用备份进行Active Directory的灾难重建：Active Directory系列之三

在Windows2000中,备份与恢复Active Directory是一项非常重要的工作.在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可.但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同.你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份.系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分.这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份.一.备份Active Directory数据.如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上.如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份.详细过程如下:1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具.2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步.3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:\bak\AD0322.bkf",下一步,完成备份向导.如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置.4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间.备份完毕系统会生成备份报表.5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放.因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存.二.Active Directory的恢复有两种办法可以恢复Active Directory.第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复.另一种方法就是从备份介质进行恢复.通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情.1.验证方式和非验证方式从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore).通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据.举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据.验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化.还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态.验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态.应该说这种方式是用的比较多的一种恢复Active Directory的方式.2.非验证恢复Active Directory要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态).为恢复Active Directory,你必须使用server处于"目录服务恢复模式".要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式".当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用.你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录).登录成功后,你就可以进行恢复Active Directory的操作.(1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup";(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集.(3)选择合适的备份文件,完成数据恢复.重新启动机器即可.(4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了.----沧海),除非你进行了设置.3.验证方式恢复Active Directory为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复.验证式恢复可以实现全部或部分Active Directory数据的恢复.(1)使用非验证方式恢复Active Directory,重新启动机器.(2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录.(3)"开始"->"运行",输入"ntdsutil",启动命令行工具.(4)恢复整个Active Directory数据库,使用下列命令:authoritative restorerestore database恢复部分Active Directory数据,使用下列命令:authoritative restorerestore subtree ou=Brien,dc=files,dc=COM(红色部分要根据实际情况确定,比如你的域名字是,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推.恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份.)使用quit命令退出,重新启动机器.。

Active Directory 备份与还原在域的环境中，要定期的备份AD数据库，当AD数据库出现问题时，可以通过备份的数据还原AD数据库。

备份文件和文件夹的用户必须具有特定权限和权利的用户才可以，如果是本地组中的管理员或Backup Operator，则只能备份本地计算机上本地组所适用的所有文件和文件夹。

同样，如果是域控制器上的管理员或备份操作员，可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。

活动目录的备份第一步：依次打开命令提示符，输入【Ntbackup】回车第二步：选择【高级模式】，显示备份工具界面，也可以下一步通过向导第四步：选择备份选项卡，选中需要备份的磁盘或者System Status。

选择保存的路径注：如果只想备份活动目录的话，那么只需要备份一下系统状态就可以了。

但在这里建立最好是将整个系统盘做一个完整的备份，以防止丢失一些其他的数据。

第五步：开始备份，在选择备份方式时，需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡，这里可以选择你想备份的类型,第六步：单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步：进入目录服务还原模式。

重新启动计算机，在进入Windows Server 2003 的初始画面前，按F8键进入Window高级选项菜单界面。

通过键盘上的方向键选择【目录服务还原模式】第二步：进入还原向导操作。

运行【ntbackup】选择高级模式，选中要还原的数据第三步：点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息，应该妥善保护。

为了安全起见，应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。

如果想进行更深入的保护，可以把AD数据库文件转移到一个有冗余或者镜像的卷，以便磁盘发生错误的时候可以恢复。

第一步：进入【目录服务还原模式】第二步：进入命令提示符：输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车（选择数据库移动的盘符）完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见，还原目录数据库时需设置密码保护步骤如下：首先必须进入【目录服务还原模式】进入命令提示符，输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码，确认密码完成。

Windows2008 中Active Directory 备份和还原构中针对关键任务的组件。

如果active directory 出现故障，网络实际就崩溃了。

因此，active directory 的备份和恢复计划是安全性、业务连续性和法规遵从性的基础。

windows server 2008 为active directory? 带来了许多新功能，其中对备份和恢复计划具有重大影响的两个功能是：新的windows server backup 实用工具，以及获取和使用active directory 的“卷影复制服务”快照的能力。

