在Windows2000中,備份與恢復Active Directory是一項非常重要的工作。在NT中,所有有關用戶和企業配置方面的信息都存儲在注冊表中,因此我們只需要備份注冊表即可。但是在Windows2000中,所有的安全信息都存儲在Active Directory中,它的備份方法與在NT中是完全不同。
你不能單獨備份Active Directory,Windows2000將Active Directory做為系統狀態數據的一部分進行備份。系統狀態數據包括注冊表,系統啟動文件,類注冊數據庫,證書服務數據,文件復制服務,集群服務,域名服務和活動目錄8部分,通常情況下只前3部分。這8部分都不能單獨進行備份,必須做為系統狀態數據的一部分進行備份。
一.備份Active Directory數據
如果一個域內存在不止一台DC,當重新安裝其中的一台DC時備份Active Directory並不是必需的,你只需要將其中的一台DC從域中刪除,重新安裝,並使之回到域中,那麼另外的DC自然會將數據復制到這台DC上。
如果一個域內剩下最後一台DC,那就非常有必要對Active Directory進行備份。詳細過程如下:
1."開始"菜單->"運行",輸入"ntbackup",啟動win2000備份工具。
2.在"歡迎"標簽中使用"備份向導",在備份向導對話框選擇備份的內容頁面中選擇"只備份系統狀態數據",下一步。
3.在"備份保存的位置"頁面中輸入存放備份數據的文件名,如"d:bakAD0322。bkf",下一步,完成備份向導。如果要進行一些設置,如備份完成後驗證數據,請使用"高級"選項進行配置。
4.選擇"完成"開始備份,根據數據的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間。備份完畢系統會生成備份報表。
5.建議:通常備份的文件比較大,我備份了幾次都在250-300M之間,因此需要找一個大容量的空間存放。因為備份中包含非常敏感的賬號等方面的信息,因此備份的數據要妥善保存。
二.Active Directory的恢復
有兩種辦法可以恢復Active Directory。
第一種是從域的其它DC上恢復數據,前提是域內必須還有一台DC是可用的,這時當損壞的DC重新安裝並加入到它原來的域時,DC之間會自動進行數據復制,Active Directory隨之會恢復。
另一種方法就是從備份介質進行恢復。通常情況下,對於大多數小型公司來說,整個公司只有一個域,由於資金等諸方面的限制也只有一台DC,因此從介質恢復Active Directory是經常遇到的事情。
1.驗證方式和非驗證方式
從備份介質進行Active Directory恢復有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。
通常情況下,Windows2000使用非驗證方式恢復:Active Directory從備份介質中恢復以後,域內其它的DC會在復制過程中使用新的數據覆蓋舊的恢復過來的舊的數據。舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢復,那麼從星期三以來已經更改了的數據會復制到你正在恢復Active Directory的DC上,也就是新數據會覆蓋你使用備份恢復的數據。
驗證模式則完全不同,它會將從備份介質恢復過來的數據強行復制到域內所有的DC上,無論從備份以後數據是否發生了變化。還拿上面的例子來說,當你在星期五使用星期三的備份恢復了Active Directory後,這些恢復過來的數據會復制到域內所有的DC上,強行將備份後發生改變的所有數據覆蓋掉,域內數據就恢復到了備份時的狀態。驗證模式恢復Active Directory通常用於這種情況:Active Directory在域內某台DC上發生了嚴重的錯誤,而且這種錯誤通過復制擴散到了域內的其它DC上,這時就需要在某台DC上使用驗證方式恢復Active Directory,強制使域恢復到原來的好的狀態。應該說這種方式是用的比較多的一種恢復Active Directory的方式。
2.非驗證恢復Active Directory
要實現非驗證恢復,目錄服務必須處於離線狀態(備份Active Directory時目錄服務不必處於離線狀態)。為恢復Active Directory,你必須使用server處於"目錄服務恢復模式"。要做到這一點,需要重新啟動server,當屏幕提示你選擇操作系統時,按F8,啟動系統啟動高級菜單,選擇"目錄服務恢復模式"。
當Windows2000出現用戶登錄窗口時,輸入本地管理員賬戶和密碼(注意,不是在Active Directory中的管理員的賬號和密碼,因為這時Active Directory處於離線狀態,不可用。你只有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理員賬號和密碼進行登錄)。登錄成功後,你就可以進行恢復Active Directory的操作。
(1)啟動Windows2000自帶的備份程序:"開始"->"運行",輸入"ntbackup";
(2)在歡迎標簽中選擇"恢復向導",跳過歡迎畫面,備份程序會顯示可以用於數據恢復的備份集。
(3)選擇合適的備份文件,完成數據恢復。重新啟動機器即可。
(4)注意:通常情況下,你不能恢復60天以前備份的Active Directory數據,這是因為受Windows2000 tombstone lifetime(可以理解為生存時間吧,因為不能准確的翻譯出其含義,只好照搬上了。----滄海),除非你進行了設置。
3.驗證方式恢復Active Directory
為實現驗證方式恢復,你必須首先實現非驗證方式恢復,然後你可以使用NTDSUTIL命令行工具實現驗證式Active Directory恢復。驗證式恢復可以實現全部或部分Active Directory數據的恢復。
(1)使用非驗證方式恢復Active Directory,重新啟動機器。
(2)再次使用"目錄服務恢復模式"啟動Windows2000,以管理員身份登錄。
(3)"開始"->"運行",輸入"ntdsutil",啟動命令行工具。
(4)恢復整個Active Directory數據庫,使用下列命令:
authoritative restore
restore database
恢復部分Active Directory數據,使用下列命令:
authoritative restore
restore subtree ou=Brien,dc=files,dc=COM
紅色部分要根據實際情況確定,比如你的域名字是mydom。net,要恢復的OU是myou則第二行命令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢復部分數據的方式有時用來恢復被刪除的OU,如某域內有兩個管理員,你和A,A有點菜:),昨天晚上不小心把一個重要的OU給刪除了,今天你就可以使用驗證式恢復將這個OU給恢復過來,前提自然是你有這個OU被刪除之前的備份。
最後使用quit命令退出,重新啟動機器。