域的非驗證方式還原與驗證方式還原的區別

救急：一臺服務器要重裝系統，怎麼份域用戶信息

在Windows2000中,備份與恢復Active Directory是一項很是重要的工做。在NT中,全部有關用戶和企業配置方面的信息都存儲在註冊表中,所以咱們只須要備份註冊表便可。可是在Windows2000中,全部的安全信息都存儲在Active Directory中,它的備份方法與在NT中是徹底不一樣。 　　你不能單獨備份Active Directory,Windows2000將Active Directory作爲系統狀態數據的一部分進行備份。系統狀態數據包括註冊表,系統啓動文件,類註冊數據庫,證書服務數據,文件複製服務,集羣服務,域名服務和活動目錄8部分,一般狀況下只前3部分。這8部分都不能單獨進行備份,必須作爲系統狀態數據的一部分進行備份。 一.備份Active Directory數據 　　若是一個域內存在不止一臺DC,當從新安裝其中的一臺DC時備份Active Directory並非必需的,你只須要將其中的一臺DC從域中刪除,從新安裝,並使之回到域中,那麼另外的DC天然會將數據複製到這臺DC上。 　　若是一個域內剩下最後一臺DC,那就很是有必要對Active Directory進行備份。詳細過程以下: 　　1."開始"菜單->;"運行",輸入"ntbackup",啓動win2000備份工具。 　　2.在"歡迎"標籤中使用"備份嚮導",在備份嚮導對話框選擇備份的內容頁面中選擇"只備份系統狀態數據",下一步。 　　3.在"備份保存的位置"頁面中輸入存放備份數據的文件名,如"d: akAD0322。bkf",下一步,完成備份嚮導。若是要進行一些設置,如備份完成後驗證數據,請使用"高級"選項進行配置。 　　4.選擇"完成"開始備份,根據數據的多少,可能須要幾分鐘到十幾分鍾甚至更長一段時間。備份完畢系統會生成備份報表。 　　5.建議:一般備份的文件比較大,我備份了幾回都在250-300M之間,所以須要找一個大容量的空間存放。由於備份中包含很是敏感的帳號等方面的信息,所以備份的數據要妥善保存。 二.Active Directory的恢復 　　有兩種辦法能夠恢復Active Directory。 　　第一種是從域的其它DC上恢復數據,前提是域內必須還有一臺DC是可用的,這時當損壞的DC從新安裝並加入到它原來的域時,DC之間會自動進行數據複製,Active Directory隨之會恢復。 　　另外一種方法就是從備份介質進行恢復。一般狀況下,對於大多數小型公司來講,整個公司只有一個域,因爲資金等諸方面的限制也只有一臺DC,所以從介質恢復Active Directory是常常遇到的事情。 1.驗證方式和非驗證方式 　　從備份介質進行Active Directory恢復有兩種方式能夠選擇:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。 　　一般狀況下,Windows2000使用非驗證方式恢復:Active Directory從備份介質中恢復之後,域內其它的DC會在複製過程當中使用新的數據覆蓋舊的恢復過來的舊的數據。舉個例子,假設今天是星期五,你使用了星期三的備份對Active Directory進行了恢復,那麼從星期三以來已經更改了的數據會複製到你正在恢復Active Directory的DC上,也就是新數據會覆蓋你使用備份恢復的數據。 　　驗證模式則徹底不一樣,它會將從備份介質恢復過來的數據強行復制到域內全部的DC上,不管從備份之後數據是否發生了變化。還拿上面的例子來講,當你在星期五使用星期三的備份恢復了Active Directory後,這些恢復過來的數據會複製到域內全部的DC上,強行將備份後發生改變的全部數據覆蓋掉,域內數據就恢復到了備份時的狀態。驗證模式恢復Active Directory一般用於這種狀況:Active Directory在域內某臺DC上發生了嚴重的錯誤,並且這種錯誤經過複製擴散到了域內的其它DC上,這時就須要在某臺DC上使用驗證方式恢復Active Directory,強制使域恢復到原來的好的狀態。應該說這種方式是用的比較多的一種恢復Active Directory的方式。 2.非驗證恢復Active Directory 　　要實現非驗證恢復,目錄服務必須處於離線狀態(備份Active Directory時目錄服務沒必要處於離線狀態)。爲恢復Active Directory,你必須使用server處於"目錄服務恢復模式"。要作到這一點,須要從新啓動server,當屏幕提示你選擇操做系統時,按F8,啓動系統啓動高級菜單,選擇"目錄服務恢復模式"。 　　當Windows2000出現用戶登陸窗口時,輸入本地管理員帳戶和密碼(注意,不是在Active Directory中的管理員的帳號和密碼,由於這時Active Directory處於離線狀態,不可用。你只有使用存儲在安全帳戶管理器,有時稱之爲SAM中的管理員帳號和密碼進行登陸)。登陸成功後,你就能夠進行恢復Active Directory的操做。 　　(1)啓動Windows2000自帶的備份程序:"開始"->;"運行",輸入"ntbackup"; 　　(2)在歡迎標籤中選擇"恢復嚮導",跳過歡迎畫面,備份程序會顯示能夠用於數據恢復的備份集。 　　(3)選擇合適的備份文件,完成數據恢復。從新啓動機器便可。 　　(4)注意:一般狀況下,你不能恢復60天之前備份的Active Directory數據,這是由於Windows2000 tombstone lifetime(生命週期)的影響,除非你進行了設置。 3.驗證方式恢復Active Directory 　　爲實現驗證方式恢復,你必須首先實現非驗證方式恢復,而後你可使用NTDSUTIL命令行工具實現驗證式Active Directory恢復。驗證式恢復能夠實現所有或部分Active Directory數據的恢復。 　　(1)使用非驗證方式恢復Active Directory,從新啓動機器。 　　(2)再次使用"目錄服務恢復模式"啓動Windows2000,以管理員身份登陸。 　　(3)"開始"->;"運行",輸入"ntdsutil",啓動命令行工具。 　　(4)恢復整個Active Directory數據庫,使用下列命令: 　　authoritative restore 　　restore database 　　恢復部分Active Directory數據,使用下列命令: 　　authoritative restore 　　restore subtree ou=Brien,dc=files,dc=COM 　　紅色部分要根據實際狀況肯定,好比你的域名字是mydom.net,要恢復的OU是myou則第二行命令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。恢復部分數據的方式有時用來恢復被刪除的OU,如某域內有兩個管理員,你和A,A有點菜,昨天晚上不當心把一個重要的OU給刪除了,今天你就可使用驗證式恢復將這個OU給恢復過來,前提天然是你有這個OU被刪除以前的備份。 　　最後使用quit命令退出,從新啓動機器。