活动目录概念和灾难恢复-

概览:∙复制和对象链接结构∙使用 NTDSUTIL 备份和还原∙权威还原和非权威还原Active Directory 是 Windows 网络中最为关键的服务之一。

为了避免出现停机时间和损失生产力，对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。

这一点听起来容易，但令人吃惊的是，有很多管理员甚至没有为最常见的一个 Active Directory®故障方案 - 意外删除数据 - 制定计划。

意外删除对象是服务失败最常见的根本原因之一。

当我参加研讨会和会议时，我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。

而每次几乎所有人都举手。

要理解为何数据恢复是如此复杂，必须先理解以下内容：Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。

存储对象Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。

数据存储（称为目录信息树或 DIT）基于可扩展存储引擎 (ESE)，这是一个索引顺序访问方法 (ISAM) 数据库引擎。

从概念上说，Active Directory 将 DIT 存储在两张表中：数据表（包含实际的 Active Directory 对象和属性）和链接表（包含对象之间的关系）。

每个 Active Directory 对象存储在数据表中单独的一行，每个属性一列。

数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。

在一个常规 DC 上，数据表包含来自域 NC（命名上下文）、配置 NC 和架构 NC 的条目。

在全局编录上，数据表包含林中每个对象的条目。

Active Directory 使用可分辨名称标记 (DNT)（一个 32 位的整数）来唯一标识数据表中的每一行。

用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID（一个 16 字节的二进制结构）都小得多。

灾难处理与灾难恢复制度文档修订记录1.灾难恢复定义灾难恢复，指自然或人为灾害后，重新启用信息系统的数据、硬件及软件设备，恢复正常商业运作的过程。

灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范，特别是对关键性业务数据、流程予以及时记录、备份、保护。

数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。

2.关键控制点1、购买设备时应该获取厂商相关灾难处理条款2、每个项目留有备用设备、保证异地机房存在，异地机房要准备好相关备用设备。

3.灾难处理1、硬件损坏：即时检测设备原因，判断硬件损坏点以及维修时长，在放生故障时15分钟内确定故障原因和故障点，并且上报运维主管。

2、机房电源故障：立即联系运营商，确定电源恢复时间。

上报管理层，由管理层联系运营商。

2、毁灭性灾难：确定原因，立即启动应急响应，所有技术1-3个小时内全部到岗。

具体的灾难恢复时间目标和恢复点目标规定如下：主机宕机：RTO（1h），RPO（24h-48h）；存储设备故障：RTO（1h），RPO（24h-48h）；操作系统故障：RTO（1h），RPO（24h-48h）；主机应用故障：RTO（1h），RPO（24h-48h）；其他故障：RTO（1h），RPO（24h-48h）。

4.灾难恢复1、硬件损坏：预计硬件维修时间超过1个小时的，立即启用备用设备。

2、机房电源电源故障：确定电源恢复时间，电源恢复时间超过30分钟的，立即启动备用机房，备用机房设备进行相关的访问限制，停止耗费硬件资源和带宽的服务，只启动必须的访问服务，以此减少服务器和带宽压力。

3、毁灭性灾难：立即成立应急小组，所有技术人员到岗，启动备用机房所有备用设备。

立即由公司决策层增加硬件设备和机房网络带宽。

新购买设备架构未完成之前，只提供最核心的服务和必要的服务，其余服务实现限流策略。

核心提示：项目环境：1.1. 西安凌云系统高科技有限公司组建了一个单域；域名为“ange ”。

公司有两个DC分别来负责公司的运营，其中一个是备份的DC，那么我们如何在不同的DC上来实现林之间的转换和域于域之间的转换呢？1.2. 西安...项目环境：1.1. 西安凌云系统高科技有限公司组建了一个单域；域名为“”。

公司有两个DC分别来负责公司的运营，其中一个是备份的DC，那么我们如何在不同的DC上来实现林之间的转换和域于域之间的转换呢？1.2. 西安领域系统高科技有限公司组建了一个单域网络，有一天网络管理员不小心把两个OU删除了，但是相对了一个OU很重要，管理员怎么样才能把公司的OU恢复呢？项目标准：一、理解操作主机的概念；二、理解授权还原和非授权还原的概念；三、掌握基本操作主机的配置；四、掌握授权还原和非授权还原的配置；项目步骤：一、理解操作主机的概念；1.1.0. 我们都了解知道可以在一个域中可以添加多个子域也可以添加辅助域控制器，这样就可以实现我们在一个域中有多个域控制器，当然这些域控制器是对等的。

所以我们为了保证活动目录数据库的一致性需要来执行操作。

虽然一般的复制是多主机复制，但某些是更改不了适合多个主机复制执行。

正是在这种情况下我们来引出了操作主机的概念；通过操作主机来更改一些达不到的东西。

既然我们现在知道了“操作主机”是干什么的。

那么在活动目录中，操作主机有几种角色呢？1.2.0. 操作主机的角色有五种角色，但是我们可以分为“林范围内的操作主机”和“域范围内的操作主机”。

他们分别有什么分别有什么功能呢？在林范围的操作主机有“架构主机”和“域命名主机”；在域范围内的操作主机有：“PDC仿真主机”、“RID主机”、“基础架构主机”；在实验的步骤中我们来具体的了解各个操作主机的功能。

