windows 2000備份和恢復Active Directory(轉)

windows 2000備份和恢復Active Directory(轉)[@more@]

　　我們知道WIN2K系統最大的突破性和成功之一就在於它全新引入的“活動目錄（Active Directory）服務”，使得WIN2K系統與Internet上的各項服務和協議更加聯絡緊密，因為它對目錄的命名方式成功地與”域名“的命名方式一致，然後透過DNS進行解析，使得與在Internet上透過WINS解析取得一致的效果。 活動目錄也說明了Microsoft在網路結構方面的策略轉移，雖然在以前NT時代也有部分產品（如EXCHANGE SERVER、IIS等）提供過類似於活動目錄的服務，然而活動目錄作為一個全新的綜合服務方式是在WIN2K的誕生後隨之而來的。活動目錄的身影似乎在整個WIN2K系統中無處不在。然而要真正瞭解“活動目錄”的方方面面又談何容易，下面就想透過一些通俗的講解花幾個篇章對活動目錄的各主要方面作一詳盡的分析，希望對那些對WIN2K的活動目錄還存有畏懼心理的新手一個全面認識的機會。

　　一、活動目錄的由來

　　談到活動目錄最使人容易想起的就是DOS下的“目錄”、“路徑”和Windows9X/ME下“資料夾”，那個時候的“目錄”或“資料夾”僅代表一個檔案存在磁碟上的位置和層次關係，一個檔案生成之後相對來說這個檔案的所在目錄也就固定了（當然可以刪除、轉移等，現在不考慮這些），也就是說它的屬性也就相對固定了，是靜態的。這個目錄所能代表的僅是這個目錄下所有檔案的存放位置和所有檔案總的大小，並不能得出其它有關資訊，這樣就影響到了整體使用目錄的效率，也就是影響了系統的整體效率，使系統的整個管理變得複雜。因為沒有相互關聯，所以在不同應用程式中同一物件要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的關係和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是引入活動目錄的概念。理解活動目錄的關鍵就在於“活動”兩個字，千萬不要將“活動”兩個字去掉而僅僅從“目錄”兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的資料夾，正因為這個目錄是活動的，所以它是動態的，它是一種包含服務功能的目錄，它可以做到“由此及彼”的聯想、對映，如找到了一個使用者名稱，就可聯想到它的賬號、出生資訊、E-mail、電話等所有基本資訊，雖然組成這些資訊的檔案可能不在一塊。同時不同應用程式之間還可以對這些資訊進行共享，減少了系統開發資源的浪費，提高了系統資源的利用效率。

　　活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是儲存各種物件的一個物理上的容器，從靜態的角度來理解這活動目錄與我們以前所結識的“目錄”和“資料夾”沒有本質區別，僅僅是一個物件，是一實體；而目錄服務是使目錄中所有資訊和資源發揮作用的服務，活動目錄是一個分散式的目錄服務，資訊可以分散在多臺不同的計算機上，保證使用者能夠快速訪問，因為多臺機上有相同的資訊，所以在資訊容氏方面具有很強的控制能力，正因如此，不管使用者從何處訪問或資訊處在何處，都對使用者提供統一的檢視。

　　二、相關名詞術語

　　雖然活動目錄中用到的許多技術在其他軟體產品中也已經出現過，但作為全面的整體網路方案還是首次亮相，其中有許多名詞或術語或許是聞所未聞的，所以有必要詳細瞭解一下活動目錄的有關名詞或術語。

　　1、名字空間：從本質上講，活動目錄就是一個名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關聯、對映的所有資訊範圍。通俗地說就是我們在伺服器上透過查詢一個物件可以查到的所有關聯資訊總和，如一個使用者，如果我們在伺服器已給這個使用者定義了講如：使用者名稱、使用者密碼、工作單位、聯絡電話、家庭住址等，那上面所說的總和廣義上理解就是“使用者”這個名字的名字空間，因為我們只輸入一個使用者名稱即可找到上面我所列的一切資訊。名字解析是把一個名字翻譯成該名字所代表的物件或者資訊的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，我們可以從每一個電話戶頭的名字可以被解析到相應的電話號碼，而不是象現在一樣名字是名字，號碼歸號碼，根本不能橫向聯絡。Windows 作業系統的檔案系統也形成了一個名字空間，每一個檔名都可以被解析到檔案本身（包含它應有的所有資訊）。