在本文中，我将介绍这些增强功能所带来的变化，以及如何利用这些变化来简化active directory 备份活动。

ntbackup 与windows server backup组策略设置windows server backup 提供了若干组策略设置，使您可以在一定程度上控制备份在您服务器上的工作方式。

使用这些备份策略，人们通过未经授权的备份访问未授权数据的风险会降低。

选项包括：仅允许系统备份如果设置了此选项，则windows server backup 只能备份关键的系统卷。

它无法执行卷备份。

不允许本地附加的存储作为备份目标如启用此设置，它不允许备份至本地附加的驱动器。

只能备份至网络共享。

不允许网络作为备份目标此设置不允许备份至任何网络共享。

不允许光学媒体作为备份目标如设置了此选项，windows server backup 无法备份至任何光学媒体，例如可记录的dvd 驱动器。

不允许一次性运行备份此设置不允许windows server backup 运行非计划的特定备份。

仅通过windows server backup mmc 管理单元计划的备份可以运行。

您所了解和喜爱的ntbackup 自windows nt? 3.5 之后已消失。

代替它的是window s server backup 。

概览:∙复制和对象链接结构∙使用 NTDSUTIL 备份和还原∙权威还原和非权威还原Active Directory 是 Windows 网络中最为关键的服务之一。

为了避免出现停机时间和损失生产力，对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。

这一点听起来容易，但令人吃惊的是，有很多管理员甚至没有为最常见的一个 Active Directory®故障方案 - 意外删除数据 - 制定计划。

意外删除对象是服务失败最常见的根本原因之一。

当我参加研讨会和会议时，我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。

而每次几乎所有人都举手。

要理解为何数据恢复是如此复杂，必须先理解以下内容：Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。

存储对象Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。

数据存储（称为目录信息树或 DIT）基于可扩展存储引擎 (ESE)，这是一个索引顺序访问方法 (ISAM) 数据库引擎。

从概念上说，Active Directory 将 DIT 存储在两张表中：数据表（包含实际的 Active Directory 对象和属性）和链接表（包含对象之间的关系）。

每个 Active Directory 对象存储在数据表中单独的一行，每个属性一列。

数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。

在一个常规 DC 上，数据表包含来自域 NC（命名上下文）、配置 NC 和架构 NC 的条目。

在全局编录上，数据表包含林中每个对象的条目。

Active Directory 使用可分辨名称标记 (DNT)（一个 32 位的整数）来唯一标识数据表中的每一行。

用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID（一个 16 字节的二进制结构）都小得多。

灾难恢复方法一.目的本文对域控制器的灾难恢复提供指导二．摘要本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复三．目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本四．正文1. Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

Active directory 灾难恢复出处：Dve-Club 作者：haotong 时间：2004-2-11 21:33:00由于下面这两个原因之一，Active Directory 常常需要灾难恢复措施。

·数据库损坏·数据损坏数据库损坏在本文档中，我们假定数据库是因为下列原因之一而损坏的：磁盘损坏。

域控制器发生硬件故障，需要更换。

数据损坏在本文档中，我们假定数据是因为下列原因之一而损坏的：· Active Directory 数据损坏，而这些数据已经复制到其他的域控制器。

·错误删除 Active Directory 对象，而这些对象已经复制到该域/目录林的其他域控制器。

现在这些对象必须在 Active Directory 中恢复。

恢复 Active Directory恢复 Active Directory 的方法有两种。

您可以重新安装 Windows 2000，然后通过正常复制过程，重新导入 Active Directory。

另外一种方法就是从备份恢复 Active Directory。

第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。

第二种方法是将 Active Directory 恢复为前一个已知状态（前次备份时的状态）。

通过重新安装和复制来恢复 Active Directory您可以在受损的系统上重新安装 Windows 2000 Server，把该服务器当作域控制器，然后在安装 Active Directory时，让正确信息自动复制，借此恢复域控制器。

