Active Directory 备份与还原

Active Directory 产品操作指南第 3 章—详细的维护操作本页内容概述过程：备份Active Directory过程：Active Directory 的非授权还原过程：Active Directory 对象的授权还原过程：通过重新安全恢复域控制器过程：为现有域安装域控制器过程：删除Active Directory过程：重命名域控制器过程：管理Active Directory 数据库过程：管理SYSVOL过程：管理Windows 时间服务任务：配置林的时间源任务：在计算机，而不是在PDC 仿真器上配置可靠时间源任务：配置客户端以向特定时间源请求时间任务：优化轮询间隔任务：禁用Windows 时间服务过程：管理信任过程：管理站点任务：添加新站点任务：将子网添加至网络任务：链接复制站点任务：更改站点链接属性任务：将域控制器移至不同的站点任务：删除站点过程：管理域控制器上的防病毒软件过程：添加全局编录过程：从域控制器中删除全局编录过程：确认站点中的全局编录服务器过程：移动操作主机角色步骤：减少PDC 仿真器的工作量过程：传输角色持有者过程：占用操作主机角色过程：选择备用操作主机概述本章提供了有关维护Active Directory 所必须执行的过程的详细信息。

这些过程是按照其所属的MOF 象限来排列顺序，在每个象限中则遵照构成该象限的MOF 服务管理功能(SMF) 指南。

这些象限是：•操作象限•支持象限•优化象限•更改象限操作象限系统管理SMF 操作角色群每日返回页首过程：备份Active Directory说明将Active Directory 作为Microsoft® Windows 系统状态（彼此依赖的系统组件集合）的一部分进行备份。

必须对所有的系统状态组件进行备份并存储在一起。

域控制器上的系统状态组件包括：•系统启动（引导）文件。

这是Windows Server 2003 启动所必需的文件。

ad 域策略备份方法全文共四篇示例，供读者参考第一篇示例：AD（Active Directory）域控制器是Windows中极为重要的网络身份验证和授权服务，对于公司来说，域控制器中存储了大量的用户账号、组策略、计算机账号等信息，一旦信息丢失或损坏，可能会造成严重后果。

备份AD域策略是非常重要的工作，可以保障公司网络的稳定和安全。

备份AD域策略的方法有多种，下面将一一介绍：一、使用Windows Server备份工具Windows Server自带有备份工具，可以通过这个工具来备份AD 域策略。

具体操作步骤如下：1. 打开“服务器管理器”，找到“工具”下的“Windows Server备份”；2. 在备份工具中选择“备份计划向导”，按照提示设置备份计划；3. 在选择备份目标时，选择“本地磁盘”或“网络共享”；4. 在选择备份项时，选择“系统状态”；5. 设置备份时间和其他选项；6. 完成备份计划的设置并执行备份。

通过这种方法备份AD域策略，可以定期执行备份计划，保障数据的安全性。

二、使用第三方备份软件除了Windows Server自带的备份工具外，还可以使用第三方的备份软件来备份AD域策略。

常见的备份软件有Veeam Backup、Acronis Backup等，这些软件能够更灵活地设置备份计划、备份位置和备份内容，提供更全面的数据保护。

使用第三方备份软件备份AD域策略的步骤通常为：1. 安装备份软件并进行配置；2. 添加AD域控制器作为备份对象；3. 设置备份计划，包括备份时间、备份频率等；4. 执行备份操作，将AD域策略数据备份到指定位置。

通过使用第三方备份软件，可以更加灵活地备份和恢复AD域策略数据，提高数据安全性和可靠性。

三、备份系统状态AD域策略数据的重要组成部分是系统状态，包括注册表、系统文件、系统启动文件等。

备份系统状态也是一种备份AD域策略的方法。

备份系统状态可以将整个系统的重要数据备份下来，并且可以快速恢复系统状态，保障AD域策略的安全性。

Windows2008 中Active Directory 备份和还原构中针对关键任务的组件。

如果active directory 出现故障，网络实际就崩溃了。

因此，active directory 的备份和恢复计划是安全性、业务连续性和法规遵从性的基础。

windows server 2008 为active directory? 带来了许多新功能，其中对备份和恢复计划具有重大影响的两个功能是：新的windows server backup 实用工具，以及获取和使用active directory 的“卷影复制服务”快照的能力。

在本文中，我将介绍这些增强功能所带来的变化，以及如何利用这些变化来简化active directory 备份活动。

ntbackup 与windows server backup组策略设置windows server backup 提供了若干组策略设置，使您可以在一定程度上控制备份在您服务器上的工作方式。

