如何实施域控制器活动目录的备份与恢复

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

活动目录的备份与恢复在Windows2000中,备份与恢复Active Directory是一项非常重要的工作。

在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可。

但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同。

你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份。

系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分。

这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。

一.备份Active Directory数据如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上。

如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份。

详细过程如下:1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具。

2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步。

3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d: akAD0322。

bkf",下一步,完成备份向导。

如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置。

4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间。

Active Directory 备份与还原在域的环境中，要定期的备份AD数据库，当AD数据库出现问题时，可以通过备份的数据还原AD数据库。

备份文件和文件夹的用户必须具有特定权限和权利的用户才可以，如果是本地组中的管理员或Backup Operator，则只能备份本地计算机上本地组所适用的所有文件和文件夹。

同样，如果是域控制器上的管理员或备份操作员，可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。

活动目录的备份第一步：依次打开命令提示符，输入【Ntbackup】回车第二步：选择【高级模式】，显示备份工具界面，也可以下一步通过向导第四步：选择备份选项卡，选中需要备份的磁盘或者System Status。

选择保存的路径注：如果只想备份活动目录的话，那么只需要备份一下系统状态就可以了。

但在这里建立最好是将整个系统盘做一个完整的备份，以防止丢失一些其他的数据。

第五步：开始备份，在选择备份方式时，需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡，这里可以选择你想备份的类型,第六步：单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步：进入目录服务还原模式。

重新启动计算机，在进入Windows Server 2003 的初始画面前，按F8键进入Window高级选项菜单界面。

通过键盘上的方向键选择【目录服务还原模式】第二步：进入还原向导操作。

运行【ntbackup】选择高级模式，选中要还原的数据第三步：点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息，应该妥善保护。

为了安全起见，应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。

如果想进行更深入的保护，可以把AD数据库文件转移到一个有冗余或者镜像的卷，以便磁盘发生错误的时候可以恢复。

第一步：进入【目录服务还原模式】第二步：进入命令提示符：输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车（选择数据库移动的盘符）完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见，还原目录数据库时需设置密码保护步骤如下：首先必须进入【目录服务还原模式】进入命令提示符，输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码，确认密码完成。

域控制器的好处是可以帮助网络管理员轻松地管理网络中的电脑和用户，防止用户进行非法操作。

当一台域控制器崩溃后，如果说网络中的电脑和用户不多，那么还可以通过重新配置的方法来处理。

如果网络中有上百台电脑怎么办，你难道可以记得原来的所有配置吗？那么唯一的方法是在对域控制器进行每次配置后，都做一次备份。

下面就告诉大家如何进行域控制器的备份和还原。

域控制器的备份步骤在域控制器的：开始-运行当中输入“Ntbcakup”命令敲回车，我们可以看到系统的备份还原向导界面，如下图所示：在这里单击“备份向导”按钮，弹出备份系统的界面，这里选择“system state”文件进行备份，单击“浏览”按钮指定备份的文件夹路径，如图所示；单击“开始备份”按钮，这里开始备份的过程，这里时间较长大概在半个小时左右，如图所示：域控制器的还原步骤恢复的过程也非常简单，需要重新启动操作，开机时按F8进入启动项选择菜单，选择“目录服务器还原模式”选项，单击回车进入系统，如图：启动操作系统这里进入登陆对话框，这里需要注意的是这里所说提到的管理员密码不是当前的管理员密码，是当初建立域控制器时的域控制器恢复密码，如图所示：这一步同样在开始-运行中输入“NTBACKUP”命令启动系统备份还原向导，如图：点击“还原向导”按钮弹出还原向导界面，点击“浏览”按钮找到我们备份的活动目录数据库单击选择，在“还原的项目”区域勾选文件，如图所示：单击“下一步”按钮，弹出“完成还原向导”对话框，如图：单击“高级”按钮，弹出“还原位置”对话框，这里选择“原来位置”选项，单击“下一步”按钮，弹出警告对话框点击“确定”按钮，如图：这里选择“替换现有文件”选项，单击“下一步”按钮，如图：这里按默认，单击“下一步”按钮，如图：单击“完成”按钮，还原向导设置完成，如图：这一步大概半个小时会还原完成。

这时可以重新启动系统再次进入“活动目录恢复”模式启动，当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

如何配置域名系统中的自动备份与恢复域名系统（Domain Name System，简称 DNS）是互联网中非常重要的基础设施，它将域名与IP地址相互映射，使得用户可以通过域名来访问网站和应用程序。

