用備份進行Active Directory的災難重建：Active Directory系列之三

用備份進行 Active Directory 的災難重建

 

上篇博文中咱們介紹瞭如何部署第一個域，如今咱們來看看咱們可以利用域來作些什麼。域中的計算機能夠共享用戶帳號，計算機帳號和安全策略，咱們來看看這些共享資源給咱們在分配網絡資源時帶來了哪些改變。實驗拓撲以下圖所示，咱們如今有個簡單的任務，要把成員服務器Berlin上一個共享文件夾的讀權限分配給公司的員工張建國。上次咱們實驗時已經爲張建國建立了用戶帳號，此次咱們來看看如何利用這個用戶帳號來實現資源分配的目標。

 

以下圖所示，咱們在成員服務器Berlin上右鍵點擊文件夾Tools，選擇「共享和安全」，準備把Tools文件夾共享出來。

 

把Tools文件夾共享出來，共享名爲Tools，同時點擊「權限」，準備把Tools文件夾的讀權限只分配給張建國。

 

Tools文件夾的默認共享權限是Everyone組只讀，咱們刪除默認的權限設置，點擊添加按鈕，準備把文件夾的讀權限授予張建國。

 

以下圖所示，咱們選擇adtest.com域中的張建國做爲權限的授予載體，這時咱們要理解域的共享用戶帳號的含義，在域控制器上爲張建國建立了用戶帳號後，成員服務器分配資源時就可使用這些用戶帳號了。

 

咱們把Tools文件夾的讀權限授予了張建國。

 

咱們先用域管理員登陸訪問一下Berlin上的Tools共享文件夾，以下圖所示，域管理員沒有訪問共享文件夾的權限。這個結果和咱們的權限分配是一致的，咱們只把共享文件夾的權限授予了張建國。

 

以下圖所示，在Perth上以張建國的身份登陸。

 

張建國訪問Berlin上的共享文件夾Tools，以下圖所示，張建國順利地訪問到了目標資源，咱們的資源分配達到了預期的效果。

 

作完這個實驗後，咱們應該想一下，爲何張建國在訪問共享文件夾時沒有被要求身份驗證呢？這是個關鍵問題，答案是這樣的。當張建國登陸時，輸入的用戶名和口令將送到域控制器請求驗證，域控制器若是承認了張建國輸入的用戶名和口令，域控制器將爲張建國發放一個電子令牌，令牌中描述了張建國隸屬於哪些組等信息，令牌就至關於張建國的電子×××。當張建國訪問Berlin上的共享文件夾時，Berlin的守護進程會檢查訪問者的令牌，而後和被訪問資源的訪問控制列表進行比較。若是發現二者吻合，例如本例中Berlin上的共享文件夾容許域中的張建國訪問，而訪問者的令牌又證實了本身就是域中的張建國，那麼訪問者就能夠透明訪問資源，無需進行其餘形式的身份驗證。

咱們能夠設想一下基於域的權限分配，天天早晨公司員工上班後，在本身的計算機上輸入用戶名和口令，而後域控制器驗證後發放令牌，員工拿到令牌後就能夠透明地訪問域中的各類被受權訪問的資源，例如共享打印機，共享文件夾，數據庫，電子郵箱等。員工除了在登陸時要輸入一次口令，之後在訪問資源時都不須要再輸入口令了，這種基於域的資源分配方式是否是很是的高效靈活呢？

可是，咱們要考慮一個問題，萬一這個域控制器壞了怎麼辦？！若是這個域控制器損壞了，那用戶登陸時可就沒法得到令牌了，沒有了這個令牌，用戶就無法向成員服務器證實本身的身份，嘿嘿，那用戶還能訪問域中的資源嗎？結果不言而喻，整個域的資源分配趨於崩潰。這個後果很嚴重，那咱們應該如何預防這種災難性的後果呢？咱們能夠考慮對活動目錄進行備份以及部署額外域控制器，今天咱們先看如何利用對Active Directory的備份來實現域控制器的災難重建。

若是隻有一個域控制器，那麼咱們能夠利用Windows自帶的備份工具對Active directory進行徹底備份，這樣萬一這個域控制器有個三長兩短，備份能夠幫助咱們從困境中解脫出來。

在Florence上依次點擊 開始－程序－附件－系統工具－備份，以下圖所示，出現了備份還原嚮導，點擊下一步繼續。

 

選擇備份文件和設置。

 

不用備份計算機上的全部信息，咱們只備份Active Directory，所以咱們手工選擇要備份的內容。

 

以下圖所示，咱們選擇備份System State，System State中包含了Active Directory。其實咱們只須要System State中的Active Directory，Registry和Sysvol就夠了，但備份工具中不容許再進行粒度更細緻的劃分，所以咱們選擇備份整個System State。

 

咱們把System State備份在C:\ADBAK目錄下。

 

點擊完成結束備份設置。

 

以下圖所示，備份開始，等備份完成後咱們把備份文件複製到文件服務器進行保存便可。

 

好，備份完成後，咱們假設域控制器Florence發生了物理故障，如今咱們用另一臺計算機來接替Florence。以下圖所示，咱們把這臺新計算機也命名爲Florence，IP設置和原域控制器也保持一致，尤爲是必定要把DNS指向爲ADTEST.COM提供解析支持的那個DNS服務器，在此例中就是192.168.11.1。並且新的計算機不須要建立Active Directory，咱們從備份中恢復Active Directory便可。

從文件服務器上把System State的備份複製到新的Florence上，而後啓動備份工具，以下圖所示，選擇下一步繼續。

 

此次咱們選擇還原文件和設置。

 

以下圖所示，經過瀏覽按鈕選擇要還原的文件是C:\ADBAK\BACKUP.BKF，備份工具顯示出了BACKUP.BKF的編錄內容，勾選要還原的內容是System State，選擇下一步繼續。

 

還原設置完畢，點擊完成結束。

 

以下圖所示，還原開始，還原結束後咱們從新啓動計算機便可Active Directory的重建工做。

 

從新啓動Florence後，以下圖所示，咱們發現Active Directory已經恢復了。

 

Florence的角色也發生了改變。

 

嘗試讓域用戶進行登陸，一切正常，至此，Active Directory恢復完成！

若是域中惟一的域控制器發生了物理故障，那整個域的資源分配就要趨於崩潰，所以咱們頗有必要居安思危，未雨綢繆。使用用備份工具對Active Directory數據庫進行備份，而後在域控制器崩潰時利用備分內容還原Active Directory是工程師常用的災難恢復手段。這種方案簡單易行，很適合小型企業使用，但願你們都能掌握這種基礎手段。下次咱們將介紹經過部署額外域控制器來解決Active Directory的容錯和性能問題。