二、理解授权还原和非授权还原的基本概念；2.1.0. 作为一个合格的网络管理员我们知道想维护好相同的活动目录数据库，实现网络的可靠性，那么我们就需要我们定期的备份和还原数据库，因为在操作活动目录时，管理员有可能因为不小心进行了一些无意的操作，像不小心删除了某个OU或者一些机密性的文件夹，而要想还原自己不小心删除的文件或者是一些机密性文件，那么作为管理员备份时不可缺少的；而通过备份的文件那么我们就可以轻而易举的找回来我们因为不小心删掉的文件了；但是在还原中我们会牵扯到连个概念；“授权还原”和“非授权还原”；2.2.0. 非授权还原：可以恢复活动目录到它备份的状态。

Active directory 灾难恢复出处：Dve-Club 作者：haotong 时间：2004-2-11 21:33:00由于下面这两个原因之一，Active Directory 常常需要灾难恢复措施。

·数据库损坏·数据损坏数据库损坏在本文档中，我们假定数据库是因为下列原因之一而损坏的：磁盘损坏。

域控制器发生硬件故障，需要更换。

数据损坏在本文档中，我们假定数据是因为下列原因之一而损坏的：· Active Directory 数据损坏，而这些数据已经复制到其他的域控制器。

·错误删除 Active Directory 对象，而这些对象已经复制到该域/目录林的其他域控制器。

现在这些对象必须在 Active Directory 中恢复。

恢复 Active Directory恢复 Active Directory 的方法有两种。

您可以重新安装 Windows 2000，然后通过正常复制过程，重新导入 Active Directory。

另外一种方法就是从备份恢复 Active Directory。

第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。

第二种方法是将 Active Directory 恢复为前一个已知状态（前次备份时的状态）。

通过重新安装和复制来恢复 Active Directory您可以在受损的系统上重新安装 Windows 2000 Server，把该服务器当作域控制器，然后在安装 Active Directory时，让正确信息自动复制，借此恢复域控制器。

通过 WAN 来安装Active Directory，可能会大量消耗可用的 WAN 带宽。

如果 Active Directory 很大，还会耗费许多时间。

若要解决这个问题，建议您在中央位置安装新的域控制器，然后将它运送到远程位置。

对于分支机构环境来说，这可能不是很好的方法。

1.域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。

2.简单卷：简单卷是物理磁盘的一部分，但它工作时就好像是物理上的一个独立单元。

简单卷是相当于Windows NT 4.0 及更早版本中的主分区的动态存储。

3.STMP：SMTP协议SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。

4.WINS：WINS是Windows Internet Naming Server，即Windows Internet命名服务。

它提供一个分布式数据库，能在路由网络的环境中动态地对IP地址和NETBios名的映射进行注册与查询。

1. 成员服务器：在部署服务器的时候，第一台服务器包括基本所有的功能，当一台服务器不能满足所有的要求的时候可以添加其它的只提供部分服务(如应用程序或者数据服务)的服务器即称之为成员服务器。

2. 索引服务：索引服务是一项系统服务（Indexing Service），使用文档筛选器读取整个文档，并提取文档和属性传递给索引程序，这个过程称为“索引”。

3. RAID5：RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。

RAID 5可以理解为是RAID 0和RAID 1的折中方案。

4. 网络地址转换：网络地址转换(NA T,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。

1．UNC：UNC (Universal Naming Convention) / 通用命名规则，也叫通用命名规范、通用命名约定。

网络（主要指局域网）上资源的完整Windows 2000 名称。

1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

在这里，我为了节省时间，就仅仅备份一下系统数据了:在上图的左下角，“备份媒体或文件名”里可以选择备份的路径，并且支持网络备份的。

选择好备份文件的存放路径后，就可以点击“开始备份”了:点击“开始备份”后，会出现如下画面:在上面的选项中，点击“计划”，系统会提示你“保存当前备份设置”，保存完成后，会出现下面的画面:在这里要输入正确的具有管理员权限的帐号和密码才可以，输入后点“确定”，就会出现一个“计划的作业选项”:点击上述画面中的“属性”:在这里，可以设置计划作业，以方便系统以后自动按照计划进行备份，就不用一次次的手动备份了。

设置完成后，就回到了刚刚的画面:这次点击“高级”:在这里，可选择一些如数据备份完成后验证其完整性之类的选项，这个大家可以根据需要进行选择，主要向大家简单介绍一下五个备份类型:正常:备份所有选择的文件夹和文件，不依赖于任何标记，但会清除标记副本:备份所有选择的文件夹和文件，不依赖于任何标记，但不会清除标记增量:只备份选择的且有标记的文件夹和文件，但是会清除标记;差异:只备份选择的且有标记的文件夹和文件，且不清除标记;每日:以天为单位，每天发生变化的文件都会被备份;这五种备份类型具体如何应用，如何配合使用，请大家结合自己的实际情况决定。