AD域备份和恢复

1、ad 域备份和恢复 2009 年 05 月 11 日 星期一 16:20ad 的备份：依次点击“开始程序附件系统工具备份” ，在打开的“备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框。在选择“备份文件和设置”项后，点击“下一步”按钮进入“要备份的内容”对话框，选择“让我选择要备份的内容”项并点击“下一步”按钮。在“要备份的项目”对话框中依次展开“桌面我的电脑” ，勾选“system state”项在下一步的“备份类型、目标和名称”对话框中根据提示选择好备份文件的存储路径，并设置好备份文件的名称，点击“下一步”按钮。接着在打开的对话框中点击“完成”按钮。此时请中断计算机系

2、统中的其他操作，因为片刻后 ad 数据库的备份操作就会开始进行了。ad 的还原：还原 ad 数据库相对于 ad 数据库的备份操作，ad 数据库的还原操作就显得稍微有些复杂了。因为除了按备份向导的提示进行操作外，还需要进行一些额外的操作才能顺利完成还原。主要的原因是因为 ad 服务正常运行时，是不能够进行 ad 数据库还原操作的。所以 ad 数据库的还原操作应该按以下方式进行：1.进入目录服务还原模式重新启动计算机在进入初始画面前， 按 f8 键进入 windows 高级选项菜单界面。 此时可以通过键盘上的上下方向键选择“目录服务还原模式（只用于 windows 域控制器） ”项。在回车确认后，

3、 使用具有管理员权限的账户登录系统， 此时可以看出系统是处于安全模式的。2.使用还原向导在进入目录服务还原模式后， 依次点击 “开始程序附件系统工具备份” ， 在打开的 “备份或还原向导”对话框中点击“下一步”按钮进入“备份或还原”选择对话框，选择“还原文件和设置” 。在“还原项目”对话框中选中备份文件。在稍后弹出的界面中点击“完成”按钮。稍等片刻，系统将弹出一个警告提示框，点击“确定”按钮，确认数据库的覆盖操作即可开始 ad 数据库的还原。在完成还原操作后，点击对话框中的“关闭”按钮就可以结束了。最后将会弹出一个“备份工具”提示框，点击“是”按钮重新启动计算机即可。最后要提醒大家的是，有些朋

4、友还原 ad 数据库时会出现忘记当初设置的还原密码（添加 ad服务时设置）的情况，这个时候就无法进入目录还原模式了。遇到这种情况时请勿慌张，因为我们可以通过依次点击“开始运行” ，在弹出的运行栏中输入“ntdsutil”命令的方法，在弹出的窗口中进行进入目录还原模式密码的重设操作。活动目录之备份与恢复一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题， 我们一般把活动目录的备份和恢复分成两种情况:1、 整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制

5、器， 当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。 而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象， 那么对于这种情况， 备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到 windows 2003 自带的备份工具 ntbackup。点击“开始-运行” ，输入:“ntbackup”回车，也可以点击“开始 -程序-附件-备份” ，其实是一回

6、事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)” ，这时会出现一个备份向导:在这里请大家注意，直接点“取消” ，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个 c 盘的备份!以防止丢失一些其它的数据。在这里，我为了节省时间，就仅仅备份一下系统数据了:在上图的左下角， “备份媒体或文件名”里可以选择备份的路径，并且支持网络备份的。选择好备份文件的存放路径后，就可以点击“开始备份”了:点击“开始备份”后，会出现

7、如下画面:在上面的选项中，点击“计划” ，系统会提示你“保存当前备份设置” ，保存完成后，会出现下面的画面:在这里要输入正确的具有管理员权限的帐号和密码才可以，输入后点“确定” ，就会出现一个“计划的作业选项”:点击上述画面中的“属性”:在这里，可以设置计划作业，以方便系统以后自动按照计划进行备份，就不用一次次的手动备份了。设置完成后，就回到了刚刚的画面:这次点击“高级”:在这里，可选择一些如数据备份完成后验证其完整性之类的选项，这个大家可以根据需要进行选择，主要向大家简单介绍一下五个备份类型:正常:备份所有选择的文件夹和文件，不依赖于任何标记，但会清除标记副本:备份所有选择的文件夹和文件，不

8、依赖于任何标记，但不会清除标记增量:只备份选择的且有标记的文件夹和文件，但是会清除标记;差异:只备份选择的且有标记的文件夹和文件，且不清除标记;每日:以天为单位，每天发生变化的文件都会被备份;这五种备份类型具体如何应用，如何配合使用，请大家结合自己的实际情况决定。配置好这些备份参数以后，就可以进行备份操作了:整个备份时间还是比较长的， 大约要 20 分钟左右， 当然具体还要根据你的系统中的数据量来决定性的，在我这个实验环境里 10 分钟不到就 ok 了。备份完成后，我们可以在备份目录下找到这个备份文件，其大小为:537m。有人可能会问， 一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份

