了若干组策略设置,使您可以在一定程度上控制备份在您服务器上的工作方式。
使用这些备份策略,人们通过未经授权的备份访问未授权数据的风险会降低。
选项包括:仅允许系统备份如果设置了此选项,则windows server backup 只能备份关键的系统卷。
它无法执行卷备份。
不允许本地附加的存储作为备份目标如启用此设置,它不允许备份至本地附加的驱动器。
只能备份至网络共享。
不允许网络作为备份目标此设置不允许备份至任何网络共享。
不允许光学媒体作为备份目标如设置了此选项,windows server backup 无法备份至任何光学媒体,例如可记录的dvd 驱动器。
不允许一次性运行备份此设置不允许windows server backup 运行非计划的特定备份。
仅通过windows server backup mmc 管理单元计划的备份可以运行。
您所了解和喜爱的ntbackup 自windows nt? 3.5 之后已消失。
代替它的是window s server backup 。
灾难恢复:Active Directory 用户和组
概览:∙复制和对象链接结构∙使用 NTDSUTIL 备份和还原∙权威还原和非权威还原Active Directory 是 Windows 网络中最为关键的服务之一。
为了避免出现停机时间和损失生产力,对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。
这一点听起来容易,但令人吃惊的是,有很多管理员甚至没有为最常见的一个 Active Directory®故障方案 - 意外删除数据 - 制定计划。
意外删除对象是服务失败最常见的根本原因之一。
当我参加研讨会和会议时,我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。
而每次几乎所有人都举手。
要理解为何数据恢复是如此复杂,必须先理解以下内容:Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。
存储对象Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。
数据存储(称为目录信息树或 DIT)基于可扩展存储引擎 (ESE),这是一个索引顺序访问方法 (ISAM) 数据库引擎。
从概念上说,Active Directory 将 DIT 存储在两张表中:数据表(包含实际的 Active Directory 对象和属性)和链接表(包含对象之间的关系)。
每个 Active Directory 对象存储在数据表中单独的一行,每个属性一列。
数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。
在一个常规 DC 上,数据表包含来自域 NC(命名上下文)、配置 NC 和架构 NC 的条目。
在全局编录上,数据表包含林中每个对象的条目。
Active Directory 使用可分辨名称标记 (DNT)(一个 32 位的整数)来唯一标识数据表中的每一行。
用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID(一个 16 字节的二进制结构)都小得多。
还原已删除的 Active Directory 对象
还原已删除的Active Directory 对象本步骤提供有关使用Active Directory 回收站完成以下任务的说明:∙显示“已删除对象”容器∙使用Ldp.exe 还原已删除的 Active Direct ory 对象∙使用 Get-ADObject和 Restore-ADObject cmdlet还原已删除的 Active Direct ory 对象∙还原多个已删除的 Active Direct ory 对象显示“已删除对象”容器在删除Active Directory 对象时,这些对象会被存放在“已删除对象”容器中。
默认情况下,不显示 CN=Delet ed Objects 容器。
可以使用Active Directory 域服务 (AD DS) 中的Ldp.exe 管理工具来显示“已删除对象”容器。
Domain Admins中的成员身份或同等身份是完成此过程所需的最低要求。
显示“已删除对象”容器的步骤1.若要打开Ldp.exe,请依次单击「开始」、“运行”,然后键入ldp.exe。
2.在“选项”菜单中,单击“控制”。
3.在“控制”对话框中,展开“预定义加载”下拉菜单,单击“返回已删除对象”,然后单击“确定”。
4.验证“已删除对象”容器是否显示的步骤:a.若要连接并绑定到承载 AD DS 环境的林根域的服务器,请单击“连接”下的“连接”,然后单击“绑定”。
b.依次单击“查看”、“树”,并在BaseDN中键入DC=<mydomain>,DC=<com>,其中<mydomain>和<com>表示 AD DS 环境对应的林根域名。
c.在控制台树中,双击根的可分辨名称(也称为 DN),并找到CN=Deleted O bjects,DC=<mydomain>,DC=<com>容器,其中<mydomain>和<com>表示AD DS 环境对应的林根域名。
Active Directory 灾难恢复
Active Directory灾难恢复Active Directory 服务以及保证其顺利运行所需的系统是 Windows 2000 Server 操作系统的核心。
系统管理员必须了解如何使这些关键的系统保持正常运行,以及在出现故障时如何采取应对措施。
在 Active Directory 基础结构中,域控制器可以充当多种角色—全局编录 (GC)、操作主机 (OM) 以及单一域控制器。
本文中介绍了在出现故障后恢复 Active Directory 数据库的步骤,而且还介绍了将服务器还原为特定角色所必需的特殊要求。
