在Windows2000中,備份與恢複Active Directory是一項非常重要的工作。在NT中,所有有關使用者和企業配置方面的資訊都存儲在系統資料庫中,是以我們隻需要備份系統資料庫即可。但是在Windows2000中,所有的安全資訊都存儲在Active Directory中,它的備份方法與在NT中是完全不同。 你不能單獨備份Active Directory,Windows2000将Active Directory做為系統狀态資料的一部分進行備份。系統狀态資料包括系統資料庫,系統啟動檔案,類注冊資料庫,證書服務資料,檔案複制服務,叢集服務,域名服務和活動目錄8部分,通常情況下隻前3部分。這8部分都不能單獨進行備份,必須做為系統狀态資料的一部分進行備份。 一.備份Active Directory資料 如果一個域記憶體在不止一台DC,當重新安裝其中的一台DC時備份Active Directory并不是必需的,你隻需要将其中的一台DC從域中删除,重新安裝,并使之回到域中,那麼另外的DC自然會将資料複制到這台DC上。 如果一個域内剩下最後一台DC,那就非常有必要對Active Directory進行備份。詳細過程如下: 1."開始"菜單->;"運作",輸入"ntbackup",啟動win2000備份工具。 2.在"歡迎"标簽中使用"備份向導",在備份向導對話框選擇備份的内容頁面中選擇"隻備份系統狀态資料",下一步。 3.在"備份儲存的位置"頁面中輸入存放備份資料的檔案名,如"d: akAD0322。bkf",下一步,完成備份向導。如果要進行一些設定,如備份完成後驗證資料,請使用"進階"選項進行配置。 4.選擇"完成"開始備份,根據資料的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間。備份完畢系統會生成備份報表。 5.建議:通常備份的檔案比較大,我備份了幾次都在250-300M之間,是以需要找一個大容量的空間存放。因為備份中包含非常敏感的賬号等方面的資訊,是以備份的資料要妥善儲存。 二.Active Directory的恢複 有兩種辦法可以恢複Active Directory。 第一種是從域的其它DC上恢複資料,前提是域内必須還有一台DC是可用的,這時當損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行資料複制,Active Directory随之會恢複。 另一種方法就是從備份媒體進行恢複。通常情況下,對于大多數小型公司來說,整個公司隻有一個域,由于資金等諸方面的限制也隻有一台DC,是以從媒體恢複Active Directory是經常遇到的事情。 1.驗證方式和非驗證方式 從備份媒體進行Active Directory恢複有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。 通常情況下,Windows2000使用非驗證方式恢複:Active Directory從備份媒體中恢複以後,域内其它的DC會在複制過程中使用新的資料覆寫舊的恢複過來的舊的資料。舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢複,那麼從星期三以來已經更改了的資料會複制到你正在恢複Active Directory的DC上,也就是新資料會覆寫你使用備份恢複的資料。 驗證模式則完全不同,它會将從備份媒體恢複過來的資料強行複制到域内所有的DC上,無論從備份以後資料是否發生了變化。還拿上面的例子來說,當你在星期五使用星期三的備份恢複了Active Directory後,這些恢複過來的資料會複制到域内所有的DC上,強行将備份後發生改變的所有資料覆寫掉,域内資料就恢複到了備份時的狀态。驗證模式恢複Active Directory通常用于這種情況:Active Directory在域内某台DC上發生了嚴重的錯誤,而且這種錯誤通過複制擴散到了域内的其它DC上,這時就需要在某台DC上使用驗證方式恢複Active Directory,強制使域恢複到原來的好的狀态。應該說這種方式是用的比較多的一種恢複Active Directory的方式。 2.非驗證恢複Active Directory 要實作非驗證恢複,目錄服務必須處于離線狀态(備份Active Directory時目錄服務不必處于離線狀态)。為恢複Active Directory,你必須使用server處于"目錄服務恢複模式"。要做到這一點,需要重新啟動server,當螢幕提示你選擇作業系統時,按F8,啟動系統啟動進階菜單,選擇"目錄服務恢複模式"。 當Windows2000出現使用者登入視窗時,輸入本地管理者賬戶和密碼(注意,不是在Active Directory中的管理者的賬号和密碼,因為這時Active Directory處于離線狀态,不可用。你隻有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理者賬号和密碼進行登入)。登入成功後,你就可以進行恢複Active Directory的操作。 (1)啟動Windows2000自帶的備份程式:"開始"->;"運作",輸入"ntbackup"; (2)在歡迎标簽中選擇"恢複向導",跳過歡迎畫面,備份程式會顯示可以用于資料恢複的備份集。 (3)選擇合适的備份檔案,完成資料恢複。重新啟動機器即可。 (4)注意:通常情況下,你不能恢複60天以前備份的Active Directory資料,這是因為Windows2000 tombstone lifetime(生命周期)的影響,除非你進行了設定。 3.驗證方式恢複Active Directory 為實作驗證方式恢複,你必須首先實作非驗證方式恢複,然後你可以使用NTDSUTIL指令行工具實作驗證式Active Directory恢複。驗證式恢複可以實作全部或部分Active Directory資料的恢複。 (1)使用非驗證方式恢複Active Directory,重新啟動機器。 (2)再次使用"目錄服務恢複模式"啟動Windows2000,以管理者身份登入。 (3)"開始"->;"運作",輸入"ntdsutil",啟動指令行工具。 (4)恢複整個Active Directory資料庫,使用下列指令: authoritative restore restore database 恢複部分Active Directory資料,使用下列指令: authoritative restore restore subtree ou=Brien,dc=files,dc=COM 紅色部分要根據實際情況确定,比如你的域名字是mydom.net,要恢複的OU是myou則第二行指令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢複部分資料的方式有時用來恢複被删除的OU,如某域内有兩個管理者,你和A,A有點菜
,昨天晚上不小心把一個重要的OU給删除了,今天你就可以使用驗證式恢複将這個OU給恢複過來,前提自然是你有這個OU被删除之前的備份。 最後使用quit指令退出,重新啟動機器。
本文轉自 bilinyee部落格,原文連結: http://blog.51cto.com/215363/798615 如需轉載請自行聯系原作者
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)