WINDOWSSERVER2003从入门到精通之活动目录数据库维护.pdfVIP

WINDOWS SERVER 2003 从入门到精通之活动目录数据库的维护 在一个域中有多个DC 时,这些DC 的AD 数据库必须是一模一样的,这就需要DC 之间的自动更新同步来完 成(只是要考虑这几台DC 的系统时间间隔问题而已).这些DC之间要维护相同的活动目录数据库,可以实现 一定的可靠性和容错性. 那么还需要定期备份活动目录数据库吗?答案是肯定的. 因为在操作活动目录时,管理员有可能进行了误操作,如删除了某个部分的OU,而这种删除会很快复制到其 他DC,要想还原被删除的OU,只能通过事前备份的文件. 案例： APTECH 公司的域APTECH.COM 有两个DC,为了应对活动目录受到误操作后能及时还原到正常状态，需 要制定备份和还原活动目录数据库的计划,网管员在采用该计划之前需要测试其正确性. 1.首先要备份活动目录数据库 使用系统自带的NTBACKUP 备份工具来进行系统状态的备份就能把AD 数据库备份下来,因为系统状 态包括:注册表（Registry）,COM+类注册数据库（COM+ Class Registration Database）,启动文件 （Boot Files）,活动目录（Active Directory）,系统卷（SYSVOL）方法如下: 准备2 台虚拟机,域名为APTECH.COM,一台DC1,一台DC2,两台DC 都是APTECH.COM 的域控制器, 创建DC 和辅助DC 的步骤就不在此讲解了,可以参考我相关的文章学习-创建Windows 域. 首先在任意一台DC 上使用AD 用户和计算机工具创建2 个OU,分别为学术部,市场部.学术部OU 下 创建一个A 用户,而市场部OU 下创建一个B用户,等一会发现另一台DC 的AD 数据库上也有了相应的OU, 自动完成了AD 数据库的同步. 然后使用NTBACKUP 进行系统备份: 使用高级模式: 选择备份系统状态: 查看备份文件: 2.活动目录还原 a)活动目录数据库还原分为以下两种: 非授权还原 授权还原 3.非授权还原：恢复活动目录到它备份时的状态 执行非授权还原后: 如果域中只有一个域控制器，在备份之后的任何修改都将丢失 如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态. 执行非授权还原步骤方法如下: 1）重启DC，在显示启动菜单时按F8 键 2）选择【目录服务还原模式】 3）在登录提示符处，输入账户administrator，输入还原密码，进入系统 4）使用备份工具还原系统状态数据 5）重启DC 注意:备份完后,在任意一台DC上把学术部和市场部的两个OU 都删除掉,并等待AD 数据库同步,这时两个 DC 的AD 数据库中都没有这两个OU 了.但备份的文件中是有的,这个要记住! 那么大家想想,如果只有一个DC 时,现在我还原了AD 数据库,那么这两个OU 应该回来,因为只有一个DC, 没有数据的同步问题.但现在一个域中同时有2 个DC,而且再备份完AD 数据库后把这两个OU 删除的,你 会发现当你即使还原了AD 数据库,这两个OU 还是不会还原,这是因为你还原的AD 数据库中确实是有这 两个OU,但你要记住,当我们备份完后这两个OU才被删除的,按更新时间,删除OU 是备份之后做的,更新时 间应该是最新,并且我们删除的OU 在另一台DC 中还完成了数据同步.所以当在一台DC 上还原AD 时,从 备份中会还原这两个OU,但还原后它会去和另一台DC 去比较还原的数据是否是最新,结果不是,那么另一 台DC 跟它完成数据库同步时就会把这两个刚还原的OU 做为旧数据给删除掉!这是我们要注意的! 还要注意的是默认情况下,在DC 上删除的活动目录对象,会以墓碑的形式保留60 天.在此期间执行还原是 可以恢复该对象的.如果超过了此期限,则永久性删除该对象,所以大家应避免恢复60 天之前的AD 数据库, 来避免AD 的不完整! 所以备份完AD 后,我们先删除两个OU,完成同步: 做完以上操作后,重起DC,按F8 进入目录还原模式,进行AD 数据库还原工作: 进入系统时要输入还原密码(还记得我们在创建AD 过程中让输入一个还原密码吗?现在它可就起到作用 了,记住这里输入的不是ADMINISTRATOR 的登录密码): 选择还原刚才备份的系统状态: 还原成功后重起再进入正常模式,进入系统后检查是否有这两个OU 存在! 结果刚开机时我们发现还原的这台DC 上有这两个OU: 不过过了一段时间,等同步后,发现这两个OU 被删除掉了: 另外需要注意:非还原模式还有一个好处就是当DC