引言本文讨论将域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤。
此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导。
导致灾难的另一个原因是人为因素,例如将包含错误的数据复制到公司的其它域控制器上。
本文提供有关对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息。
如果该计算机上还安装有其它服务,例如域名系统 (DNS) 或 Internet 信息服务 (IIS),则可能还需要其它步骤,但是这些步骤不包括在本文中。
本文中的大多数示例都是基于 Windows 2000 备份实用程序 (ntbackup.exe) 的,该程序是Windows 2000 中附带的默认备份应用程序。
有关该工具的更多信息,可以在附录 IV 中找到。
用户可以有自己喜欢的备份应用程序,但是本文中的内容仍然适用。
本文不讨论涉及 Active Directory 的故障排除问题。
而是用于解决如下情况:所有的故障排除手段都已经失败,并且 Active Directory 无法正常运行,在这种情况下用户无法将域管理器引导到正常模式。
本文假定用户具有关于 Active Directory 及其相关组件的预备知识。
有关 Active Directory 的信息,请阅读 Windows 2000 Server Resource Kit 中的 Distributed Systems Guide 一书。
11、Active Directory数据库的维护
强制性还原步骤
1. 执行“标准还原”的步骤后不必重新启动计算
2. 3.
机 执行“命令提示符”程序 运行“ntdsutil.exe”,在“ntdsutil:”提示符下输 入:authoritative restore 在“authoritative restore:”提示符下输入 “restore subtree 强制还原的路径”,再quit退 出 重新启动,等待域控制器之间完成同步工作
在线整理
每一台域控制器会每隔12小时自动运行 所谓的“垃圾收集程序”,这个程序会整 理Active Directory数据库。“在线整理” 无法减小Active Directory数据库文件,只 是将资料有效率的重新整理、排列。由于 此时Active Directory还在运行中,因此这 个整理操作被称为“在线整理”。
离线整理
必须在“目录服务还原模式”内受到 进行,在此模式之下的Active Directory服 务并未启动。离线整理会建立一个全新的、 整齐的数据库文件,而且如果原来的数据 库很零散,整理后的文件可能会比原来的 文件小很多。
“离线整理”的过程
• 开机选择“目录服务还原模式”,进入
“命令提示符” • 运行“ntdsutil”,在其提示符下输入“files” • 用“compact to 整理后存放的位置”命令 整理并保存Active Directory数据库 • 将整理后的Active Directory数据库复制到 原Active Directory数据库存放的位置 • 重新启动,并以正常模式启动系统。
1. 2. 3. 4. 5.
11.4.2 整理Active Directory数据库
Active Directory数据库的整理会将数据 库内的数据排列更整齐,使资料的读取更 快速,可以升级Active Directory的运作效 率。 Active Directory数据库的整理分为两 种: 在线整理 离线整理
Windows2000活动目录的修理和恢复-电脑资料
Windows2000活动目录的修理和恢复-电脑资料Windows2000的使用过程中,我们会遇到AD由于意外被损坏的情况,那么我们用什么方法来恢复呢?下面我们就来讨论Active Directory修理和恢复,。
一、使用Ntdsutil来修理Active Directory根据系统的报错信息、系统日志或者应用程序的报错,你怀疑出错原因是域控制器上的Active Directory,这时候可能最先想到的是使用Ntdsutil来修复。
但是,我建议最好把他作为最后一个也是最为有用的一个方案。
如果你有一个系统的备份,最好使用备份来恢复系统,应该始终把使用备份恢复作为你首选的方案。
对目录服务数据库使用修复功能并不总能够达到预期的结果。
比如,如果真的数据库文件损坏了,即使使用Ntdsutil也是没有办法恢复所有的对象及其属性。
实际上,在某些情况下使用修复工具反而会造成更多的数据丢失,所以在尝试使用这种修复工具之前,注意把这个服务从网络中隔离开来,以避免影响到其他的域控制器的Active Directory复制。
在你确认修复后的服务器一切正常以后再连接到网络中来。
使用ntdsutil修复AD数据库。
(1)打开命令行提示符窗口,输入下面命令:Ntdsutil(2)出现Ntdsutil以后,输入以下命令:repair二、恢复Active Directory当其他一切努力都失败时,你可能会发现从AD的备份中恢复一个Win2000 DC(域控制器)是最有效的。
虽然要把Active Directory从一个备份恢复到一个域控制器上不是一件难事,但是在你进行任何恢复之前,你需要对你的网络体系和逻辑关系仔细考虑。
你应该考虑以下几个问题:是否本地的Active Directory 数据库损坏了,其他复制的域控制器是否也损坏了。
一个域控制器从你的备份中恢复,是否要覆盖其他的域控制器的Active Directory数据库信息。
多域控制器环境下ActiveDirectory灾难恢复
多域控制器环境下ActiveDirectory灾难恢复邮件服务器灾难恢复体系方案一灾难情况:主域控制器由于硬件故障突然损坏,使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,恢复主域控制器,恢复exchange数据库。
