域控制器灾难恢复方法

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

Windows域控制器的灾难恢复作者：胡磊来源：《科学与财富》2010年第05期一、概述安徽人民广播电台Link2000音频工作站系统就是建立在网络平台上的。

为了保证安全播出在这个网络中的公用光纤磁盘阵列柜(以下简称磁盘阵列)使用了2台安装了Windows2000 Advance Server操作系统的HP GL570服务器(Server1和Server2)。

两台服务器都可以成为主、备用服务器。

当其中一台服务器出现故障的时候,另一台服务器能够在最短时间内接管磁盘阵列。

保证整个音频工作站系统的正常运行并且有足够的时间来处理服务器故障。

两台服务器是基于Microsoft Cluster(群集)的结构,保证了系统的正常运作。

为了防止两台服务器同时出现故障以及磁盘阵列故障,在设计系统时我们还做了一台PC机和IDE磁盘柜作为出现故障时可以备用的第三备用,及时从光纤磁盘阵列复制数据库文件和必要的音频文件到IDE磁盘柜。

二、环境分析因为网络中所有的服务器和用户计算机都处在的域中。

主域控制器是SERVER1,SERVER2、SERVERBACK都是额外域控制器,其他用户计算机都是域成员。

逻辑图形如下:活动目录是构建Windows2000域的前提条件。

也就是说区别于NT网络只能构建单域模式,Windows2000支持域都是建立在活动目录上的。

所有域控制器之间都要互相传递活动目录信息,我台使用的是单域网络,所以域控制器之间复制的信息也可以称为域信息。

在域中SERVER1是主域控制器,其他控制器都是额外域控制器。

而构架主机、域命名主机、RID主机、主域控制器模拟器、基础结构主机这些主机角色一般都安放在主域控制器中,也就是这里所说的SERVER1中。

三、故障现象当时我们遇到的情况是这样的:SERVER1作为主域控制器和全局编录GC。

机器中构成RAID0的两块硬盘出现故障,其中日常引导的硬盘出现硬件故障不能引导机器,导致作为主域控制器河全局编录GC的SERVER1无法启动;而作为镜像的硬盘也被写入坏数据不能引导,启动时总是出现蓝屏。

活动目录：如何进行AD的灾难恢复由于下面这两个原因之一，Active Directory常常需要灾难恢复措施。

•数据库损坏•数据损坏1.数据库损坏数据库可能是因为下列原因之一而损坏的：磁盘损坏。

域控制器发生硬件故障，需要更换。

2.数据损坏我们假定数据是因为下列原因之一而损坏的：Active Directory 数据损坏，而这些数据已经复制到其他的域控制器。

错误删除 Active Directory 对象，而这些对象已经复制到该域/目录林的其他域控制器。

现在这些对象必须在 Active Directory 中恢复。

恢复Active Directory恢复Active Directory 的方法有两种。

您可以重新安装 Windows 2000，然后通过正常复制过程，重新导入 Active Directory。

另外一种方法就是从备份恢复Active Directory。

第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。

第二种方法是将 Active Directory 恢复为前一个已知状态（前次备份时的状态）。

通过重新安装和复制来恢复 Active Directory您可以在受损的系统上重新安装 Windows 2000 Server，把该服务器当作域控制器，然后在安装 Active Directory时，让正确信息自动复制，借此恢复域控制器。

通过WAN来安装Active Directory，可能会大量消耗可用的 WAN 带宽。

如果 Active Directory 很大，还会耗费许多时间。

若要解决这个问题，建议您在中央位置安装新的域控制器，然后将它运送到远程位置。

对于分支机构环境来说，这可能不是很好的方法。

因为它实质上是在远程位置安装新的域控制器，替代出故障的副本。

但这需要新的域控制器在 Active Directory 中作为域控制器升级过程的一部分来进行复制，会用很长时间。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）.登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。

建議您登入要指派FSMO 角色的網域控制站。

登入的使用者必須是要傳輸架構主機，或網域命名主機角色的企業系統管理員群組成員；或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色，其所在網域的網域系統管理員群組之成員。

.按一下[開始]，按一下[執行]，在[開啟]方塊中輸入ntdsutil，然後按一下[確定]。

.輸入roles，再按下ENTER。

.輸入connections，再按下ENTER。

.輸入connect to server servername，然後按ENTER，其中servername是您要指派FSMO 角色的網域控制站之名稱。

.在server connections提示字元中輸入q，然後按下ENTER。

.輸入seize role，其中role是您要抓取的角色。

第七章灾难恢复实验任务一：备份和还原域控制器的系统状态实验环境介绍实验准备（1）1人1组。

（2）准备1台Windows2003VM（为DC）。

（3）（3）VM网卡1块，类型为VMnet0，目的是使网络联通。

（4）实验室网络为192.168.1.0/24。

（5）IP设置分别为192.168.1.X/24(X由教员指定)。

（6）已经在域中创建5个OU以及用户账户（参见第4章的任务三）。

完成标准（1）备份DC的系统状态数据。

（2）还原成功DC的系统状态数据，能看到已被删除的用户账户。

操作步骤Step1在域控制器上备份系统状态。

（1）使用域管理员账户Administrator登录DC。

（2）打开“备份工具”，单击“备份”标签。

（3）选中系统状态（Sytem State）复选框。

（4）单击“开始备份”，按提示完成备份。

Step2删除某个域账户（1）域管理员Administrator打开“Active Directory 用户和计算机”。

（2）右击域账户StuY，选择“删除”，单击“是”按钮。

Step3在域控制器上还原系统状态（1）重启DC，在显示启动菜单时按F8键。

（2）选择“目录服务还原模式”。

（3）在登录提示符出，输入账号Administrator，输入还原密码，进入系统。

（4）单击“开始”—“程序”—“附件”—“系统工具”—“备份”，打开“还原和管理媒体”选项卡。

（5）单击适当的备份媒体和要还原的系统状态，单击“开始还原”按钮，按提示完成还原。

（6）重启DC。

Step4验证还原效果（1）使用域管理员账户Adminidtrator登录DC，打开“Active Directory用户和计算机”。

（2）查看域账户StuY是否存在。

任务二：指定备份任务计划实验环境介绍BENET公司服务器上的文件夹C：\doc，存储员工日常工作文档，需要定期做常规备份和差异备份。

每星期一22：00做常规备份，星期二到星期五22：00做差异备份。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。