　　2、物件： 物件是活動目錄中的資訊實體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如使用者賬戶、 文 件名等。物件透過屬性描述它的基本特徵，比如，一個使用者賬號的屬性中可能包括使用者姓名、 電話號碼、 電子郵件地址和家庭住址等。

　　3、容器：容器是活動目錄名字空間的一部分，與目錄物件一樣，它也有屬性，但與目錄物件不同的是，它不代表有形的實體，而是代表存放物件的空間，因為它僅代表存放一個物件的空間，所以它比名字空間小。比如一個使用者，它是一個物件，但這個物件的容器就僅限於從這個物件本身所能提供的資訊空間，如它僅能提供使用者名稱、使用者密碼。其它的如：工作單位、聯絡電話、家庭住址等就不屬於這個物件的容器範圍了。

　　4、目錄樹：在任何一個名字空間中，目錄樹是指由容器和物件構成的層次結構。樹的葉子、節點往往是物件，樹的非葉子節點是容器。目錄樹表達了物件的連線方式，也顯示了從一個物件到另一個物件的路徑。在活動目錄中，目錄樹是基本的結構，從每一個容器作為起點，層層深入， 都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹，一個計算機網路或者一個域也可以構成一棵樹。這也很容易理解，我們最初學電腦時不就是在全面理解DOS下的路徑概念基礎之上開始的嗎，其實這“目錄樹”也就是一種“路徑關係”，如果你理解了DOS下的“路徑”相信理解這“目錄樹”是沒什麼問題的！

　　5、域： 域是WIN2K網路系統的安全性邊界。我們知道一個計算機網最基本的單元就是“域”，這一點不是WIN2K所獨有的，但活動目錄可以貫穿一個或多個域。在獨立的計算機上，域即指計算機本身，一個域可以分佈在多個物理位置上，同時一個物理位置又可以劃分不同網段為不同的域，每個域都有自己的安全策略以及它與其他域的信任關係。當多個域透過信任關係連線起來之後，活動目錄可以被多個信任域域共享

　　6、組織單元：包含在域中特別有用的目錄物件型別就是組織單元。組織單元是可將使用者、組、計算機和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的物件。組織單元是可以指派組策略設定或委派管理許可權的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結構的域中建立容器，這樣您就可以根據您的組織模型管理帳戶、資源的配置和使用，可使用組織單元建立可縮放到任意規模的管理模型。可授予使用者對域中所有組織單元或對單個組織單元的管理許可權，組織單元的管理員不需要具有域中任何其他組織單元的管理權，組織單元有點象我們在NT時代的工作組，我們從管理許可權上來講可以這麼理解。

　　7、域樹：域樹由多個域組成，這些域共享同一表結構和配置，形成一個連續的名字空間。樹中的域透過信任關係連線起來，活動目錄包含一個或多個域樹。域樹中的域層次越深級別越低，一個“.”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因為它有兩個層次關係，而Microsoft.com只有一個層次。而域Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級別低，道理一樣。

　　域樹中的域是透過雙向可傳遞信任關係連線在一起。由於這些信任關係是雙向的而且是可傳遞的，因此在域樹或樹林中新建立的域可以立即與域樹或樹林中每個其他的域建立信任關係。這些信任關係允許單一登入過程，在域樹或樹林中的所有域上對使用者進行身份驗證，但這不一定意味著經過身份驗證的使用者在域樹的所有域中都擁有相同的權利和許可權。因為域是安全界限，所以必須在每個域的基礎上為使用者指派相應的權利和許可權。

　　8、域林：域林是指由一個或多個沒有形成連續名字空間的域樹組成，它與上面所講的域樹最明顯的區別就在於這些域樹之間沒有形成連續的名字空間，而域樹則是由一些具有連續名字空間的域組成。但域林中的所有域樹仍共享同一個表結構、配置和全域性目錄。域林中的所有域樹透過Kerberos 信任關係建立起來，所以每個域樹都知道Kerberos信任關係，不同域樹可以交叉引用其他域樹中的物件。域林都有根域，域林的根域是域林中建立的第一個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關係。

