公司采用的是domain管理結構,最近好幾台電腦通路,公司的檔案伺服器的時候,總是提示要輸入網絡密碼,還有通過網路上的芳鄰通路,程式就DOWN掉; 一上午,公司好幾個同僚都反映,檔案伺服器通路不了.....
初步判斷公司的DC出了問題,到網上找了以下文章,參考一下.
(AD備份,和恢複的2種方法)
=================================================
Q:備份與恢複活動目錄
Windows 2000活動目錄遷移工具
[url]http://www.microsoft.com/china/windows2000/downloads/deployment/admt/default.htm[/url]
用windows的備份工具備份與恢複活動目錄
在Windows2000中,備份與恢複Active Directory是一項非常重要的工作。在NT中,所有有關使用者和企業配置方面的資訊都存儲在系統資料庫中,是以我們隻需要備份系統資料庫即可可。但是在Windows2000中,所有的安全資訊都存儲在Active Directory中,它的備份方法與在NT中是完全不同。
你不能單獨備份Active Directory,Windows2000将Active Directory做為系統狀态資料的一部分進行備份。系統狀态資料包括系統資料庫,系統啟動檔案,類注冊資料庫,證書服務資料,檔案複制服務,叢集服務,域名服務和活動目錄8部分,通常情況下隻前3部分。這8部分都不能單獨進行備份,必須做為系統狀态資料的一部分進行備份。
一.備份Active Directory資料
如果一個域記憶體在不止一台DC,當重新安裝其中的一台DC時備份Active Directory并不是必需的,你隻需要将其中的一台DC從域中删除,重新安裝,并使之回到域中,那麼另外的DC自然會将資料複制到這台DC上。
如果一個域内剩下最後一台DC,那就非常有必要對Active Directory進行備份。詳細過程如下:
1."開始"菜單->"運作",輸入"ntbackup",啟動win2000備份工具。
2.在"歡迎"标簽中使用"備份向導",在備份向導對話框選擇備份的内容頁面中選擇"隻備份系統狀态資料",下一步。
3.在"備份儲存的位置"頁面中輸入存放備份資料的檔案名,如"d:akAD0322。bkf",下一步,完成備份向導。如果要進行一些設定,如備份完成後驗證資料,請使用"進階"選項進行配置。
4.選擇"完成"開始備份,根據資料的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間。備份完畢系統會生成備份報表。
5.建議:通常備份的檔案比較大,我備份了幾次都在250-300M之間,是以需要找一個大容量的空間存放。因為備份中包含非常敏感的賬号等方面的資訊,是以備份的資料要妥善儲存。
二.Active Directory的恢複
有兩種辦法可以恢複Active Directory。
第一種是從域的其它DC上恢複資料,前提是域内必須還有一台DC是可用的,這時當損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行資料複制,Active Directory随之會恢複。
另一種方法就是從備份媒體進行恢複。通常情況下,對于大多數小型公司來說,整個公司隻有一個域,由于資金等諸方面的限制也隻有一台DC,是以從媒體恢複Active Directory是經常遇到的事情。
1.驗證方式和非驗證方式
從備份媒體進行Active Directory恢複有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。
通常情況下,Windows2000使用非驗證方式恢複:Active Directory從備份媒體中恢複以後,域内其它的DC會在複制過程中使用新的資料覆寫舊的恢複過來的舊的資料。舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢複,那麼從星期三以來已經更改了的資料會複制到你正在恢複Active Directory的DC上,也就是新資料會覆寫你使用備份恢複的資料。
驗證模式則完全不同,它會将從備份媒體恢複過來的資料強行複制到域内所有的DC上,無論從備份以後資料是否發生了變化。還拿上面的例子來說,當你在星期五使用星期三的備份恢複了Active Directory後,這些恢複過來的資料會複制到域内所有的DC上,強行将備份後發生改變的所有資料覆寫掉,域内資料就恢複到了備份時的狀态。驗證模式恢複Active Directory通常用于這種情況:Active Directory在域内某台DC上發生了嚴重的錯誤,而且這種錯誤通過複制擴散到了域内的其它DC上,這時就需要在某台DC上使用驗證方式恢複Active Directory,強制使域恢複到原來的好的狀态。應該說這種方式是用的比較多的一種恢複Active Directory的方式。
2.非驗證恢複Active Directory
要實作非驗證恢複,目錄服務必須處于離線狀态(備份Active Directory時目錄服務不必處于離線狀态)。為恢複Active Directory,你必須使用server處于"目錄服務恢複模式"。要做到這一點,需要重新啟動server,當螢幕提示你選擇作業系統時,按F8,啟動系統啟動進階菜單,選擇"目錄服務恢複模式"。
當Windows2000出現使用者登入視窗時,輸入本地管理者賬戶和密碼(注意,不是在Active Directory中的管理者的賬号和密碼,因為這時Active Directory處于離線狀态,不可用。你隻有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理者賬号和密碼進行登入)。登入成功後,你就可以進行恢複Active Directory的操作。
(1)啟動Windows2000自帶的備份程式:"開始"->"運作",輸入"ntbackup";
(2)在歡迎标簽中選擇"恢複向導",跳過歡迎畫面,備份程式會顯示可以用于資料恢複的備份集。
(3)選擇合适的備份檔案,完成資料恢複。重新啟動機器即可。
(4)注意:通常情況下,你不能恢複60天以前備份的Active Directory資料,這是因為受Windows2000 tombstone lifetime(可以了解為生存時間吧,因為不能準确的翻譯出其含義,隻好照搬上了。----滄海),除非你進行了設定。
3.驗證方式恢複Active Directory
為實作驗證方式恢複,你必須首先實作非驗證方式恢複,然後你可以使用NTDSUTIL指令行工具實作驗證式Active Directory恢複。驗證式恢複可以實作全部或部分Active Directory資料的恢複。
(1)使用非驗證方式恢複Active Directory,重新啟動機器。
(2)再次使用"目錄服務恢複模式"啟動Windows2000,以管理者身份登入。
(3)"開始"->"運作",輸入"ntdsutil",啟動指令行工具。
(4)恢複整個Active Directory資料庫,使用下列指令:
authoritative restore
restore database
恢複部分Active Directory資料,使用下列指令:
authoritative restore
restore subtree ou=Brien,dc=files,dc=COM
還要根據實際情況确定,比如你的域名字是mydom。net,要恢複的OU是myou則第二行指令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢複部分資料的方式有時用來恢複被删除的OU,如某域内有兩個管理者,你和A,A有點菜:),昨天晚上不小心把一個重要的OU給删除了,今天你就可以使用驗證式恢複将這個OU給恢複過來,前提自然是你有這個OU被删除之前的備份。
最後使用quit指令退出,重新啟動機器。
==============================================================
謝謝以上文章的提供者,想在此學習一下DC的知識.
轉載于:https://blog.51cto.com/qinqisir/15487
![ACS基本配置-權限等級管理[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)