AD的灾难恢复

活动目录：如何进行AD的灾难恢复

由于下面这两个原因之一，Active Directory常常需要灾难恢复措施。

∙数据库损坏

∙数据损坏

1.数据库损坏

数据库可能是因为下列原因之一而损坏的：

磁盘损坏。

域控制器发生硬件故障，需要更换。

2.数据损坏

我们假定数据是因为下列原因之一而损坏的：

Active Directory 数据损坏，而这些数据已经复制到其他的域控制器。

错误删除 Active Directory 对象，而这些对象已经复制到该域/目录林的其他域控制器。现在这些对象必须在 Active Directory 中恢复。

恢复Active Directory

恢复Active Directory 的方法有两种。您可以重新安装 Windows 2000，然后通过正常复制过程，重新导入 Active Directory。另外一种方法就是从备份恢复Active Directory。第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。第二种方法是将 Active Directory 恢复为前一个已知状态（前次备份时的状态）。

通过重新安装和复制来恢复 Active Directory

您可以在受损的系统上重新安装 Windows 2000 Server，把该服务器当作域控制器，然后在安装 Active Directory时，让正确信息自动复制，借此恢复域控制器。通过WAN来安装Active Directory，可能会大量消耗可用的 WAN 带宽。如果 Active Directory 很大，还会耗费许多时间。若要解决这个问题，建议您在中央位置安装新的域控制器，然后将它运送到远程位置。

对于分支机构环境来说，这可能不是很好的方法。因为它实质上是在远程位置安装新的域控制器，替代出故障的副本。但这需要新的域控制器在 Active Directory 中作为域控制器升级过程的一部分来进行复制，会用很长时间。

接移和运送域控制器

在进行 Active Directory 部署作业时，许多单位都在中央位置安装域控制器，待安装完毕之后，再将它们运送到远程位置。

从备份媒体恢复 Active Directory

您也可以从备份媒体恢复“系统状态”数据，以恢复域控制器上的 Active Directory。这样可恢复 Active Directory 和 Active Directory 所依赖的“系统状态”组件。

当您从备份媒体恢复 Active Directory 时，请注意下列几项：

∙如果域控制器计算机因为故障而被替换，或者网络适配器已被换掉，您可能需要以手动方式重新配置网络设置。

∙如果域控制器的硬件问题很严重，必须重新建立，则请务必确保磁盘卷的数目和大小必须大于或等于前一个系统。如果您必须从空的磁盘开始重建系统，请先把

Windows 2000 Server 安装到与以前相同的磁盘上，按照在损坏的系统上的原样重新创建分区和卷，然后再恢复 Active Directory。这意味着您手头上有该服务器配置的文档，才能重新创建它。

系统密钥 (Syskey) 和 Active Directory 恢复过程

域控制器上有安全敏感信息，例如，进行域身份验证所用的用户密钥副本。建议您最好将域控制器放置在物理安全地点，限制访问权限。物理访问域控制器会让入侵者取得加密的密码数据副本，用来进行脱机密码攻击。为了避免这种情况发生，Microsoft 提供了 Syskey 这个工具，它可以用 128 位的随机密钥，将所有的密钥加密。这个密钥可以存储在域控制器的本地注册表中，也可以存储在软盘上。为了保证最大程度的安全性，建议您将 Syskey 存储在软盘上。

将Active Directory 恢复到不同的硬件上

您可以将 Active Directory 恢复到原计算机以外的计算机上，但是这部计算机的驱动器数量必须等于或多于原计算机的驱动器数量。“硬件抽象层”和 Boot.ini 文件也必须完全一样。同时，如果替换的域控制器有不同的视频适配器或多个网卡，请先将它们卸下，再恢复数据。当您重新启动计算机时，“即插即用”功能会进行相应的更新。

通常从备份媒体恢复 Active Directory 有下面两种方法：

∙非权威性恢复

∙权威性恢复

非权威性恢复

在恢复 Active Directory 时，非权威性恢复是默认的方法。大部分的恢复情形都采用这种方法，例如域控制器硬盘故障时，而且此方法也是分支机构最有可能选择的方法。在这种情况下， Windows 2000 操作系统已经完整地重新安装完毕，包括 Service Pack 在内。然后使用Windows 2000“备份”工具，将 Active Directory 从备份媒体恢复到域控制器。

这样就会将 Active Directory 恢复到域控制器上，其状态与进行备份时一致。域控制器在正常 Active Directory 复制过程中，就会接收到自备份后所进行的任何目录服务变更。

由于恢复过程不会将之前删除的数据恢复到 Active Directory，因此称之为非权威性。

使用 Windows 2000 备份工具进行非权威性恢复

在多种不同的情况下需要恢复 Active Directory。在某些情形中，域控制器可能因为操作系统故障或硬件故障而发生故障。而在另外一些情形中，域控制器上的 Active Directory 会出现故障、停止响应、或者受到损坏。出现这些情形时 Active Directory 恢复过程稍有差异，详述如下：

这种情况下，整个计算机，包括操作系统和 Active Directory 在内，都需要完全重新建立。要将 Active Directory 恢复到发生故障的域控制器，步骤如下：

∙在同一个域中状态良好的域控制器中，单击“开始”、“程序”、“管理工具”，然后再单击“Active Directory 站点和服务”。

∙在“Active Directory 站点和服务”中，导航到发生故障的域控制器所属的站点上。

∙删除到发生故障的域控制器的任何引用。

∙在要替代发生故障的服务器的计算机上，完整安装适当版本的 Windows 2000 操作系统，包括必要的 Service Pack 在内。

∙在安装 Windows 2000 Server 时，在出现提示时，将发生故障的域控制器名称指定为计算机名称。

∙安装之后，请确保含有 Active Directory 的备份媒体可以使用。或者，将备份文件 (.bkf) 通过本地网络复制到此计算机上。

∙在“开始”菜单，单击“运行”，然后键入 Ntbackup。

∙在“欢迎”页面上，单击“恢复向导”。

∙单击“下一步”，选择您要从中进行恢复的备份集。然后选“系统状态”，再单击“下一步”。

∙单击“完成”。

将Active Directory 恢复到发生故障的 Active Directory 所在的域控制器

在此情形中，Windows 2000 Server 并没有发生故障，相反, Active Directory 可能在域控制器上无法正常运行。这可能是因为 Active Directory 损坏、注册表损坏，或是因为Active Directory 一直依赖的一项服务发生故障所导致。这种情况并不需要重新安装Windows 2000 操作系统，而是需要从此域控制器的前一个备份恢复“系统状态”，以确保Active Directory 返至稳定的运行状态。

Active Directory 无法恢复到运行 Active Directory 的计算机上。如果要完成这个过程，必须将计算机置于目录服务恢复模式下。在目录服务恢复模式下，Windows 2000 操作系统虽在运行，但 Active Directory 却是在脱机状态。

如果要将 Active Directory 恢复到 Active Directory 发生故障的域控制器上，步骤如下：

∙重新启动该域控制器。

∙在操作系统选择菜单上，选择您要启动的操作系统，然后按 F8。