在Windows2000中,備份與恢復(fù)Active Directory是一項非常重要的工作。在NT中,所有有關(guān)用戶和企業(yè)配置方面的信息都存儲在注冊表中,因此我們只需要備份注冊表即可。但是在Windows2000中,所有的安全信息都存儲在Active Directory中,它的備份方法與在NT中是完全不同。
　　　　你不能單獨備份Active Directory,Windows2000將Active Directory做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊表,系統(tǒng)啟動文件,類注冊數(shù)據(jù)庫,證書服務(wù)數(shù)據(jù),文件復(fù)制服務(wù),集群服務(wù),域名服務(wù)和活動目錄8部分,通常情況下只前3部分。這8部分都不能單獨進行備份,必須做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。
　　一.備份Active Directory數(shù)據(jù)
　　　　如果一個域內(nèi)存在不止一臺DC,當(dāng)重新安裝其中的一臺DC時備份Active Directory并不是必需的,你只需要將其中的一臺DC從域中刪除,重新安裝,并使之回到域中,那么另外的DC自然會將數(shù)據(jù)復(fù)制到這臺DC上。
　　　　如果一個域內(nèi)剩下最后一臺DC,那就非常有必要對Active Directory進行備份。詳細過程如下:
　　　　1."開始"菜單->"運行",輸入"ntbackup",啟動win2000備份工具。
　　　　2.在"歡迎"標簽中使用"備份向?qū)?quot;,在備份向?qū)υ捒蜻x擇備份的內(nèi)容頁面中選擇"只備份系統(tǒng)狀態(tài)數(shù)據(jù)",下一步。
　　　　3.在"備份保存的位置"頁面中輸入存放備份數(shù)據(jù)的文件名,如"d:akAD0322。bkf",下一步,完成備份向?qū)АＨ绻M行一些設(shè)置,如備份完成后驗證數(shù)據(jù),請使用"高級"選項進行配置。
　　　　4.選擇"完成"開始備份,根據(jù)數(shù)據(jù)的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間。備份完畢系統(tǒng)會生成備份報表。
　　　　5.建議:通常備份的文件比較大,我備份了幾次都在250-300M之間,因此需要找一個大容量的空間存放。因為備份中包含非常敏感的賬號等方面的信息,因此備份的數(shù)據(jù)要妥善保存。
　　二.Active Directory的恢復(fù)
　　　　有兩種辦法可以恢復(fù)Active Directory。
　　　　第一種是從域的其它DC上恢復(fù)數(shù)據(jù),前提是域內(nèi)必須還有一臺DC是可用的,這時當(dāng)損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行數(shù)據(jù)復(fù)制,Active Directory隨之會恢復(fù)。
　　　　另一種方法就是從備份介質(zhì)進行恢復(fù)。通常情況下,對于大多數(shù)小型公司來說,整個公司只有一個域,由于資金等諸方面的限制也只有一臺DC,因此從介質(zhì)恢復(fù)Active Directory是經(jīng)常遇到的事情。
　　1.驗證方式和非驗證方式
　　　　從備份介質(zhì)進行Active Directory恢復(fù)有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。
　　　　通常情況下,Windows2000使用非驗證方式恢復(fù):Active Directory從備份介質(zhì)中恢復(fù)以后,域內(nèi)其它的DC會在復(fù)制過程中使用新的數(shù)據(jù)覆蓋舊的恢復(fù)過來的舊的數(shù)據(jù)。舉個例子,假設(shè)今天是星期五,你使用了星期三的備份對Active Directory進行了恢復(fù),那么從星期三以來已經(jīng)更改了的數(shù)據(jù)會復(fù)制到你正在恢復(fù)Active Directory的DC上,也就是新數(shù)據(jù)會覆蓋你使用備份恢復(fù)的數(shù)據(jù)。