备份情况:1:系统状态备份 2:exchange数据(MICROSOFT INFORMATION STORE)总体思路:1( 恢复域控制器 (a:清除原DC信息 b: 额外域控制器上通过ntdsutil.exe工具夺取五种,,,,c:设置额外控制为GC全局编录 d:重新安装损坏的域控制器)2( 恢复exchange(a:安装exchange b:恢复exchange数据库)详细步骤:1(恢复域控制器a:清除原有Domain Controller的信息因为这台服务器已经不再可用,我们必须重新安装,所以需要将原来的服务器的数据从ACTIVE DIRECTORY中删除。
完成这个目标,需要使用ntdsutil这个工具。
(粗体为输入内容,因测试时与公司服务器域名及机器名不一同,请按提示输入)c:\>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com select operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com No current domain No current serverNo current Naming Contextselect operation target: list domains in siteFound 1 domain(s)0 - DC=domain,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com Domain -DC=domain,DC=comNo current serverNo current Naming Contextselect operation target: list servers for domain in siteFound 2 server(s)0 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com1 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration, DC=domain,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup: remove selected server出现对话框,询问你是否确定删除该DC。
Active-Directory灾难恢复手册
Active Directory灾难恢复手册文档适用范围:办公网Active Directory业务网SNA/HIS服务器所依赖的Active Directory适用操作系统:Windows Server 2003Windows 2000 Server本文档讨论:如何避免Active Directory故障如何对Active Directory进行备份错误修改/删除Active Directory数据的应对措施一台或全部域控制器崩溃的应对措施本文档未涉及:Active Directory故障诊断和排除1 避免Active Directory故障遵照下列原则,以避免Active Directory出现故障:硬件(1)不随意关闭域控制器,确保任何时刻域内至少有2台域控制器运行;(2)操作系统和NTDS数据库文件所在硬盘配置使用硬件容错(RAID1/RAID5等);(3)定期检查服务器电源、硬盘状态,及时更换故障硬件。
网络(4)分公司办公网域控制器需要确保同根域控制器网络畅通,所需通信端口开放;(5)确保客户机和域控制器之间网络畅通,所需通信端口开放;(6)不要在域控制器上安装或启用防火墙、TCP/IP过滤器、IPSec策略等;(7)调整网络配置前首先确认是否会对域控制器造成影响。
备份(8)所有域控制器至少每周备份系统状态一次,建议使用计划任务做到每天备份,备份数据要尽量存放在生成备份的服务器之外;(9)进行批量删除用户和OU等影响较大的操作前,首先进行备份;日常管理(10)对域控制器进行的配置变更操作要进行记录;(11)及时升级防病毒程序,安装安全补丁;(12)定期检查所有域控制器的日志,对错误和警告信息进行诊断和排除;(13)对用户报告的和Active Directory相关的异常信息及时跟进,定位问题原因。
2 备份Active Directory数据库2.1 手动备份Active Directory数据库通过备份工具对“系统状态”进行备份(包含Active Directory数据库、注册表、系统文件等),以建立可供灾难恢复使用的数据副本。
在 Active Directory 中还原已删除的用户帐户及其组成员身份
在Active Directory 中还原已删除的用户帐户及其组成员身份在Active Directory 中还原已删除的用户帐户及其组成员身份2010-11-07 21:04:17| 分类:AD相关| 标签:|字号大中小订阅您可以使用三种方法还原已删除的用户帐户、计算机帐户和安全组。
这些对象统称为安全主体。
在所有这三种方法中,都是先对已删除的对象执行授权还原,然后再还原已删除安全主体的组成员身份信息。
还原已删除对象时,您必须还原受影响安全主体先前的member 和memberOf 属性值。
这三种方法如下:方法1:还原已删除的用户帐户,然后使用Ntdsutil.exe 命令行工具将已还原的用户添加到原来的组中(仅限Microsoft Windows Server 2003 Service Pack 1 [SP1])方法2:还原已删除的用户帐户,然后将已还原用户添加至原来的组中方法3:对已删除的用户帐户和已删除的用户所在的安全组执行两次授权还原方法1 和2 可为域用户和管理员提供更好的体验,因为它们会保留自上次备份系统状态到发生删除这段时间内向安全组中添加的用户。
方法3 不对安全主体进行个别调整,而是将安全组成员身份回滚到上次备份时的状态。
