Windows Server活动目录项目式项目26 AD的备份与还原.ppt

项目26 AD的备份与还原 网络工程系 黄君羡 AD备份与还原 课程的内容 项目背景 EDU公司基于Windows Server 2012活动目录管理公司员工和计算机。活动目录的域控制器负责维护域服务，如果活动目录的域控制器由于硬件或软件方面原因不能正常工作时，用户将不能获得对所需资源的访问或者登录到网络上，更为重要的是它将导致公司网络中所有与AD相关的业务系统、生产系统等都会停滞。 通过定期对AD DS进行备份，那么当AD出现故障或问题时，就可以通过备份文件进行还原，修复故障或解决问题。因此，公司希望管理员定期备份AD活动目录服务，公司拓扑如图26-1所示。 相关知识 1、非授权还原： 非授权还原可以恢复到活动目录到它备份时的状态,执行非授权还原后,有如下两种情况： （1）如果域中只有一个域控制器,在备份之后的任何修改都将丢失.例如,备份后添加了一个OU,则执行还原后,新添加的OU不存在。 （2）如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态,例如,备份后添加了一个OU,则执行还原后,新添加的OU会从其他域控制器上复制过来,因此该OU还存在,如果备份后删除了一个OU,则执行还原后也不会恢复该OU,因为该OU的删除状态会从其他的域控制器上复制过来。 相关知识 2、非授权还原实际应用场景 如果企业的域控制器正常只是想要还原到之前的一个备份，使用非授权还原可以轻易完成。 如果企业的域控制器出现崩溃且无法修复时，可以将服务器重新安装系统并升级为域控制器（IP地址和计算机名不变），然后通过目录还原模式并利用之前备份的系统状态进行还原。 相关知识 3、授权还原 当企业部署了额外域控制器时，如果主域控制器的内容和额外域控制器的内容不相同时，他们怎样进行数据同步呢？当域控制器发现Active Directory 的内容不一致时，他们会通过比较AD的优先级来决定使用哪台DC的内容。 授权还原就是通过增加时间版本，使得AD1授权恢复的数据变得更新而实现将误操作的数据推送给其它AD，而还原点时间之后新增加的操作由于并不在备份文件中，会从其它DC重新写入到AD1中。 相关知识 Active Directory 的优先级比较主要考虑以下三个方面的因素： （1）版本号：版本号指的是 Active Directory 对象修改时增加的值，版本号高者优先。例如域中有两个域控制器 DC1和DC2，当DC1创建了一个用户，版本号会随之增加，所以DC2会和DC1进行版本号比较，发现DC1的版本号要高些，所以DC2就会向DC1同步Active Director内容。 （2）时间：如果 DC1 和 DC2两个域控制器同时对同一对象进行操作，由于操作间隔相关很小，系统还来不及同步数据，因此它的版本号就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。 （3）GUID：如果 DC1和DC2两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的 GUID 了，显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见，因此 GUID 这个因素只是一个备选方案。 相关知识 3、授权还原实际应用场景 当企业部署了多台域控制器时，如果想通过还原来恢复之前被误删的对象时可以使用授权还原。 如果企业有多台域控制器当你将一台域控制器还原至一个旧的还原点时，之前的误删对象会暂时被还原，但是因为这台域控制器被还原到了一个旧的还原点，当接入域网络时，便会和其他域控制器进行版本比较，发现自己的版本较低便会同步其他域控制器的AD内容，将还原回来的对象再次删除，这样便无法还原被误删的对象。如果可以通过授权还原，也就是通过更改需要还原的对象的版本号，将其的值增加10万，使得他的版本号非常的高，当接入到网络时，其他的AD域将会因为版本低而同步这个对象，从而实现误删对象的还原。 我问你答 (1) 什么是授权还原，它的应用场景是？ (2) 什么是非授权还原，它的应用场景是？ 项目实训题 按本项目完成验证实训。 * *