1、 整個網絡中有且僅有一臺域控制器;
首先,本人并不成贊成網絡中存在這種情況,也就是說網絡中最好是存在兩臺或兩臺以上的域控制器,當然有些朋友可能會說:買服務器你給錢啊?我先聲明:我沒錢。而且現在的老板都很精喲,一般是能用就行,至于壞了怎么辦?那當然是網絡管理員來想辦法解決了,難道白給你工資啊?所以有些網絡中的確存在著只有一臺域控制器的現象,那么對于這種情況,備份是必不可少的了,而且建議備份到網絡上,別備份到本地計算機上,因為備份在本地的話,萬一服務器的硬盤燒毀,那么你的備份也會隨之而去,這樣的話和沒有備份沒什么區別。那么,怎么備份?我們要用到Windows 2003自帶的備份工具Ntbackup。點擊“開始-運行”,輸入:“Ntbackup”回車,也可以點擊“開始-程序-附件-備份”,其實是一回事,我們就可以看到如下的畫面:
點擊我用箭頭指出的“高級模式”:
再點擊用紅框標出的“備份向導(高級)”,這時會出現一個備份向導:
在這里請大家注意,直接點“取消”,這樣可以進入備份工具控制器,以便有更多的可以自定義的項目:
在這里,需要提醒大家的是,如果你只是想備份活動目錄的話,那么你只需要備份一下系統狀態就可以了。但本人強烈建議:最好再做一個整個C盤的備份!以防止丟失一些其它的數據。在這里,我為了節省時間,就僅僅備份一下系統數據了:
在上圖的左下角,“備份媒體或文件名”里可以選擇備份的路徑,并且支持網絡備份的。
選擇好備份文件的存放路徑后,就可以點擊“開始備份”了:
點擊“開始備份”后,會出現如下畫面:
在上面的選項中,點擊“計劃”,系統會提示你“保存當前備份設置”,保存完成后,會出現下面的畫面:
在這里要輸入正確的具有管理員權限的帳號和密碼才可以,輸入后點“確定”,就會出現一個“計劃的作業選項”:
點擊上述畫面中的“屬性”:
在這里,可以設置計劃作業,以方便系統以后自動按照計劃進行備份,就不用一次次的手動備份了。設置完成后,就回到了剛剛的畫面:
這次點擊“高級”:
在這里,可選擇一些如數據備份完成后驗證其完整性之類的選項,這個大家可以根據需要進行選擇,主要向大家簡單介紹一下五個備份類型:
- 正常:備份所有選擇的文件夾和文件,不依賴于任何標記,但會清除標記
- 副本:備份所有選擇的文件夾和文件,不依賴于任何標記,但不會清除標記
- 增量:只備份選擇的且有標記的文件夾和文件,但是會清除標記;
- 差異:只備份選擇的且有標記的文件夾和文件,且不清除標記;
- 每日:以天為單位,每天發生變化的文件都會被備份;
這五種備份類型具體如何應用,如何配合使用,請大家結合自己的實際情況決定。配置好這些備份參數以后,就可以進行備份操作了:
整個備份時間還是比較長的,大約要20分鐘左右,當然具體還要根據你的系統中的數據量來決定性的,在我這個實驗環境里10分鐘不到就OK了。備份完成后,我們可以在備份目錄下找到這個備份文件,其大小為:537M。
有人可能會問,一個活動目錄至于有這么多的數據嗎?其實如果你剛剛注意備份時候顯示的信息的話,那么你就會知道,其實這個備份包括了三樣東西:BOOT信息、活動目錄信息、及System32文件夾下的所有文件,最大的就是那個System32文件夾,所以537M就不足為奇了。OK,備份完成了。那么萬一域控制器發生損壞后該如何恢復呢?接下來就看這個了,首先你得重新安裝操作系統,在我這里由于用的是虛擬機,所以我只要把前面的更改刪除就可以了。嘿嘿,用虛機就是有這種好處,什么時候物理機也可以這樣就好了。然后在開機的時候按F8:
在這里,我們要選擇,第七項:“目錄服務還原模式(只用于Windows域控制器)”,真不知道這句話是微軟找誰來翻譯的,我覺得括號里的文字應該翻譯成:“只用于恢復Windows域控制器”才比較合適,這句話不知道害過多少人,我就見過不少網絡管理員是先把服務器提升為域控制器,然后再執行恢復操作,其實大家難道忘記了,我們剛剛備份的文件里有活動目錄信息的。
在Windows的登陸窗口,如果你的服務器只是成員服務器,那么請輸入本地管理員的密碼,如果是域控制器,請輸入還原密碼。什么?還原密碼是什么?看看我的第一篇文章吧。
繼續點擊“開始-運行”,輸入“Ntbackup”,并回車:
這回可別再選擇備份向導了,要用“還原向導(高級)”:
點“下一步”,出來如下畫面:
在“文件”上擊右鍵:
點擊“文件編錄”:
輸入備份文件所在的位置,然后確定:
然后點擊“下一步”:
