域控服務器狀態檢查和標準備份

適用場景：

1、用於對活動目錄中的域控制器作例行檢查，以及在檢查完成後的標準備份步驟。在檢查中咱們會對域控服務器的SYSVOL（Windows Server 2003 系統卷）狀態、GC狀態、五個FMSO（操做主機）狀態、DC間的複製結果進行檢查。

二、該方案適用於使用 Windows Server 2003 的活動目錄結構，而 Windows Server 2000 活動目錄並無進行過測試。

閱讀對象

對活動目錄工做原理，及GC、SYSVOL、FMSO等基本概念有必定了解，且可以熟練使用「Ntbackup」和Windows Server 2003所自帶的命令行工具。

環境要求：

1、域控服務器上必須安裝了系統盤自帶的「Support tools」工具包。
2、全部的操做必須使用具備「Domain Admins」權限的用戶或更高權限的用戶。

域控制檢查操做步驟：

一、檢查域控服務器的SYSVOL（Windows Server2003系統卷狀態）
①
檢查「SYSVOL」文件夾是否被共享。能夠經過如下兩種方法：
方法一：個人電腦——右鍵——計算機管理——共享文件夾——共享——在右邊窗口中查看「SYSVOL」是否被共享。
方法二：開始——運行——輸入「cmd」——肯定——進入命令提示符下——輸入「net share」——查看「SYSVOL」是否被共享
②
檢查SYSVOL的共享權限，打開SYSVOL文件夾的屬性對話框（文件夾的缺省路徑爲「C:\WINDOWS\SYSVOL\sysvol」）——共享——權限——檢查權限是否和下表的權限設置相同：

Administrators：徹底控制、更改、讀取 Authenticated Users：徹底控制、更改、讀取 Everyone：讀取

③
檢查SYSVOL的NTFS權限，打開SYSVOL文件夾的屬性對話框（文件夾的缺省路徑爲「C:\WINDOWS\SYSVOL\sysvol」）——安全——高級————檢查各個用戶的NTFS權限是否和下表中的權限設置相同。

Authenticated Users：遍歷文件夾/運行文件、列出文件夾/讀取數據，讀取屬性，讀取擴展屬性 Server Operators：遍歷文件夾/運行文件、列出文件夾/讀取數據，讀取屬性，讀取擴展屬性 Administrators：徹底控制 SYSTEM：徹底控制 CREATOR OWNER：徹底控制

注：一般狀況下「SYSVOL」文件夾的NTFS權限是從上層文件夾繼承下來的，最簡單的辦法是查看該文件夾的的權限勾選框是否爲灰色（及繼承權限），若是權限設置有問題，也不要立刻進行修改這些權限，應該參閱具體KB再進行適宜操做。
④
檢查SYSVOL的狀態狀況。開始——運行——輸入regedit——肯定——打開註冊表編輯器——查看「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady」鍵值是否爲1，如爲1則表示「SYSVOL」狀態正常。

二、如域控服務器擔任GC（全局編錄）的角色，則要檢查GC是否工做正常。（建議使用「方法一」檢查）
①
方法一：開始——運行——輸入regedit——肯定——打開註冊表編輯器——查看「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
Global Catalog Promotion Complete」
鍵值是否爲1，如爲1則表示「GC」狀態正常。
②
方法二：開始——運行——輸入dssite.msc——肯定——打開「Active Directory站點和服務」控制檯——展開「Sites」——選擇所在站點展開——展開「Servers」——選擇所在服務器——選擇「NTDS Settings」——屬性——常規——檢查「全局編錄」的勾選框是否給勾選。

三、檢查FMSO狀態
在檢查FMSO狀態過程當中，建議你們使用系統光盤自帶的support tools工具包中的「replmon.exe」工具。
①
開始——運行——輸入replmon——打開「Active Directory Replication Monitor」工具窗口
②
選擇左邊窗口中的「Monitored Servers」——右鍵——點擊「Add Monitored Server…」——根據嚮導添加你所須要檢查的域控服務器及域控服務器所在的站點和域
③
選擇左邊窗口中剛添加的域控服務器——屬性——FSMO Roles——對全部FMSO角色點擊「Query」按鈕
④
在「Query」相應FMSO角色信息中，出現「Active Directory Replication Monitor was abet to，resolve，connect，and bind to the server hosting this FSMO role」信息提示則表示該FMSO角色工做正常。

四、檢查域控制器之間的複製
在檢查域控制器之間的複製過程當中，也建議你們使用系統光盤自帶的support tools工具包中的「replmon.exe」工具。
①
開始——運行——輸入replmon——打開「Active Directory Replication Monitor」工具窗口
②
選擇左邊窗口中的「Monitored Servers」——右鍵——點擊「Add Monitored Server…」——根據嚮導添加你所須要檢查的域控服務器及所在的站點和域
③
分別選擇查看如下子節點（及四個目錄分區）中來自域控服務器的複製信息：
CN=Configuration，DC=jztey，DC=com
CN=Schema，CN=Configuration，DC=jztey，DC=com
CN=DomainDnsZones，DC=jztey，DC=com
CN=ForestDnsZones，DC=jztey，DC=com
另外還有幾個幾個節點則顯示來自其餘域的複製信息，即你的域林中有多少個域就有多少個這樣的節點。
④
查看全部節點中的複製信息中是否有「The last replication attempt was successful」則表示最後一次的複製是正常切複製成功，而後根據時間信息就能夠判斷出域控制器中的複製是否正常。

域控制備份操做步驟：

一、保證須要備份的域控制器都完成了上面的檢查，且無報錯信息。
二、域控制器備份
建議備份過程當中，將「System State」和系統分區分爲兩次備份，這樣之後在恢復數據的過程當中能夠加快恢復速度和下降故障出現的風險。
①
系統分區備份。直接用ntbackup打開「備份工具」的窗口，選擇系統分區進行備份，能夠根據實際狀況將不須要的文件夾進行排除。
②
系統狀態備份。直接用ntbackup打開「備份工具」的窗口，選擇「System State」進行備份。

其餘和注意細節：

一、在域控制器的備份過程當中，咱們能夠根據實際狀況作些其餘備份，如：DHCP的數據庫備份，GPO備份等。
二、建議域控制的備份不要使用計劃任務的備份方式，即便手動備份也不宜過於頻繁也不宜時間跨度過大，建議在30——60天備份一次便可。

 

本文轉自：http://hi.baidu.com/y_zl/blog/item/7ea9aaf775cc1f27730eec4b.html