如果您不具有有效的系统状态备份,而且发生删除的域包含基于Windows Server 2003 的域控制器,您可以手动或以编程方式恢复已删除的对象。
您也可以使用Repadmin 实用工具来确定删除用户的时间和位置。
多数大规模删除都是意外发生的。
Microsoft 建议您采取一些措施,以防他人批量删除对象。
注意:要避免意外删除或移动对象,可以向每个对象的安全描述符中添加两个Deny 访问控制项(ACE)。
要在Windows 2000 Server 和Windows Server 2003 中执行此操作,请使用“Active Directory 用户和计算机”、ADSIEdit、LDP 或DSACLS 命令行工具。
解决active directory域服务问题的方法
解决active directory域服务问题的方法全文共四篇示例,供读者参考第一篇示例:Active Directory(AD)是微软Windows操作系统中常用的目录服务,用于管理网络中的用户、计算机和其他资源。
在使用过程中,有时候会碰到一些问题,如用户无法登录、组策略无效等。
本文将介绍解决这些问题的方法,帮助管理员更好地管理和维护AD域服务。
一、用户无法登录1. 检查网络连接:首先要确保网络连接正常,AD域控制器可以被访问。
可以通过ping命令测试AD服务器的可达性。
2. 检查用户名和密码:确认用户输入的用户名和密码是否正确,如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。
3. 检查用户帐户是否被锁定:如果用户连续多次输入错误密码,有可能触发帐户锁定策略,解锁用户帐户即可解决登录问题。
4. 检查域控制器日志:查看域控制器的事件日志,可能会有相关登录失败的日志记录,从而找到问题的原因。
二、组策略无效1. 强制更新组策略:可以使用gpupdate /force命令强制更新组策略,使其立即生效。
2. 检查组策略设置:确保组策略设置正确,没有重复或冲突的设置。
可以通过组策略管理工具查看和修改组策略设置。
3. 检查组策略范围:确认组策略应用范围是否覆盖了需要生效的用户或计算机,有时候由于配置错误导致组策略无法正确应用。
4. 重启计算机:有时候组策略更新后需要重新启动计算机才能生效,尝试重启计算机查看是否问题解决。
三、AD域服务异常1. 检查AD域控制器状态:确保AD域控制器正常运行,未出现硬件故障或软件故障,可以通过性能监视器监控AD域控制器的运行状态。
2. 检查AD域服务配置:查看AD域服务的配置是否正确,包括DNS设置、时间同步、网络设置等,这些配置对AD域服务的正常运行至关重要。
3. 检查AD域数据库:如果出现用户丢失或其他异常情况,可能是AD域数据库损坏或存储空间不足,可以尝试修复数据库或清理存储空间。
Active Directory活动目录的备份与恢复
17) 点击【开始】→【运行】,输入命令行命令“ntbackup”,然后点击【确定】。
18) 点击“高级模式”。
- 11 -
19) 点击“还原向导(高级)”。
20) 弹出“欢迎使用还原向导”对话框,点击【下一步】。
- 12 -
21) 点击“文件”→“ADbackup.bkf 创建于 2008-7-11”,在“System State”前的方框中 打勾,然后点击【下一步】。
6) 勾选“备份选定的文件、驱动器或网络数据”,然后点击【下一步】。
-5-
7) 点击“我的电脑”,在“System State”前的方框中打勾(我们可以在右边的窗口中看 到备份的内容,包括“Active Directory”等项目,但是他们只能同时备份,不能进行 选择备份,这也是用 ntbackup 来备份 Active Directory活动目录的缺点。但是这种备 份方式相对比较简单。)然,后点击【下一步】。
- 22 -
14) 应为原来的主域控制器已经 down 掉了,所以会出现一些错误信息,这里我们不必理会。
15) 输入命令“netdom query fsmo”,查看现在域控制器的五个角色所在的服务器。可以 清楚的看到,域角色已经被额外的域控制器成功的抢夺。
- 23 -
16) 分别抢夺余下的五个角色。 输入命令“seize infrastructure master”,在已连接的服务器上覆盖结构角色。 输入命令“seize PDC”,在已连接的服务器上覆盖 PDC 角色。 输入命令“seize RID master”,在已连接的服务器上覆盖 RID 角色。 输入命令“seize schema master”,在已连接的服务器上覆盖架构角色。
域控服务器备份和恢复
域控服务器备份和恢复域控服务器(Domain Controller)是部署在Windows Server操作系统上的一种重要的服务器角色,用于管理和控制整个域中的用户、计算机和资源。
由于域控服务器扮演着核心的角色,数据的备份和恢复对于保证系统的稳定性和可靠性至关重要。
首先,对于系统级备份,可以使用Windows Server自带的Windows Server备份工具(Windows Server Backup)来进行备份。
通过该工具,可以选择备份整个服务器系统,包括操作系统、系统状态、配置文件以及应用程序等。
此种备份方式可以灵活地还原整个服务器系统,但需要占用较大的存储空间。
其次,对于数据库级备份,域控服务器主要依赖于Active Directory数据库进行用户、计算机和资源的管理。
可以使用Windows Server自带的NTDSUtil工具来备份和恢复Active Directory数据库。
其中,备份可以通过执行"ntdsutil backup"命令来实现,可以备份整个数据库或仅备份指定的目录服务分区。
而恢复则可以通过执行"ntdsutil restore"命令来实现,可以从备份文件中选择性恢复域控服务器。
除了以上的方法,还可以使用第三方备份软件,例如Symantec Backup Exec、Acronis Backup等。