在上述畫面中確認無誤的話,就可以點擊“完成”了:
在出來的警告窗口上點擊“確定”:
這個畫面和備份的畫面差不多吧?幾分種后就可以完成,完成后,系統會要求你重新啟動計算機。重啟后,你就會發現這臺成員服務器已經變成域控制器了,并且和以前的一模一樣。
2、 多域控制器環境下的活動目錄恢復
可能看到這個標題有人就會問,怎么一上來就講恢復啊?不用備份嗎?是的,如果僅僅是活動目錄信息的確是不用備份的。為什么?大家還記得我在前面的文章中提到過,從Windows 2000域開始,采用的是多宿主復制的機構,也就是所有的活動目錄修改都會被復制到所有的域控制器上,所以是不需要備份的。只要看一下怎么恢復就可以了。
先來說明一下實驗環境:
域名:demo.com
第一臺域控制器:
計算機名:server.demo.com
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1
并且FSMO五種角色及GC全部在第一臺域控上。
第二臺域控制器:
計算機名:test20031.demo.com
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.2
災難情況:第一臺域控制器由于硬件原因,導致無法啟動。
這時我們會發現下面的客戶端雖然還可以利用本地緩存進行登陸,但已經無法再利用域資源了,我們的目的就是要讓第二臺額外域控制器來接替第一臺的工作,也就是說把FSMO和GC全部轉移到額外域控制器上來。這里要分成兩步:
一、首先,要把第一臺域控制器的所有信息從活動目錄里面刪除:
(1)、點擊“開始-運行”,輸入:“cmd”并回車,在命令提示符下輸入:“ntdsutil”,然后回車,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回車的方法來調用使用說明:
在這里我們要選擇“Metadata cleanup ----清理不使用的服務器的對象”然后依次輸入下面的命令:
然后我們要顯示一下Site中的域:
結果找到兩個,其中“1”是我建的子域,所以這里要先擇“0”:
通過上面的信息,我們可以看到兩個服務器,其中SERVER是我們要刪除的,因為它已經DOWN機了。所以這里要選擇“0”:
選中后,按“q”退出到上一層菜單:
在上圖中點擊“是”:
然后再按2個“q”退出。
(2)、使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中欲刪除服務器對象,
ADSI EDIT在SUPPORT TOOLS工具包里,打開后,找到如下位置:
擊右鍵,然后選“刪除”就可以了。
(3)、在“管理工具”里,打開“AD站點和服務”,找到如下位置:
把復制連接也刪除了:
以上有幾個刪除幾個。
二、把FSMO角色強行奪取過來。這里又要用到“Ntdsutil”了:
我們先要連接到目標服務器上:
連接成功后,按“q”退出到上層菜單,并且看一下幫助信息:
請注意:這里有兩種方法分別是Seize和Transfer,如果原來的FSMO角色的擁有者處于離線狀態,那么就要用Seize,如果處于聯機狀態,那么就要用Transfer。在這里由于SERVER已經離線了,所以要用“Seize”:
這里是奪取PDC角色的圖示,點“是”,其它角色的也是一樣的操作,最后退出。
大家了為安全起見,可以運行一下我上次給轉給大家的腳本:
由上圖可見,所有的FSMO已經轉移到TEST20031服務器上了。最后就是把GC轉移過來:
在“管理工具”里,打開“AD站點和服務”,找到如下位置:
在“屬性”上單擊:
在“全局編錄”前打外勾,然后確定退出就可以了。
最后到客戶端去修改一下DNS服務器的位置,就可以發現客戶端又可以正常登陸了。而且所有的域資源又可以正常使用。最后請大家注意以下幾點:
1、 在單域控環境中,請盡量的多備份,以保證備份有效性,最好幾種備份類型結合使用。
2、 在多域控環境中,如果用Seize,那么那臺壞掉的服務器在重裝系統以前請不要回到網絡中來,哪怕是已經修好了,也一定要重新安裝操作系統,為什么?因為FSMO角色具有唯一性,如果此時回到網絡中,那就會出現FSMO角色重復的現象。
3、 在多域控環境中,那臺壞域控修復后,重裝系統,請盡量不要再使用原來的計算機名,以防止產生一些莫名其妙的問題,就讓那臺服務器在網絡里永遠消失吧!
OK,請大家多多指正!E-Mail:hzswg@sohu.com