使用这些备份策略，人们通过未经授权的备份访问未授权数据的风险会降低。

选项包括：仅允许系统备份如果设置了此选项，则windows server backup 只能备份关键的系统卷。

它无法执行卷备份。

不允许本地附加的存储作为备份目标如启用此设置，它不允许备份至本地附加的驱动器。

只能备份至网络共享。

不允许网络作为备份目标此设置不允许备份至任何网络共享。

不允许光学媒体作为备份目标如设置了此选项，windows server backup 无法备份至任何光学媒体，例如可记录的dvd 驱动器。

不允许一次性运行备份此设置不允许windows server backup 运行非计划的特定备份。

仅通过windows server backup mmc 管理单元计划的备份可以运行。

您所了解和喜爱的ntbackup 自windows nt? 3.5 之后已消失。

代替它的是window s server backup 。

概览:∙复制和对象链接结构∙使用 NTDSUTIL 备份和还原∙权威还原和非权威还原Active Directory 是 Windows 网络中最为关键的服务之一。

为了避免出现停机时间和损失生产力，对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。

这一点听起来容易，但令人吃惊的是，有很多管理员甚至没有为最常见的一个 Active Directory®故障方案 - 意外删除数据 - 制定计划。

意外删除对象是服务失败最常见的根本原因之一。

当我参加研讨会和会议时，我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。

而每次几乎所有人都举手。

要理解为何数据恢复是如此复杂，必须先理解以下内容：Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。

存储对象Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。

数据存储（称为目录信息树或 DIT）基于可扩展存储引擎 (ESE)，这是一个索引顺序访问方法 (ISAM) 数据库引擎。

从概念上说，Active Directory 将 DIT 存储在两张表中：数据表（包含实际的 Active Directory 对象和属性）和链接表（包含对象之间的关系）。

每个 Active Directory 对象存储在数据表中单独的一行，每个属性一列。

数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。

在一个常规 DC 上，数据表包含来自域 NC（命名上下文）、配置 NC 和架构 NC 的条目。

在全局编录上，数据表包含林中每个对象的条目。

Active Directory 使用可分辨名称标记 (DNT)（一个 32 位的整数）来唯一标识数据表中的每一行。

用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID（一个 16 字节的二进制结构）都小得多。

还原已删除的Active Directory 对象本步骤提供有关使用Active Directory 回收站完成以下任务的说明：∙显示“已删除对象”容器∙使用Ldp.exe 还原已删除的 Active Direct ory 对象∙使用 Get-ADObject和 Restore-ADObject cmdlet还原已删除的 Active Direct ory 对象∙还原多个已删除的 Active Direct ory 对象显示“已删除对象”容器在删除Active Directory 对象时，这些对象会被存放在“已删除对象”容器中。

默认情况下，不显示 CN=Delet ed Objects 容器。

可以使用Active Directory 域服务 (AD DS) 中的Ldp.exe 管理工具来显示“已删除对象”容器。

Domain Admins中的成员身份或同等身份是完成此过程所需的最低要求。

显示“已删除对象”容器的步骤1.若要打开Ldp.exe，请依次单击「开始」、“运行”，然后键入ldp.exe。

2.在“选项”菜单中，单击“控制”。

3.在“控制”对话框中，展开“预定义加载”下拉菜单，单击“返回已删除对象”，然后单击“确定”。

4.验证“已删除对象”容器是否显示的步骤：a.若要连接并绑定到承载 AD DS 环境的林根域的服务器，请单击“连接”下的“连接”，然后单击“绑定”。

b.依次单击“查看”、“树”，并在BaseDN中键入DC=<mydomain>,DC=<com>，其中<mydomain>和<com>表示 AD DS 环境对应的林根域名。

c.在控制台树中，双击根的可分辨名称（也称为 DN），并找到CN=Deleted O bjects,DC=<mydomain>,DC=<com>容器，其中<mydomain>和<com>表示AD DS 环境对应的林根域名。