这些软件可以提供更强大和灵活的备份和恢复功能,能够实现增量备份、差异备份、定时备份等功能,同时支持自动化备份策略。
不管采用哪种备份方式,备份数据的存储是一个重要的问题。
为确保数据的安全性和可靠性,需要将备份数据存储在不同的位置,最好是与域控服务器所在的位置分离,以防止单点故障。
同时,建议备份数据进行加密,确保数据的机密性;并对备份数据进行定期的验证,以确保备份数据的完整性。
在数据备份的基础上,如果发生域控服务器故障或数据损坏的情况,需要进行恢复操作。
windows实训报告11--active directory灾难恢复
Active Directory灾难恢复
一、实训要求
1、Active Directory授权还原;
2、目录还原模式密码重设;
3、转移Active Directory数据库文件;
4、整理Active Directory数据库。
二、实训步骤
1、AD活动目录的备份
1.新建一个ou
2.打开附件-系统工具-备份
3.进入备份向导
4.选择备份文件和设置
5.选择‘让我选择要备份的内容’
6.勾选我的电脑下的 system state
7.选择备份文件的位置及备份文件名称
8.完成备份向导
2、还原AD活动目录
1.删除刚才创好的ou
2.重启按F8进入目录还原模式
3.进入备份还原向导选择还原备份和设置
4.选择之前备份好的备份文件
5.完成AD还原
2、Active Directory授权还原
1.进入目录还原模式下,输入ntdsutil
2.选择授权还原DIT数据库,输入之前删除的OU
3.确认授权还原
4.完成授权还原
3、目录还原模式密码重设
1.在ntdsutil工具下选择重设目录服务还原模式管理帐户密码
2.reset password on server null 在指定域控制器上重置目录服务还原模式管理员帐户密码
3.重设密码
5、转移Active Directory数据库文件;
Move db to (需要转移的位置)
6、整理Active Directory数据库
Compact to “(整理后文件所在位置,没有此目录,系统会自动创建)”
将原有ntds.dit文件覆盖
三、总结。
域服务器的备份及恢复
现在集团内大部分公司都有使用域服务器,所以其备份显得比较重要。
方法也参考过很多,包括:硬盘磁盘阵列、主域备份域、虚拟机等。
考滤备份的实用性,觉得以下方法比较适合。
域服务器的备份及恢复
Active Directory备份:
1.“开始” “运行”输入“ntbackup”,启动备份工具。
2.使用“备份向导”,在备份向导对话框选择备份的内容页面中选择“只备份系统状态数据”。
3.备份时选择高级进行配置
4.通常备份的文件比较大,备份文件在500M-700M左右。
恢复Active Directory:
1.安装新的WINDOWS2003操作系统,随便新建一域服务。
2.在新的操作系统上进行了还原,开机按F8进入还原模式。
3.“开始” “运行”输入“ntbackup”,启动备份工具。
进入还原向导。
4.选择之前备份Active Directory的文件。
选择还原。
5.进入高级进行配置。
6.还原成功后,之前域服务器信息还原成功。
包括:域名、服务IP、登录计算机名、域用户信息等。
因为本人是在测试机上测试一段时间,还没在实际上应用过,不知会不会存在大的漏洞。
希望大家可以再做大型测试,实现真正可操作性。
ActiveDirectory定时、实时备份恢复的方法
ActiveDirectory定时、实时备份恢复的方法1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。
2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。
但要注意备份AD的一些约束条件:* AD只备份当前有效的数据,对于已经标记删除的对象,不备份。
而AD中的对象删除并不是立即的,需要有60天的删除标记时间。
因此,应避免恢复60天前的AD备份,以免导致AD不完整。
* AD的备份类型无法选择,只能使用完全备份。
* 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。
* 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
3、AD的整理:AD系统默认每12小时会运行自动在线整理一次。
但是在线整理不能减少数据库的大小,要减少数据库的大小,需要使用离线整理,AD 的架构是以结构化的方式定义的数据组成,它通过描述元数据来定义这些结构,通常包括属性名称、类型、长度、关系等。
看起来,有点象关系数据库里的字段定义。
同时还包括一些扩展的属性。
AD的灾难性恢复处理1)重新安装恢复AD还原AD的最简单方法是重新安装操作系统,重新提升DC。
这样就产生了一个新的DC,但要考虑一个问题,如果原DC的数据已经损坏,我们将无法使用DCPROMO命令删除该DC上的AD数据,这样就可能导致AD数据的不同步性,而且更糟糕的是,在AD用户和计算机的管理单元里,你也不能删除DC对象。
这是你只能从”AD站点和服务“里先删除该服务器,才能删除该DC。
如果你不幸的需要新的DC和原来的DC一样的名字,那么你必须先使用NTDSUTIL命令删除AD里的对象信息后,才能建立新的DC。
2)从备份中还原AD从备份文件恢复AD是非常适合的。
但要注意使用的还原模式,如果因恢复错误操作的信息,应记得使用授权恢复模式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在Windows2000中,备份与恢复Active Directory是一项非常重要的工作.在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可.但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同.