9、时候显示的信息的话，那么你就会知道，其实这个备份包括了三样东西:boot 信息、活动目录信息、及 system32 文件夹下的所有文件， 最大的就是那个 system32 文件夹， 所以 537m 就不足为奇了。ok，备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了，首先你得重新安装操作系统，在我这里由于用的是虚拟机，所以我只要把前面的更改删除就可以了。嘿嘿，用虚机就是有这种好处，什么时候物理机也可以这样就好了。然后在开机的时候按 f8:在这里，我们要选择，第七项:“目录服务还原模式(只用于 windows 域控制器)” ，真不知道这句话是微软找谁来翻译的，我觉得括号里的文

10、字应该翻译成 :“只用于恢复 windows域控制器”才比较合适，这句话不知道害过多少人，我就见过不少网络管理员是先把服务器提升为域控制器，然后再执行恢复操作，其实大家难道忘记了，我们刚刚备份的文件里有活动目录信息的。在 windows 的登陆窗口，如果你的服务器只是成员服务器，那么请输入本地管理员的密码，如果是域控制器，请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。继续点击“开始-运行” ，输入“ntbackup” ，并回车:这回可别再选择备份向导了，要用“还原向导(高级)”:点“下一步” ，出来如下画面:在“文件”上击右键:点击“文件编录”:输入备份文件所在的位置，然后确定:

11、然后点击“下一步”:在上述画面中确认无误的话，就可以点击“完成”了:在出来的警告窗口上点击“确定”:这个画面和备份的画面差不多吧?几分种后就可以完成， 完成后， 系统会要求你重新启动计算机。重启后，你就会发现这台成员服务器已经变成域控制器了，并且和以前的一模一样。2、 多域控制器环境下的活动目录恢复可能看到这个标题有人就会问，怎么一上来就讲恢复啊?不用备份吗?是的，如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过，从 windows2000 域开始，采用的是多宿主复制的机构，也就是所有的活动目录修改都会被复制到所有的域控制器上，所以是不需要备份的。只要看一下怎么

12、恢复就可以了。先来说明一下实验环境:域名:第一台域控制器:计算机名:ip:192.168.5.1子网掩码:255.255.255.0dns:192.168.5.1并且 fsmo 五种角色及 gc 全部在第一台域控上。第二台域控制器:计算机名:ip:192.168.5.2子网掩码:255.255.255.0dns:192.168.5.2灾难情况:第一台域控制器由于硬件原因，导致无法启动。这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了，我们的目的就是要让第二台额外域控制器来接替第一台的工作，也就是说把fsmo和 gc 全部转移到额外域控制器上来。这里要分成两步:

13、一、首先，要把第一台域控制器的所有信息从活动目录里面删除:(1)、点击“开始-运行” ，输入:“cmd”并回车，在命令提示符下输入:“ntdsutil” ，然后回车，如果你不是很清楚“ntdsutil”的使用方法，可以用“ ?”然后回车的方法来调用使用说明:在这里我们要选择“metadata cleanup -清理不使用的服务器的对象”然后依次输入下面的命令:然后我们要显示一下 site 中的域:结果找到两个，其中“1”是我建的子域，所以这里要先择“0”:通过上面的信息，我们可以看到两个服务器，其中 server 是我们要删除的， 因为它已经down 机了。所以这里要选择“0”:选中后，按“q

14、”退出到上一层菜单:在上图中点击“是”:然后再按 2 个“q”退出。(2)、使用 adsi edit 工具删除 active directory users and computers 中的 domaincontrollers 中欲删除服务器对象，adsi edit 在 support tools 工具包里，打开后，找到如下位置:击右键，然后选“删除”就可以了。(3)、在“管理工具”里，打开“ad 站点和服务” ，找到如下位置:把复制连接也删除了:以上有几个删除几个。二、把 fsmo 角色强行夺取过来。这里又要用到“ntdsutil”了:我们先要连接到目标服务器上:连接成功后，按“q”退出到上

15、层菜单，并且看一下帮助信息:请注意:这里有两种方法分别是 seize 和 transfer， 如果原来的 fsmo 角色的拥有者处于离线状态， 那么就要用 seize， 如果处于联机状态， 那么就要用 transfer。 在这里由于 server已经离线了，所以要用“seize”:这里是夺取 pdc 角色的图示，点“是” ，其它角色的也是一样的操作，最后退出。大家了为安全起见，可以运行一下我上次给转给大家的脚本:由上图可见， 所有的 fsmo 已经转移到 test20031 服务器上了。 最后就是把 gc 转移过来:在“管理工具”里，打开“ad 站点和服务” ，找到如下位置:在“属性”上单击:在“全局编录”前打外勾，然后确定退出就可以了。最后到客户端去修改一下 dns 服务器的位置，就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大