　　驗證模式則完全不同,它會將從備份介質(zhì)恢復(fù)過來的數(shù)據(jù)強行復(fù)制到域內(nèi)所有的DC上,無論從備份以后數(shù)據(jù)是否發(fā)生了變化。還拿上面的例子來說,當(dāng)你在星期五使用星期三的備份恢復(fù)了Active Directory后,這些恢復(fù)過來的數(shù)據(jù)會復(fù)制到域內(nèi)所有的DC上,強行將備份后發(fā)生改變的所有數(shù)據(jù)覆蓋掉,域內(nèi)數(shù)據(jù)就恢復(fù)到了備份時的狀態(tài)。驗證模式恢復(fù)Active Directory通常用于這種情況:Active Directory在域內(nèi)某臺DC上發(fā)生了嚴重的錯誤,而且這種錯誤通過復(fù)制擴散到了域內(nèi)的其它DC上,這時就需要在某臺DC上使用驗證方式恢復(fù)Active Directory,強制使域恢復(fù)到原來的好的狀態(tài)。應(yīng)該說這種方式是用的比較多的一種恢復(fù)Active Directory的方式。
　　2.非驗證恢復(fù)Active Directory
　　
　　　要實現(xiàn)非驗證恢復(fù),目錄服務(wù)必須處于離線狀態(tài)(備份Active Directory時目錄服務(wù)不必處于離線狀態(tài))。為恢復(fù)Active Directory,你必須使用server處于"目錄服務(wù)恢復(fù)模式"。要做到這一點,需要重新啟動server,當(dāng)屏幕提示你選擇操作系統(tǒng)時,按F8,啟動系統(tǒng)啟動高級菜單,選擇"目錄服務(wù)恢復(fù)模式"。
　　　　當(dāng)Windows2000出現(xiàn)用戶登錄窗口時,輸入本地管理員賬戶和密碼(注意,不是在Active Directory中的管理員的賬號和密碼,因為這時Active Directory處于離線狀態(tài),不可用。你只有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理員賬號和密碼進行登錄)。登錄成功后,你就可以進行恢復(fù)Active Directory的操作。
　　　　(1)啟動Windows2000自帶的備份程序:"開始"->"運行",輸入"ntbackup";
　　　　(2)在歡迎標簽中選擇"恢復(fù)向?qū)?quot;,跳過歡迎畫面,備份程序會顯示可以用于數(shù)據(jù)恢復(fù)的備份集。
　　　　(3)選擇合適的備份文件,完成數(shù)據(jù)恢復(fù)。重新啟動機器即可。
　　　　(4)注意:通常情況下,你不能恢復(fù)60天以前備份的Active Directory數(shù)據(jù),這是因為受Windows2000 tombstone lifetime(可以理解為生存時間吧,因為不能準確的翻譯出其含義,只好照搬上了。----滄海),除非你進行了設(shè)置。
　　3.驗證方式恢復(fù)Active Directory
　　　　為實現(xiàn)驗證方式恢復(fù),你必須首先實現(xiàn)非驗證方式恢復(fù),然后你可以使用NTDSUTIL命令行工具實現(xiàn)驗證式Active Directory恢復(fù)。驗證式恢復(fù)可以實現(xiàn)全部或部分Active Directory數(shù)據(jù)的恢復(fù)。
　　
　　　　(1)使用非驗證方式恢復(fù)Active Directory,重新啟動機器。
　　　　(2)再次使用"目錄服務(wù)恢復(fù)模式"啟動Windows2000,以管理員身份登錄。
　　　　(3)"開始"->"運行",輸入"ntdsutil",啟動命令行工具。
　　　　(4)恢復(fù)整個Active Directory數(shù)據(jù)庫,使用下列命令:
　　　　authoritative restore
　　　　restore database
　　　　恢復(fù)部分Active Directory數(shù)據(jù),使用下列命令:
　　　　authoritative restore
　　　　restore subtree ou=Brien,dc=files,dc=COM
　　　　紅色部分要根據(jù)實際情況確定,比如你的域名字是mydom。net,要恢復(fù)的OU是myou則第二行命令應(yīng)該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢復(fù)部分數(shù)據(jù)的方式有時用來恢復(fù)被刪除的OU,如某域內(nèi)有兩個管理員,你和A,A有點菜:),昨天晚上不小心把一個重要的OU給刪除了,今天你就可以使用驗證式恢復(fù)將這個OU給恢復(fù)過來,前提自然是你有這個OU被刪除之前的備份。
　　　　最后使用quit命令退出,重新啟動機器。