如何備份和恢複Active Directory

　在Windows2000中,備份與恢複Active Directory是一項非常重要的工作.在NT中,所有有關使用者和企業配置方面的資訊都存儲在系統資料庫中,是以我們隻需要備份系統資料庫即可.但是在Windows2000中,所有的安全資訊都存儲在Active Directory中,它的備份方法與在NT中是完全不同.

　　你不能單獨備份Active Directory,Windows2000将Active Directory做為系統狀态資料的一部分進行備份.系統狀态資料包括系統資料庫,系統啟動檔案,類注冊資料庫,證書服務資料,檔案複制服務,叢集服務,域名服務和活動目錄8部分,通常情況下隻前3部分.這8部分都不能單獨進行備份,必須做為系統狀态資料的一部分進行備份.

　　一.備份Active Directory資料.

　　如果一個域記憶體在不止一台DC,當重新安裝其中的一台DC時備份Active Directory并不是必需的,你隻需要将其中的一台DC從域中删除,重新安裝,并使之回到域中,那麼另外的DC自然會将資料複制到這台DC上.

　　如果一個域内剩下最後一台DC,那就非常有必要對Active Directory進行備份.詳細過程如下:

　　1."開始"菜單->"運作",輸入"ntbackup",啟動win2000備份工具.

　　2.在"歡迎"标簽中使用"備份向導",在備份向導對話框選擇備份的内容頁面中選擇"隻備份系統狀态資料",下一步.

　　3.在"備份儲存的位置"頁面中輸入存放備份資料的檔案名,如"d:\bak\AD0322.bkf",下一步,完成備份向導.如果要進行一些設定,如備份完成後驗證資料,請使用"進階"選項進行配置.

　　4.選擇"完成"開始備份,根據資料的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間.備份完畢系統會生成備份報表.

　　5.建議:通常備份的檔案比較大,我備份了幾次都在250-300M之間,是以需要找一個大容量的空間存放.因為備份中包含非常敏感的賬号等方面的資訊,是以備份的資料要妥善儲存.

　　二.Active Directory的恢複

　　有兩種辦法可以恢複Active Directory.

　　第一種是從域的其它DC上恢複資料,前提是域内必須還有一台DC是可用的,這時當損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行資料複制,Active Directory随之會恢複.

　　另一種方法就是從備份媒體進行恢複.通常情況下,對于大多數小型公司來說,整個公司隻有一個域,由于資金等諸方面的限制也隻有一台DC,是以從媒體恢複Active Directory是經常遇到的事情.

　　1.驗證方式和非驗證方式

　　從備份媒體進行Active Directory恢複有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore).

　　通常情況下,Windows2000使用非驗證方式恢複:Active Directory從備份媒體中恢複以後,域内其它的DC會在複制過程中使用新的資料覆寫舊的恢複過來的舊的資料.舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢複,那麼從星期三以來已經更改了的資料會複制到你正在恢複Active Directory的DC上,也就是新資料會覆寫你使用備份恢複的資料.

　　驗證模式則完全不同,它會将從備份媒體恢複過來的資料強行複制到域内所有的DC上,無論從備份以後資料是否發生了變化.還拿上面的例子來說,當你在星期五使用星期三的備份恢複了Active Directory後,這些恢複過來的資料會複制到域内所有的DC上,強行将備份後發生改變的所有資料覆寫掉,域内資料就恢複到了備份時的狀态.驗證模式恢複Active Directory通常用于這種況:Active Directory在域内某台DC上發生了嚴重的錯誤,而且這種錯誤通過複制擴散到了域内的其它DC上,這時就需要在某台DC上使用驗證方式恢復Active Directory,強制使域恢複到原來的好的狀态.應該說這種方式是用的比較多的一種恢複Active Directory的方式.