在Windows2000中,備份與恢復(fù)Active Directory是一項非常重要的工作.在NT中,所有有關(guān)用戶和企業(yè)配置方面的信息都存儲在注冊表中,因此我們只需要備份注冊表即可.但是在Windows2000中,所有的安全信息都存儲在Active Directory中,它的備份方法與在NT中是完全不同.
你不能單獨備份Active Directory,Windows2000將Active Directory做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份.系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊表,系統(tǒng)啟動文件,類注冊數(shù)據(jù)庫,證書服務(wù)數(shù)據(jù),文件復(fù)制服務(wù),集群服務(wù),域名服務(wù)和活動目錄8部分,通常情況下只前3部分.這8部分都不能單獨進行備份,必須做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份.
一.備份Active Directory數(shù)據(jù).
如果一個域內(nèi)存在不止一臺DC,當(dāng)重新安裝其中的一臺DC時備份Active Directory并不是必需的,你只需要將其中的一臺DC從域中刪除,重新安裝,并使之回到域中,那么另外的DC自然會將數(shù)據(jù)復(fù)制到這臺DC上.
如果一個域內(nèi)剩下最后一臺DC,那就非常有必要對Active Directory進行備份.詳細(xì)過程如下:
1."開始"菜單->"運行",輸入"ntbackup",啟動win2000備份工具.
2.在"歡迎"標(biāo)簽中使用"備份向?qū)?/SPAN>",在備份向?qū)υ捒蜻x擇備份的內(nèi)容頁面中選擇"只備份系統(tǒng)狀態(tài)數(shù)據(jù)",下一步.
3.在"備份保存的位置"頁面中輸入存放備份數(shù)據(jù)的文件名,如"d:\bak\AD0322.bkf",下一步,完成備份向?qū)?/SPAN>.如果要進行一些設(shè)置,如備份完成后驗證數(shù)據(jù),請使用"高級"選項進行配置.
4.選擇"完成"開始備份,根據(jù)數(shù)據(jù)的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間.備份完畢系統(tǒng)會生成備份報表.
5.建議:通常備份的文件比較大,我備份了幾次都在250
二.Active Directory的恢復(fù)
有兩種辦法可以恢復(fù)Active Directory.
第一種是從域的其它DC上恢復(fù)數(shù)據(jù),前提是域內(nèi)必須還有一臺DC是可用的,這時當(dāng)損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行數(shù)據(jù)復(fù)制,Active Directory隨之會恢復(fù).
另一種方法就是從備份介質(zhì)進行恢復(fù).通常情況下,對于大多數(shù)小型公司來說,整個公司只有一個域,由于資金等諸方面的限制也只有一臺DC,因此從介質(zhì)恢復(fù)Active Directory是經(jīng)常遇到的事情.
1.驗證方式和非驗證方式
從備份介質(zhì)進行Active Directory恢復(fù)有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore).
通常情況下,Windows2000使用非驗證方式恢復(fù):Active Directory從備份介質(zhì)中恢復(fù)以后,域內(nèi)其它的DC會在復(fù)制過程中使用新的數(shù)據(jù)覆蓋舊的恢復(fù)過來的舊的數(shù)據(jù).舉個例子,假設(shè)今天是星期五,你使用了星期三的備份對Active Directory進行了恢復(fù),那么從星期三以來已經(jīng)更改了的數(shù)據(jù)會復(fù)制到你正在恢復(fù)Active Directory的DC上,也就是新數(shù)據(jù)會覆蓋你使用備份恢復(fù)的數(shù)據(jù).
驗證模式則完全不同,它會將從備份介質(zhì)恢復(fù)過來的數(shù)據(jù)強行復(fù)制到域內(nèi)所有的DC上,無論從備份以后數(shù)據(jù)是否發(fā)生了變化.還拿上面的例子來說,當(dāng)你在星期五使用星期三的備份恢復(fù)了Active Directory后,這些恢復(fù)過來的數(shù)據(jù)會復(fù)制到域內(nèi)所有的DC上,強行將備份后發(fā)生改變的所有數(shù)據(jù)覆蓋掉,域內(nèi)數(shù)據(jù)就恢復(fù)到了備份時的狀態(tài).驗證模式恢復(fù)Active Directory通常用于這種情況:Active Directory在域內(nèi)某臺DC上發(fā)生了嚴(yán)重的錯誤,而且這種錯誤通過復(fù)制擴散到了域內(nèi)的其它DC上,這時就需要在某臺DC上使用驗證方式恢復(fù)Active Directory,強制使域恢復(fù)到原來的好的狀態(tài).應(yīng)該說這種方式是用的比較多的一種恢復(fù)Active Directory的方式.
2.非驗證恢復(fù)Active Directory
要實現(xiàn)非驗證恢復(fù),目錄服務(wù)必須處于離線狀態(tài)(備份Active Directory時目錄服務(wù)不必處于離線狀態(tài)).為恢復(fù)Active Directory,你必須使用server處于"目錄服務(wù)恢復(fù)模式".要做到這一點,需要重新啟動server,當(dāng)屏幕提示你選擇操作系統(tǒng)時,按F8,啟動系統(tǒng)啟動高級菜單,選擇"目錄服務(wù)恢復(fù)模式".
當(dāng)Windows2000出現(xiàn)用戶登錄窗口時,輸入本地管理員賬戶和密碼(注意,不是在Active Directory中的管理員的賬號和密碼,因為這時Active Directory處于離線狀態(tài),不可用.你只有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理員賬號和密碼進行登錄).登錄成功后,你就可以進行恢復(fù)Active Directory的操作.
(1)啟動Windows2000自帶的備份程序:"開始"->"運行",輸入"ntbackup";
(2)在歡迎標(biāo)簽中選擇"恢復(fù)向?qū)?/SPAN>",跳過歡迎畫面,備份程序會顯示可以用于數(shù)據(jù)恢復(fù)的備份集.
(3)選擇合適的備份文件,完成數(shù)據(jù)恢復(fù).重新啟動機器即可.
(4)注意:通常情況下,你不能恢復(fù)60天以前備份的Active Directory數(shù)據(jù),這是因為受Windows2000 tombstone lifetime(可以理解為生存時間吧,因為不能準(zhǔn)確的翻譯出其含義,只好照搬上了.----滄海),除非你進行了設(shè)置.
3.驗證方式恢復(fù)Active Directory
為實現(xiàn)驗證方式恢復(fù),你必須首先實現(xiàn)非驗證方式恢復(fù),然后你可以使用NTDSUTIL命令行工具實現(xiàn)驗證式Active Directory恢復(fù).驗證式恢復(fù)可以實現(xiàn)全部或部分Active Directory數(shù)據(jù)的恢復(fù).
(1)使用非驗證方式恢復(fù)Active Directory,重新啟動機器.
(2)再次使用"目錄服務(wù)恢復(fù)模式"啟動Windows2000,以管理員身份登錄.
(3)"開始"->"運行",輸入"ntdsutil",啟動命令行工具.
(4)恢復(fù)整個Active Directory數(shù)據(jù)庫,使用下列命令:
authoritative restore
restore database
恢復(fù)部分Active Directory數(shù)據(jù),使用下列命令:
authoritative restore
restore subtree ou=Brien,dc=files,dc=COM
使用quit命令退出,重新啟動機器.
