域控制器备份与恢复

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

域服务器备份和恢复1 目的在公司的局域网中，域控服务器控制着客户机共享局域网资源和对外部网络的访问，角色非常重要。

为了保证域控制服务器系统故障后，能够第一时间恢复域控服务器系统，提高恢复域控服务器系统的工作效率，避免重新安装域控服务器导致客户机需要重新加域等麻烦，特编写本说明。

2 系统备份与恢复公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色，其中AD服务和DNS服务可以通过备份系统状态一起备份。

在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份和服务器磁盘镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS和DHCP服务，这3个服务每30备份一次，备份文件名称加日期，分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹，然后每次用脱机磁盘再备份一次这3个文件夹。

2.1 AD服务备份与恢复1、备份方案AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。

其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非Windows2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端）、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。

系统状态是相互依赖的系统组件的集合，包括系统启动文件、系统注册表、COM+类的注册数据库。

当备份系统状态时，AD会作为其中的一部分进行备份，所以我们选择系统自带备份工具（ntbackup）备份系统状态来备份AD。

域服务器备份和恢复操作手册备份和恢复AD DS 的步骤备份和恢复过程：∙安装Windows Server Backup∙执行域控制器的关键卷备份∙执行域控制器的完整服务器备份∙计划对域控制器进行备份∙对AD DS 执行非权威还原安装Windows Server Backup默认情况下不安装Windows Server Backup。

可以使用服务器管理器中的“添加功能向导”来安装Windows Server Backupg包括命令行所需要的工具windows PowerShell。

Windows Server Backup 命令行工具还需要您在同一台计算机上安装Windows PowerShell 功能。

如果在尝试安装Windows Server Backup 命令行工具时未安装Windows PowerShell 功能，系统会提示安装此功能。

安装后，可以单击“管理工具”菜单上的Windows Server Backup来管理备份和恢复操作并使用Wbadmin.exe 从命令行运行备份命令。

执行域控制器的关键卷备份可以随时对AD DS 执行未计划的（“一次性备份”）备份。

使用下列方法执行此过程：∙使用GUI 对关键卷执行未计划的备份(Windows Server Backup)∙使用命令行对关键卷执行未计划的备份使用GUI 对关键卷执行未计划的备份(Windows ServerBackup)使用Windows Server Backup备份关键卷。

操作管理凭据执行备份所需要的用户必须是Builtin Administrators 组或Backup Operators 组的成员才能执行此过程。

使用GUI 对关键卷执行未计划备份的步骤1.单击“开始”，指向“管理工具”，然后单击“Windows Server Backup”。

2.在“操作”菜单中，单击“一次性备份”。

3.在一次性备份向导的“备份选项”页上，单击“不同选项”，然后单击“下一步”。

域控制器的好处是可以帮助网络管理员轻松地管理网络中的电脑和用户，防止用户进行非法操作。

当一台域控制器崩溃后，如果说网络中的电脑和用户不多，那么还可以通过重新配置的方法来处理。

如果网络中有上百台电脑怎么办，你难道可以记得原来的所有配置吗？那么唯一的方法是在对域控制器进行每次配置后，都做一次备份。

下面就告诉大家如何进行域控制器的备份和还原。

域控制器的备份步骤在域控制器的：开始-运行当中输入“Ntbcakup”命令敲回车，我们可以看到系统的备份还原向导界面，如下图所示：在这里单击“备份向导”按钮，弹出备份系统的界面，这里选择“system state”文件进行备份，单击“浏览”按钮指定备份的文件夹路径，如图所示；单击“开始备份”按钮，这里开始备份的过程，这里时间较长大概在半个小时左右，如图所示：域控制器的还原步骤恢复的过程也非常简单，需要重新启动操作，开机时按F8进入启动项选择菜单，选择“目录服务器还原模式”选项，单击回车进入系统，如图：启动操作系统这里进入登陆对话框，这里需要注意的是这里所说提到的管理员密码不是当前的管理员密码，是当初建立域控制器时的域控制器恢复密码，如图所示：这一步同样在开始-运行中输入“NTBACKUP”命令启动系统备份还原向导，如图：点击“还原向导”按钮弹出还原向导界面，点击“浏览”按钮找到我们备份的活动目录数据库单击选择，在“还原的项目”区域勾选文件，如图所示：单击“下一步”按钮，弹出“完成还原向导”对话框，如图：单击“高级”按钮，弹出“还原位置”对话框，这里选择“原来位置”选项，单击“下一步”按钮，弹出警告对话框点击“确定”按钮，如图：这里选择“替换现有文件”选项，单击“下一步”按钮，如图：这里按默认，单击“下一步”按钮，如图：单击“完成”按钮，还原向导设置完成，如图：这一步大概半个小时会还原完成。

这时可以重新启动系统再次进入“活动目录恢复”模式启动，当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

如何对域控进⾏备份？环境可以分为单域单域控、单域多域控、以及多域多域控，⽆论是哪种情况备份⽅法都不⼀样。

对于单域单域控环境对于单域单域控，指的是整个⽹络⾥⾯就只有⼀台域控制器，这种情况可能⾮常常见，但是是⾮常危险的，⼀旦这台服务器出现问题，并且如果没有完善的备份的话，就⾮常⾮常危险，极有可能整个活动⽬录数据库丢失，你的域就要重建。

