环境可以分为单域单域控、单域多域控、以及多域多域控,无论是哪种情况备份方法都不一样。
对于单域单域控环境
对于单域单域控,指的是整个网络里面就只有一台域控制器,这种情况可能非常常见,但是是非常危险的,一旦这台服务器出现问题,并且如果没有完善的备份的话,就非常非常危险,极有可能整个活动目录数据库丢失,你的域就要重建。
所以强烈建议安装另外一台域控作为备份,即使当第一台主域控有问题后,额外域控能够马上切换过来顶替主域控的工作(当然不是自动的)。
当然,理想与现实的差距总归是有的。由于各种原因,在网络里面我们也只能使用这唯一的域控。
对于这样的域控,我们备份的地方有:
- 1. 操作系统的备份
- 2. AD数据库的备份
基于这两种需求,我们可以
- 1. 对于刚刚安装好的域控或者有进行过重大更新(软件、硬件、或者比如批量添加过大量用户的的活动)都使用NTbackup做一次ASR
- 2. 对于AD数据库的备份,我们也可以使用NTBackup设计计划任务来周期性的备份系统状态(System State)
对于还原:
- 1. 如果是硬件等各种问题造成操作系统都无法启动,我们使用ASR来还原整个操作系统,然后再用NTBackup+最新的系统状态(SystemState)来还原AD数据库
- 2. 如果是域控操作系统能够启动,只是发现AD数据库有问题,我们可以采用 开机的时候按F8进入“目录服务还原模式(只适用于Windows域控制器)”,然后对目录服务进行还原。
对于单域多域控环境
备份起来相对简单,并且相对单域单域控而言,多了一重保障,这些域控之间的目录服务是相互备份的。
但是这些域控并不是完全相同的,他们都有不同的角色,一共有5中操作主机角色。
设想这样的一种情况,有两台DC,
第一台主DC,FSMO五种角色以及GC都作用在这里
第二台DC,作为备份域控。
现在是第一台DC由于各种问题,起不了了,也没有办法恢复(硬件问题等)
我们就是需要把第二台域控来接替第一台工作,把FSMO和GC转移到第二台上。
1. 首先,我们要把第一台域控的所有信息从活动目录删除
- 1. 使用NTDSUTIL命令
- 1. 选择Metadata cleanup ---清理不使用的服务器对象
- 2. 选择 Select Operation target
- 3. 选择Connect
- 4. 选择 List sites, 显示一下site中的域
- 5. 选择 List domains in site,显示Site中的域
- 6. 选择 select domain 0
- 7. 选择 list servers for domain in sites,显示在这个域里面的域控
- 8. 选择 select server 0, 选择我们要删除的那台域控
- 9. 选择 quit 回到上一层
- 10. 选择 remove select server, 选择删除选定的域控
- 11. 在对象的服务器删除对话框里面,选择 “Yes”
- 12. 选择 两个 quit, 退出ntdsutil
- 2. 使用ADSI Edit工具 删除那台域控
- 3. 使用“AD站点和服务”,删除那台域控
- 4. 然后找到复制链接,也一起删除
2. 把FSMO角色夺过来,
- 1. 还是使用Ntdsutil
- 1. 使用 NTDSUTIL命令
- 2. 选择 Metadata cleanup ---清理不使用的服务器对象
- 3. 选择 Select Operation target
- 4. 选择 Connect
- 5. 选择 Connect to server BDC
- 6. 选择 Seize ***** Seize角色名称
- 2. 打开“AD站点和服务”,选择“NTDS Setting”属性, 选择”全局编录”
- 3. 退出即可
文章参考了周海鹏老师的《活动目录之备份与恢复》,地址在
http://zhouhaipeng.blog.51cto.com/447669/91879。
转载于:https://blog.51cto.com/jamesoujj/179526