活动目录数据库的维护
在一个域中有多个DC时,这些DC的AD数据库必须是一模一样的,这就需要DC之间的自动更新同步来完成(只是要考虑这几台DC的系统时间间隔问题而已).这些DC之间要维护相同的活动目录数据库,可以实现一定的可靠性和容错性.
那么还需要定期备份活动目录数据库吗?答案是肯定的.
因为在操作活动目录时,管理员有可能进行了误操作,如删除了某个部分的OU,而这种删除会很快复制到其他DC,要想还原被删除的OU,只能通过事前备份的文件. 案例:
APTECH公司的域APTECH.COM有两个DC,为了应对活动目录受到误操作后能及时还原到正常状态,需要制定备份和还原活动目录数据库的计划,网管员在采用该计划之前需要测试其正确性. 1.首先要备份活动目录数据库
使用系统自带的NTBACKUP备份工具来进行\系统状态\的备份就能把AD数据库备份下来,因为\系统状态\包括:注册表(Registry),COM+类注册数据库(COM+ Class Registration Database),启动文件(Boot Files),活动目录(Active Directory),系统卷(SYSVOL)方法如下:
准备2台虚拟机,域名为APTECH.COM,一台DC1,一台DC2,两台DC都是APTECH.COM的域控制器,创建DC和辅助DC的步骤就不在此讲解了,可以参考我相关的文章学习-创建Windows域.
首先在任意一台DC上使用\用户和计算机\工具创建2个OU,分别为\学术部\市场部\学术部OU下创建一个A用户,而市场部OU下创建一个B用户,等一会发现另一台DC的AD数据库上也有了相应的OU,自动完成了AD数据库的同步.
然后使用NTBACKUP进行\系统备份\
使用\高级模式\
选择备份\系统状态\
查看备份文件:
2.活动目录还原
a)活动目录数据库还原分为以下两种: 非授权还原 授权还原
3.非授权还原:恢复活动目录到它备份时的状态 执行非授权还原后:
如果域中只有一个域控制器,在备份之后的任何修改都将丢失
如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态. 执行非授权还原步骤方法如下:
1)重启DC,在显示启动菜单时按F8键 2)选择【目录服务还原模式】
3)在登录提示符处,输入账户administrator,输入还原密码,进入系统 4)使用备份工具还原系统状态数据 5)重启DC
注意:备份完后,在任意一台DC上把学术部和市场部的两个OU都删除掉,并等待AD数据库同步,这时两个DC的AD数据库中都没有这两个OU了.但备份的文件中是有的,这个要记住!
那么大家想想,如果只有一个DC时,现在我还原了AD数据库,那么这两个OU应该回来,因为只有一个DC,没有数据的同步问题.但现在一个域中同时有2个DC,而且再备份完AD数据库后把这两个OU删除的,你会发现当你即使还原了AD数据库,这两个OU还是不会还原,这是因为你还原的AD数据库中确实是有这两个OU,但你要记住,当我们备份完后这两个OU才被删除的,按更新时间,删除OU是备份之后做的,更新时间应该是最新,并且我们删除的OU在另一台DC中还完成了数据同步.所以当在一台DC上还原AD时,从备份中会还原这两个OU,但还原后它会去和另一台DC去比较还原的数据是否是最新,结果不是,那么另一台DC跟它完成数据库同步时就会把这两个刚还原的OU做为旧数据给删除掉!这是我们要注意的!