所以强烈建议安装另外⼀台域控作为备份，即使当第⼀台主域控有问题后，额外域控能够马上切换过来顶替主域控的⼯作（当然不是⾃动的）。

当然，理想与现实的差距总归是有的。

由于各种原因，在⽹络⾥⾯我们也只能使⽤这唯⼀的域控。

对于这样的域控，我们备份的地⽅有：1. 1. 操作系统的备份2. 2. AD数据库的备份基于这两种需求，我们可以1. 1. 对于刚刚安装好的域控或者有进⾏过重⼤更新（软件、硬件、或者⽐如批量添加过⼤量⽤户的的活动）都使⽤NTbackup做⼀次ASR2. 2. 对于AD数据库的备份，我们也可以使⽤NTBackup设计计划任务来周期性的备份系统状态(System State)对于还原：1. 1. 如果是硬件等各种问题造成操作系统都⽆法启动，我们使⽤ASR来还原整个操作系统，然后再⽤NTBackup+最新的系统状态（SystemState)来还原AD数据库2. 2. 如果是域控操作系统能够启动，只是发现AD数据库有问题，我们可以采⽤开机的时候按F8进⼊“⽬录服务还原模式（只适⽤于Windows域控制器）”，然后对⽬录服务进⾏还原。

对于单域多域控环境备份起来相对简单，并且相对单域单域控⽽⾔，多了⼀重保障，这些域控之间的⽬录服务是相互备份的。

但是这些域控并不是完全相同的，他们都有不同的⾓⾊，⼀共有5中操作主机⾓⾊。

设想这样的⼀种情况，有两台DC,第⼀台主DC，FSMO五种⾓⾊以及GC都作⽤在这⾥第⼆台DC，作为备份域控。

现在是第⼀台DC由于各种问题，起不了了，也没有办法恢复（硬件问题等）我们就是需要把第⼆台域控来接替第⼀台⼯作，把FSMO和GC转移到第⼆台上。

BESR备份与恢复DCContents任务 (1)环境 (1)步骤 (2)备份系统 (2)恢复系统 (6)1、从本地文件恢复 (6)2、从网盘恢复 (6)恢复之后的状态 (10)结果 (12)总结： (12)任务1、BESR备份前，DC上有用户a1,a2,a32、BESR备份前，DC上有共享1.txt，2.txt3、恢复DC2，此时，DC上只有a1,a2,1.txt4、要求恢复之后，DC上只有a1,a2,1.txt5、在DC2上建立a4,可以同步6、在DC2上创建3.txt，可以同步环境DC1,DC2备份前状态：user\pwd:administrator\，备份后状态：user\pwd:administrator\123，安装SYSTEM RECOVERY在DC2上步骤备份系统完成备份设置备注：∙备份之后会产生两个文件，DC2.sv2i和dc2_C_Drive001.v2i，∙下次备份时，DC2.sv2i文件不发生变化，dc2_C_Drive001.v2i依据备份的次数进行变化，命名方法为dc2_C_Drive00X.v2i(X表示第几次备份)恢复系统1、从本地文件恢复2、从网盘恢复1、从光驱启动，放入恢复盘，进入如下界面2、配置网络参数3、映射网络驱动器4、输入凭证5、完成网络驱动器映射6、选择内容7、完成恢复之后的状态，（DC1没有开启）登录DC2，空密码提示错误，密码输入123，进入系统打开活动目录计算机和用户，在用户中看到用户a1,a2,a3。

这是我们不希望看到的。

打开NETLOGON目录，查看当前的文档，发现1.txt和2.txt都存在，这也不是我们希望看到的然后开启DC1，我们来看一下同步之后的结果，发现用户a3已经不存在了结果1、通过BESR恢复系统正常2、恢复后的状态中存在用户a1,a2,a33、恢复后文件夹NETLOGON中存在1.txt和2.txt4、同步之后，DC2中只有用户a1,a25、同步之后NETLOGON中的文件没发生变化6、在DC2中的活动目录发生的变化，将会在整个目录中进行更新总结：使用BESR恢复域控制器后，数据完全恢复，服务器可正常工作。

中央域控制器功能安全要求
中央域控制器（Central Domain Controller）是一种网络设备，负责管理、控制和认证与其连接的计算机和用户。

功能安全要求是指在设计和运行域控制器时需要满足的安全性要求。

以下是一些常见的中央域控制器功能安全要求：
1. 访问控制：域控制器应该能够识别和验证可信任实体的身份，并根据其权限级别控制其对系统资源的访问。

2. 身份认证和授权：域控制器应该支持强身份认证机制，并能够为各个用户分配合适的权限和角色。

3. 审计和日志记录：域控制器应该能够记录所有的系统活动和事件，并能够生成相应的审计日志供后续分析和调查使用。

4. 机密性和数据保护：域控制器应该能够对用户数据和系统配置信息进行加密和保护，以防止未经授权的访问和泄露。

5. 可靠性和可用性：域控制器应该具有高可靠性和可用性，以确保网络的正常运行和业务连续性。

6. 代码和配置审查：域控制器的软件代码和配置应该经过审查，以确保其不含有安全漏洞和隐患。

7. 威胁检测和防护：域控制器应该具备威胁检测和防护能力，能够及时识别和应对可能的安全威胁和攻击。

8. 恢复和备份：域控制器应该具备恢复和备份功能，以防止数据丢失和系统故障导致的服务中断。

以上是中央域控制器的一些功能安全要求，具体要求的复杂程度和实施方式可能因组织的具体需求和标准要求而有所不同。