　　9、站點：站點是指包括活動目錄域伺服器的一個網路位置，通常是一個或多個透過TCP/IP連線起來的子網。站點內部的子網透過可靠、快速的網路連線起來。站點的劃分使得管理員可以很方便地配置活動目錄的複雜結構，更好地利用物理網路特性，使網路通訊處於最優狀態。當使用者登入到網路時，活動目錄客戶機在同一個站點內找到活動目錄域伺服器，由於同一個站點內的網路通訊是可靠、快速和高效的，所以對於使用者來說，他可以在最快的時間內登入到網路系統中。因為站點是以子網為邊界的，所以活動目錄在登入時很容易找到使用者所在的站點，進而找到活動目錄域伺服器完成登入工作。

　　10、域控制器：域控制器是使用活動目錄安裝嚮導配置的WIN2K Server 的計算機。活動目錄安裝嚮導安裝和配置為網路使用者和計算機提供活動目錄服務的元件供使用者選擇使用。域控制器儲存著目錄資料並管理使用者域的互動關係，其中包括使用者登入過程、身份驗證和目錄搜尋，一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力，使用單個區域網 (LAN) 的小單位可能只需要一個具有兩個域控制器的域。具有多個網路位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。

　　WIN2K Server 域控制器擴充套件了 WINNT Server 4.0 的域控制器所提供的能力和特性，WIN2K Server 多宿主複製使每個域控制器上的目錄資料同步，以確保隨著時間的推移這些資訊仍能保持一致，也就是說是動態的，這就是活動目錄的作用。多宿主複製是 WINNT Server 4.0 中使用的主域控制器和備份域控制器模型的發展，在 WINNT Server 4.0 中只有一個伺服器，即主域控制器，擁有該目錄的可讀寫副本。

　　三、安裝活動目錄的意義

　　我們說WIN2K的成功和創造性之一就是成功的全面引入了活動目錄服務，那麼到底安裝活動目錄有什麼意義呢？這是我們所有初學WIN2K的人首要要問的一個問題。因為活動目錄並不是WIN2K系統必需安裝的一種服務，要全面理解它又是非常的不容易，那麼安裝活動目錄的意義在哪裡呢？它主要體現在以下幾個方面：

　　在Windows2000中,備份與恢復Active Directory是一項非常重要的工作。在NT中,所有有關使用者和企業配置方面的資訊都儲存在登錄檔中,因此我們只需要備份登錄檔即可。但是在Windows2000中,所有的安全資訊都儲存在Active Directory中,它的備份方法與在NT中是完全不同。

　　你不能單獨備份Active Directory,Windows2000將Active Directory做為系統狀態資料的一部分進行備份。系統狀態資料包括登錄檔,系統啟動檔案,類註冊資料庫,證照服務資料,檔案複製服務,叢集服務,域名服務和活動目錄8部分,通常情況下只前3部分。這8部分都不能單獨進行備份,必須做為系統狀態資料的一部分進行備份。

　　一.備份Active Directory資料

　　如果一個域記憶體在不止一臺DC,當重新安裝其中的一臺DC時備份Active Directory並不是必需的,你只需要將其中的一臺DC從域中刪除,重新安裝,並使之回到域中,那麼另外的DC自然會將資料複製到這臺DC上。

　　如果一個域內剩下最後一臺DC,那就非常有必要對Active Directory進行備份。詳細過程如下:

　　1."開始"選單->"執行",輸入"ntbackup",啟動win2000備份工具。

　　2.在"歡迎"標籤中使用"備份嚮導",在備份嚮導對話方塊選擇備份的內容頁面中選擇"只備份系統狀態資料",下一步。

　　3.在"備份儲存的位置"頁面中輸入存放備份資料的檔名,如"d:akAD0322。bkf",下一步,完成備份嚮導。如果要進行一些設定,如備份完成後驗證資料,請使用"高階"選項進行配置。

　　4.選擇"完成"開始備份,根據資料的多少,可能需要幾分鐘到十幾分鍾甚至更長一段時間。備份完畢系統會生成備份報表。

　　5.建議:通常備份的檔案比較大,我備份了幾次都在250-300M之間,因此需要找一個大容量的空間存放。因為備份中包含非常敏感的賬號等方面的資訊,因此備份的資料要妥善儲存。

　　二.Active Directory的恢復

　　有兩種辦法可以恢復Active Directory。

　　第一種是從域的其它DC上恢復資料,前提是域內必須還有一臺DC是可用的,這時當損壞的DC重新安裝並加入到它原來的域時,DC之間會自動進行資料複製,Active Directory隨之會恢復。

