WINDOWSSERVER从入门到精通之活动目录数据库的维护.docVIP

WINDOWS SERVER 2003从入门到精通之活动目录数据库的维护 2008-07-30 10:45 在一个域中有多个DC时,这些DC的AD数据库必须是一模一样的,这就需要DC之间的自动更新同步来完成(只是要考虑这几台DC的系统时间间隔问题而已).这些DC之间要维护相同的活动目录数据库,可以实现一定的可靠性和容错性. 那么还需要定期备份活动目录数据库吗?答案是肯定的. 因为在操作活动目录时,管理员有可能进行了误操作,如删除了某个部分的OU,而这种删除会很快复制到其他DC,要想还原被删除的OU,只能通过事前备份的文件. 案例：APTECH公司的域APTECH.COM有两个DC,为了应对活动目录受到误操作后能及时还原到正常状态，需要制定备份和还原活动目录数据库的计划,网管员在采用该计划之前需要测试其正确性. 1.首先要备份活动目录数据库 使用系统自带的NTBACKUP备份工具来进行系统状态的备份就能把AD数据库备份下来,因为系统状态包括:注册表（Registry）,COM+类注册数据库（COM+ Class Registration Database）,启动文件（Boot Files）,活动目录（Active Directory）,系统卷（SYSVOL）方法如下: 准备2台虚拟机,域名为APTECH.COM,一台DC1,一台DC2,两台DC都是APTECH.COM的域控制器,创建DC和辅助DC的步骤就不在此讲解了,可以参考我相关的文章学习-创建Windows域. 首先在任意一台DC上使用AD用户和计算机工具创建2个OU,分别为学术部,市场部.学术部OU下创建一个A用户,而市场部OU下创建一个B用户,等一会发现另一台DC的AD数据库上也有了相应的OU,自动完成了AD数据库的同步. 然后使用NTBACKUP进行系统备份: 使用高级模式: 选择备份系统状态: 查看备份文件: 2.活动目录还原 ??? a)活动目录数据库还原分为以下两种:??????? 非授权还原??????? 授权还原3.非授权还原：恢复活动目录到它备份时的状态 执行非授权还原后: ?????? 如果域中只有一个域控制器，在备份之后的任何修改都将丢失 ??????? 如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态. 执行非授权还原步骤方法如下:1）重启DC，在显示启动菜单时按F8键2）选择【目录服务还原模式】3）在登录提示符处，输入账户administrator，输入还原密码，进入系统4）使用备份工具还原系统状态数据5）重启DC 注意:备份完后,在任意一台DC上把学术部和市场部的两个OU都删除掉,并等待AD数据库同步,这时两个DC的AD数据库中都没有这两个OU了.但备份的文件中是有的,这个要记住! 那么大家想想,如果只有一个DC时,现在我还原了AD数据库,那么这两个OU应该回来,因为只有一个DC,没有数据的同步问题.但现在一个域中同时有2个DC,而且再备份完AD数据库后把这两个OU删除的,你会发现当你即使还原了AD数据库,这两个OU还是不会还原,这是因为你还原的AD数据库中确实是有这两个OU,但你要记住,当我们备份完后这两个OU才被删除的,按更新时间,删除OU是备份之后做的,更新时间应该是最新,并且我们删除的OU在另一台DC中还完成了数据同步.所以当在一台DC上还原AD时,从备份中会还原这两个OU,但还原后它会去和另一台DC去比较还原的数据是否是最新,结果不是,那么另一台DC跟它完成数据库同步时就会把这两个刚还原的OU做为旧数据给删除掉!这是我们要注意的! 还要注意的是默认情况下,在DC上删除的活动目录对象,会以墓碑的形式保留60天.在此期间执行还原是可以恢复该对象的.如果超过了此期限,则永久性删除该对象,所以大家应避免恢复60天之前的AD数据库,来避免AD的不完整! 所以备份完AD后,我们先删除两个OU,完成同步: 做完以上操作后,重起DC,按F8进入目录还原模式,进行AD数据库还原工作: 进入系统时要输入还原密码(还记得我们在创建AD过程中让输入一个还原密码吗?现在它可就起到作用了,记住这里输入的不是ADMINISTRATOR的登录密码): 选择还原刚才备份的系统状态: 还原成功后重起再进入正常模式,进入系统后检查是否有这两个OU存在! 结果刚开机时我们发现还原的这台DC上有这两个OU: 不过过了一段时间,等同步后,发现这两个OU被删除掉了: 另外需要注意:非还原模式还有一个好处就是当DC挂了的话,如果只有一个DC,但事先做过AD数据的备份工作,备份文件还在,那么我们怎样快速的完成AD的恢复工作呢?有人会去再找一台输入工作组的计算机先创建域,在使用目录还原.其实不用,我们直接找一台属于工作组的计算