通过 WAN 来安装Active Directory，可能会大量消耗可用的 WAN 带宽。

如果 Active Directory 很大，还会耗费许多时间。

若要解决这个问题，建议您在中央位置安装新的域控制器，然后将它运送到远程位置。

对于分支机构环境来说，这可能不是很好的方法。

试验：DNS重建+Active Directory灾难恢复网络拓扑：内网有3台域控制器，分别为一台为主域控制器，其余二台是额外域控制器,DNS服务器是在主域控制器上，现在主域控制器与其他二台额外域控制器连接不上。

如图试验1： DNS重建思路：由于DNS上存有域控制器的主机名称，IP地址及所扮演的角色等数据，所以在转移操作主机前，要重建DNS，添加主机记录，把剩余两台域控制器的NETLOGON.DNS文件内的DNS备份复制到新建的DNS文件中（要先停止DNS，在保存修改的内容）。

过程：因原DNS服务器已丢失，所以可以在FLORENCE和PERTH中任选一台DC作为DNS服务器，这里我选用florence作为DNS服务器。

（在这里注意把设置ip里的DNS指向florence 的IP）1.安装DNS，在开始--设置--控制面板里打开添加或删除程序--添加windows组件--在windows组件向导中选择网络服务，在网络服务中选择域名系统DNS，点确定----下一步即安装。

（在安装过程中会提示需要系统盘上的文件，所以提前准备哦）2.恢复DNS，点击开始---程序---管理工具---DNS，打开DNS服务器，然后新建区域在这注意在最末行我们看见了一项默认打钩的“在AD中存储区域”的选项，我们需要去掉这个钩后在点击下一步，因为待会儿重建DNS需要区域文件，我们去掉这个钩，区域文件将存贮在本地计算机，方便随后的重建操作。

如图我们去掉这个钩，然后继续下一步进行配置，出现定义区域名称向导界面，我们输入实验域名然后点击下一步，出现下图提示问打算将的区域文件怎样命名并存贮与哪里，（如果之前DNS服务器完好，我们可以选择使用此现存文件，然后挂入之前的区域文件即可），这里由于DNS和AD安装在一台PC上，而这台PC以连接不上，故选择新建区域文件，同时为方便记忆，我们选择默认的区域文件名称，确认无误后点击下一步。

这时，向导出现了提示是否允许动态更新的界面，这是关键的一步，我们要想让AD复制拓扑正常，一定要选用允许动态更新，因为只有允许了动态更新，AD之间数据的变化才能及时传递给对方，所以我们在此项一定要选用：允许安全和非安全动态更新，然后我们点击下一步，确认无误后，完成安装。

多域控制器环境下ActiveDirectory灾难恢复邮件服务器灾难恢复体系方案一灾难情况:主域控制器由于硬件故障突然损坏，使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，恢复主域控制器，恢复exchange数据库。

备份情况:1:系统状态备份 2:exchange数据(MICROSOFT INFORMATION STORE)总体思路:1( 恢复域控制器 (a:清除原DC信息 b: 额外域控制器上通过ntdsutil.exe工具夺取五种,,,,c:设置额外控制为GC全局编录 d:重新安装损坏的域控制器)2( 恢复exchange(a:安装exchange b:恢复exchange数据库)详细步骤:1(恢复域控制器a:清除原有Domain Controller的信息因为这台服务器已经不再可用，我们必须重新安装，所以需要将原来的服务器的数据从ACTIVE DIRECTORY中删除。

完成这个目标，需要使用ntdsutil这个工具。

(粗体为输入内容，因测试时与公司服务器域名及机器名不一同，请按提示输入)c:\>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com select operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com No current domain No current serverNo current Naming Contextselect operation target: list domains in siteFound 1 domain(s)0 - DC=domain,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com Domain -DC=domain,DC=comNo current serverNo current Naming Contextselect operation target: list servers for domain in siteFound 2 server(s)0 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com1 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration, DC=domain,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup: remove selected server出现对话框，询问你是否确定删除该DC。