在运行过程中，由于各种原因，DNS服务器可能会遭受故障或数据丢失的风险。

为了确保DNS系统的可靠性和可用性，配置自动备份与恢复功能是至关重要的。

1. 备份策略的制定在配置域名系统的自动备份与恢复功能之前，首先需要制定合适的备份策略。

备份策略应包括备份频率、备份存储位置、备份数据的完整性验证等内容。

最佳做法是每天进行完整备份，并将备份数据存储在多个地理位置或云存储服务中，以提高数据的冗余性和可靠性。

2. 自动备份配置要配置自动备份功能，可以使用各种备份工具或软件。

例如，可以使用定时任务工具调度备份任务，将原始DNS配置文件、域名数据和相关设置备份到指定位置。

此外，为了防止备份数据被破坏或篡改，可以使用加密算法对备份文件进行加密保护，并定期验证备份数据的完整性和一致性。

3. 增量备份和差异备份除了完整备份，还可以配置增量备份和差异备份，以减少备份过程中的网络和存储资源占用。

增量备份仅备份自上次备份以来修改的文件或数据块，而差异备份仅备份自上次完整备份以来发生变化的文件或数据。

增量备份和差异备份可以节省备份时间和存储空间，并加快系统恢复的速度。

4. 自动恢复配置自动恢复功能是保障DNS系统可用性的重要组成部分。

当DNS服务器受到威胁、故障或数据丢失时，自动恢复功能可以帮助快速将备份数据恢复到正常运行状态。

在配置自动恢复时，应确保备份数据的安全性和完整性，同时在备份恢复过程中遵循最佳安全实践，如安全的身份验证和加密传输等。

5. 定期测试与修复配置自动备份和恢复功能后，不可忽视定期测试和修复的重要性。

定期测试可以验证备份数据和恢复功能的完整性和可用性。

通过模拟故障情况，测试备份和恢复过程，并追踪问题以进行修复和改进。

如何对域控进⾏备份？环境可以分为单域单域控、单域多域控、以及多域多域控，⽆论是哪种情况备份⽅法都不⼀样。

对于单域单域控环境对于单域单域控，指的是整个⽹络⾥⾯就只有⼀台域控制器，这种情况可能⾮常常见，但是是⾮常危险的，⼀旦这台服务器出现问题，并且如果没有完善的备份的话，就⾮常⾮常危险，极有可能整个活动⽬录数据库丢失，你的域就要重建。

所以强烈建议安装另外⼀台域控作为备份，即使当第⼀台主域控有问题后，额外域控能够马上切换过来顶替主域控的⼯作（当然不是⾃动的）。

当然，理想与现实的差距总归是有的。

由于各种原因，在⽹络⾥⾯我们也只能使⽤这唯⼀的域控。

对于这样的域控，我们备份的地⽅有：1. 1. 操作系统的备份2. 2. AD数据库的备份基于这两种需求，我们可以1. 1. 对于刚刚安装好的域控或者有进⾏过重⼤更新（软件、硬件、或者⽐如批量添加过⼤量⽤户的的活动）都使⽤NTbackup做⼀次ASR2. 2. 对于AD数据库的备份，我们也可以使⽤NTBackup设计计划任务来周期性的备份系统状态(System State)对于还原：1. 1. 如果是硬件等各种问题造成操作系统都⽆法启动，我们使⽤ASR来还原整个操作系统，然后再⽤NTBackup+最新的系统状态（SystemState)来还原AD数据库2. 2. 如果是域控操作系统能够启动，只是发现AD数据库有问题，我们可以采⽤开机的时候按F8进⼊“⽬录服务还原模式（只适⽤于Windows域控制器）”，然后对⽬录服务进⾏还原。

对于单域多域控环境备份起来相对简单，并且相对单域单域控⽽⾔，多了⼀重保障，这些域控之间的⽬录服务是相互备份的。

但是这些域控并不是完全相同的，他们都有不同的⾓⾊，⼀共有5中操作主机⾓⾊。

设想这样的⼀种情况，有两台DC,第⼀台主DC，FSMO五种⾓⾊以及GC都作⽤在这⾥第⼆台DC，作为备份域控。

现在是第⼀台DC由于各种问题，起不了了，也没有办法恢复（硬件问题等）我们就是需要把第⼆台域控来接替第⼀台⼯作，把FSMO和GC转移到第⼆台上。

活动目录AD备份恢复方案AD备份恢复方案主 DC: 1台辅助 DC：2台1. 理想化备份方案建议：DC：周日0:00 进行全备份，周一到周六进行增量备份；1.1 主域 DC：系统状态（System State）所有文件1.2 辅助域 DC：系统状态（System State）所有文件2. 主DC恢复操作1、原始恢复用于重建域中的第一个域控制器。

步骤：进入目录恢复模式，在向导页面使用“高级模式”，并选择“当还原复制的数据集时，将XXX所有副本的主要数据”。

（如安装新硬盘时损坏数据库）2、正常恢复（非授权恢复）用于恢复受损的AD数据库。

步骤：?活动目录数据库还原–非授权还原–授权还原非授权还原：恢复活动目录到它备份时的状态执行非授权还原后–如果域中只有一个域控制器，在备份之后的任何修改都将丢失–如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态执行非授权还原步骤1）重启DC，在显示启动菜单时按F8键2）选择【目录服务还原模式】3）在登录提示符处，输入账户administrator，输入还原密码，进入系统4）使用备份工具还原系统状态数据5）重启DC3、授权恢复把AD 恢复到先前的一个状态步骤：Authoritative Restore授权还原：恢复活动目录的特定对象执行授权还原的步骤1）重启DC，进入【目录服务还原模式】2）使用备份工具恢复活动目录到原始位置3）打开命令提示符，键入ntdsutil4）键入“authoritative restore”5）restore subtree “ou=sales,dc=xapc,dc=com”6）退出ntdsutil，重启DC5、当主DC 系统服务无法正常运行时启动到目录恢复模式，通过备份工具执行正常恢复（非授权恢复），然后重新启动即可。

6、当主DC 无法启动时重新安装后恢复即可。

【备份与恢复如下示例：】在主域中新建两个OU（市场部、技术部）在DC1上建好OU后，在辅助DC（DC2）中也有同步了DC1的数据，也有了这两个OU备份的DC1开始备份备份进度完成查看备份文件删除DC1上的两个OU，同时DC2上也被删除了，因为两个DC 之间要相互更新数据（新的替换旧文件）现在在DC1上恢复两个OU重启DC，在显示启动菜单时按F8键选择“目录服务还原模式”在登陆提示符处，输入域管理员帐户，输入还原密码，进入系统使用备份工具还原系统状态数据开始还原完成重启查看还原后的DCDC同步后，OU又删除了授权还原重启DC，进入“目录服务还原模式”使用备份工具恢复活动目录到原始位置还原到原始位置后，不要重启马上打开命令提示符，键入ntdsutil输入授权还原条件成功重启DC查看DC1还原效果查看DC2的效果。