你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份.系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分.这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份.
一.备份Active Directory数据.
如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上.
如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份.详细过程如下:
1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具.
2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步.
3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:\bak\AD0322.bkf",下一步,完成备份向导.如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置.
4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间.备份完毕系统会生成备份报表.
5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放.因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存.
二.Active Directory的恢复
有两种办法可以恢复Active Directory.
第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复.
另一种方法就是从备份介质进行恢复.通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情.
1.验证方式和非验证方式
从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore).
通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据.举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据.
验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化.还拿上面的例子来说,当你在星期五使用星期三的备份恢复
了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态.验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态.应该说这种方式是用的比较多的一种恢复Active Directory的方式.
2.非验证恢复Active Directory
要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态).为恢复Active Directory,你必须使用server处于"目录服务恢复模式".要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式".
当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用.你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录).登录成功后,你就可以进行恢复Active Directory的操作.
(1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup";
(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集.
(3)选择合适的备份文件,完成数据恢复.重新启动机器即可.
(4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了.----沧海),除非你进行了设置.
3.验证方式恢复Active Directory
为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复.验证式恢复可以实现全部或部分Active Directory数据的恢复.
(1)使用非验证方式恢复Active Directory,重新启动机器.
(2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录.
(3)"开始"->"运行",输入"ntdsutil",启动命令行工具.
(4)恢复整个Active Directory数据库,使用下列命令:
authoritative restore
restore database
恢复部分Active Directory数据,使用下列命令:
authoritative restore
restore subtree ou=Brien,dc=files,dc=COM
(红色部分要根据实际情况确定,比如你的域名字是,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推.恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份.)
使用quit命令退出,重新启动机器.。