Active Directory的恢复（ZT）

钉子

有两种办法可以恢复Active Directory。 <br><br>
第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。 <br>另一种方法就是从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。 <br>
<br>
1.授权方式和非授权方式 <br>
从备份介质进行Active Directory恢复有两种方式可以选择:授权方式(authoritative restore)和非授权方式(nonauthoritative restore)。 <br>
<br>
通常情况下,Windows2000使用非授权方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。 <br>
<br>
验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用授权方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。 <br>
<br>
2.非授权恢复Active Directory <br>
<br>
要实现非授权恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态)。为恢复Active Directory,你必须使用server处于"目录服务恢复模式"。要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式"。 <br>
<br>
当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用。你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录)。登录成功后,你就可以进行恢复Active Directory的操作。 <br>
(1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup"; <br>
(2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。 <br>
(3)选择合适的备份文件,完成数据恢复。重新启动机器即可。 <br>
(4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了。----沧海),除非你进行了设置。 <br>
<br>
3.授权方式恢复Active Directory <br>
为实现授权方式恢复,你必须首先实现非授权方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复。验证式恢复可以实现全部或部分Active Directory数据的恢复。 <br>
(1)使用非授权方式恢复Active Directory,重新启动机器。 <br>
(2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录。 <br>
(3)"开始"->"运行",输入"ntdsutil",启动命令行工具。 <br>
(4)恢复整个Active Directory数据库,使用下列命令: <br>
authoritative restore <br>
restore database <br>
恢复部分Active Directory数据,使用下列命令: <br>
authoritative restore <br>
restore subtree ou=Brien,dc=files,dc=COM <br>
<br>
红色部分要根据实际情况确定,比如你的域名字是mydom。net,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推。恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份。 <br>
最后使用quit命令退出,重新启动机器。<br>

ericchy

good ~~~~~~~~

死在问题上的我

我也在学习这个谢谢版主!!!

jerry1981

好文章，谢谢！