　　另一種方法就是從備份介質進行恢復。通常情況下,對於大多數小型公司來說,整個公司只有一個域,由於資金等諸方面的限制也只有一臺DC,因此從介質恢復Active Directory是經常遇到的事情。

　　1.驗證方式和非驗證方式

　　從備份介質進行Active Directory恢復有兩種方式可以選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。

　　通常情況下,Windows2000使用非驗證方式恢復:Active Directory從備份介質中恢復以後,域內其它的DC會在複製過程中使用新的資料覆蓋舊的恢復過來的舊的資料。舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢復,那麼從星期三以來已經更改了的資料會複製到你正在恢復Active Directory的DC上,也就是新資料會覆蓋你使用備份恢復的資料。

　　驗證模式則完全不同,它會將從備份介質恢復過來的資料強行復制到域內所有的DC上,無論從備份以後資料是否發生了變化。還拿上面的例子來說,當你在星期五使用星期三的備份恢復了Active Directory後,這些恢復過來的資料會複製到域內所有的DC上,強行將備份後發生改變的所有資料覆蓋掉,域內資料就恢復到了備份時的狀態。驗證模式恢復Active Directory通常用於這種情況:Active Directory在域內某臺DC上發生了嚴重的錯誤,而且這種錯誤透過複製擴散到了域內的其它DC上,這時就需要在某臺DC上使用驗證方式恢復Active Directory,強制使域恢復到原來的好的狀態。應該說這種方式是用的比較多的一種恢復Active Directory的方式。

　　2.非驗證恢復Active Directory

　　要實現非驗證恢復,目錄服務必須處於離線狀態(備份Active Directory時目錄服務不必處於離線狀態)。為恢復Active Directory,你必須使用server處於"目錄服務恢復模式"。要做到這一點,需要重新啟動server,當螢幕提示你選擇作業系統時,按F8,啟動系統啟動高階選單,選擇"目錄服務恢復模式"。

　　當Windows2000出現使用者登入視窗時,輸入本地管理員賬戶和密碼(注意,不是在Active Directory中的管理員的賬號和密碼,因為這時Active Directory處於離線狀態,不可用。你只有使用儲存在安全賬戶管理器,有時稱之為SAM中的管理員賬號和密碼進行登入)。登入成功後,你就可以進行恢復Active Directory的操作。

　　(1)啟動Windows2000自帶的備份程式:"開始"->"執行",輸入"ntbackup";

　　(2)在歡迎標籤中選擇"恢復嚮導",跳過歡迎畫面,備份程式會顯示可以用於資料恢復的備份集。

　　(3)選擇合適的備份檔案,完成資料恢復。重新啟動機器即可。

　　(4)注意:通常情況下,你不能恢復60天以前備份的Active Directory資料,這是因為受Windows2000 tombstone lifetime(可以理解為生存時間吧,因為不能準確的翻譯出其含義,只好照搬上了。----滄海),除非你進行了設定。

　　3.驗證方式恢復Active Directory

　　為實現驗證方式恢復,你必須首先實現非驗證方式恢復,然後你可以使用NTDSUTIL命令列工具實現驗證式Active Directory恢復。驗證式恢復可以實現全部或部分Active Directory資料的恢復。

　　(1)使用非驗證方式恢復Active Directory,重新啟動機器。

　　(2)再次使用"目錄服務恢復模式"啟動Windows2000,以管理員身份登入。

　　(3)"開始"->"執行",輸入"ntdsutil",啟動命令列工具。

　　(4)恢復整個Active Directory資料庫,使用下列命令:

　　authoritative restore

　　restore database

　　恢復部分Active Directory資料,使用下列命令:

　　authoritative restore

　　restore subtree ou=Brien,dc=files,dc=COM

　　紅色部分要根據實際情況確定,比如你的域名字是mydom。net,要恢復的OU是myou則第二行命令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢復部分資料的方式有時用來恢復被刪除的OU,如某域內有兩個管理員,你和A,A有點菜:),昨天晚上不小心把一個重要的OU給刪除了,今天你就可以使用驗證式恢復將這個OU給恢復過來,前提自然是你有這個OU被刪除之前的備份。

　　最後使用quit命令退出,重新啟動機器。