windows 2000 域的备份与恢复在windows2000中,备份与恢复active directory是一项非常重要的工作.在nt中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可.但是在windows2000中,所有的安全信息都存储在active directory中,它的备份方法与在nt 中是完全不同.你不能单独备份active directory,windows2000将active directory做为系统状态数据的一部分进行备份.系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分.这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份.一.备份active directory数据.如果一个域内存在不止一台dc,当重新安装其中的一台dc时备份active directory并不是必需的,你只需要将其中的一台dc从域中删除,重新安装,并使之回到域中,那么另外的dc自然会将数据复制到这台dc上.如果一个域内剩下最后一台dc,那就非常有必要对active directory进行备份.详细过程如下:1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具.2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步.3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:\bak\ad0322.bkf",下一步,完成备份向导.如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置.4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间.备份完毕系统会生成备份报表.5.建议:通常备份的文件比较大,我备份了几次都在250-300m之间,因此需要找一个大容量的空间存放.因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存.二.active directory的恢复有两种办法可以恢复active directory.第一种是从域的其它dc上恢复数据,前提是域内必须还有一台dc是可用的,这时当损坏的dc重新安装并加入到它原来的域时,dc之间会自动进行数据复制,active directory随之会恢复.另一种方法就是从备份介质进行恢复.通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台dc,因此从介质恢复active directory是经常遇到的事情.1.验证方式和非验证方式从备份介质进行active directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore).通常情况下,windows2000使用非验证方式恢复:active directory从备份介质中恢复以后,域内其它的dc会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据.举个例子,假设今天是星期五,你使用了星期三的备份对active directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复active directory的dc上,也就是新数据会覆盖你使用备份恢复的数据.验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的dc上,无论从备份以后数据是否发生了变化.还拿上面的例子来说,当你在星期五使用星期三的备份恢复了active directory后,这些恢复过来的数据会复制到域内所有的dc上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态.验证模式恢复active directory通常用于这种情况:active directory在域内某台dc上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它dc上,这时就需要在某台dc上使用验证方式恢复active directory,强制使域恢复到原来的好的状态.应该说这种方式是用的比较多的一种恢复active directory的方式.2.非验证恢复active directory要实现非验证恢复,目录服务必须处于离线状态(备份active directory时目录服务不必处于离线状态).为恢复active directory,你必须使用server处于"目录服务恢复模式".要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按f8,启动系统启动高级菜单,选择"目录服务恢复模式".当windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在active directory中的管理员的账号和密码,因为这时active directory处于离线状态,不可用.你只有使用存储在安全账户管理器,有时称之为sam中的管理员账号和密码进行登录).登录成功后,你就可以进行恢复active directory的操作.(1)启动windows2000自带的备份程序:"开始"->"运行",输入"ntbackup";(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集.(3)选择合适的备份文件,完成数据恢复.重新启动机器即可.(4)注意:通常情况下,你不能恢复60天以前备份的active directory数据,这是因为受windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了.----沧海),除非你进行了设置.3.验证方式恢复active directory为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用ntdsutil命令行工具实现验证式active directory恢复.验证式恢复可以实现全部或部分active directory数据的恢复.(1)使用非验证方式恢复active directory,重新启动机器.(2)再次使用"目录服务恢复模式"启动windows2000,以管理员身份登录.(3)"开始"->"运行",输入"ntdsutil",启动命令行工具.(4)恢复整个active directory数据库,使用下列命令:authoritative restorerestore database恢复部分active directory数据,使用下列命令:authoritative restorerestore subtree ou=brien,dc=files,dc=com(红色部分要根据实际情况确定,比如你的域名字是,要恢复的ou是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推.恢复部分数据的方式有时用来恢复被删除的ou,如某域内有两个管理员,你和a,a有点菜 ,昨天晚上不小心把一个重要的ou给删除了,今天你就可以使用验证式恢复将这个ou给恢复过来,前提自然是你有这个ou被删除之前的备份.)使用quit命令退出,重新启动机器.。

Windows2000活动目录的修理和恢复-电脑资料Windows2000的使用过程中，我们会遇到AD由于意外被损坏的情况，那么我们用什么方法来恢复呢？下面我们就来讨论Active Directory修理和恢复，。

一、使用Ntdsutil来修理Active Directory根据系统的报错信息、系统日志或者应用程序的报错，你怀疑出错原因是域控制器上的Active Directory,这时候可能最先想到的是使用Ntdsutil来修复。

但是，我建议最好把他作为最后一个也是最为有用的一个方案。

如果你有一个系统的备份，最好使用备份来恢复系统，应该始终把使用备份恢复作为你首选的方案。

对目录服务数据库使用修复功能并不总能够达到预期的结果。

比如，如果真的数据库文件损坏了，即使使用Ntdsutil也是没有办法恢复所有的对象及其属性。

实际上，在某些情况下使用修复工具反而会造成更多的数据丢失，所以在尝试使用这种修复工具之前，注意把这个服务从网络中隔离开来，以避免影响到其他的域控制器的Active Directory复制。

在你确认修复后的服务器一切正常以后再连接到网络中来。

使用ntdsutil修复AD数据库。

（1）打开命令行提示符窗口，输入下面命令：Ntdsutil（2）出现Ntdsutil以后，输入以下命令：repair二、恢复Active Directory当其他一切努力都失败时，你可能会发现从AD的备份中恢复一个Win2000 DC(域控制器)是最有效的。

虽然要把Active Directory从一个备份恢复到一个域控制器上不是一件难事，但是在你进行任何恢复之前，你需要对你的网络体系和逻辑关系仔细考虑。

你应该考虑以下几个问题：是否本地的Active Directory 数据库损坏了，其他复制的域控制器是否也损坏了。

一个域控制器从你的备份中恢复，是否要覆盖其他的域控制器的Active Directory数据库信息。