讲解活动目录域控制器备份与如何恢复
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况:
1、整个网络中有且仅有一台域控制器;
首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:
在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:
在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。选择好备份文件的存放路径后,就可以点击“开始备份”了:
点击“开始备份”后,会出现如下画面:
在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:
在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:
点击上述画面中的“属性”:
在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:
这次点击“高级”:
在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
?正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
?副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
?增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
?差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
?每日:以天为单位,每天发生变化的文件都会被备份;
这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:
整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。
有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:
在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。
在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
继续点击“开始-运行”,输入“Ntbackup”,并回车:
这回可别再选择备份向导了,要用“还原向导(高级)”:
点“下一步”,出来如下画面:
在“文件”上击右键:
点击“文件编录”:
输入备份文件所在的位置,然后确定:
然后点击“下一步”:
在上述画面中确认无误的话,就可以点击“完成”了:
在出来的警告窗口上点击“确定”:
这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。
2、多域控制器环境下的活动目录恢复
可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。
先来说明一下实验环境:
域名:https://www.doczj.com/doc/cd16407340.html,
第一台域控制器:
计算机名:https://www.doczj.com/doc/cd16407340.html,
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
并且FSMO五种角色及GC全部在第一台域控上。
第二台域控制器:
计算机名:https://www.doczj.com/doc/cd16407340.html,
IP:192.168.5.2
子网掩码:255.255.255.0
DNS:192.168.5.2
灾难情况:第一台域控制器由于硬件原因,导致无法启动。
这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
一、首先,要把第一台域控制器的所有信息从活动目录里面删除:
(1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:
在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:
然后我们要显示一下Site中的域:
结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:
通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:
选中后,按“q”退出到上一层菜单:
在上图中点击“是”:
然后再按2个“q”退出。
(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象,
ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:
击右键,然后选“删除”就可以了。
(3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:
把复制连接也删除了:
以上有几个删除几个。
二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:
我们先要连接到目标服务器上:
连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:
请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:
这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。
大家了为安全起见,可以运行一下我上次给转给大家的脚本:
由上图可见,所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来: 在“管理工具”里,打开“AD站点和服务”,找到如下位置:
备份结构比较 概述 Host-Base、LAN-Base和基于SAN结构的LAN-Free、Server-Free等多种结构。 Host-Based备份方式: Host-Based是传统的数据备份的结构这种结构中磁带库直接接在服务器上,而且只为该服务器提供数据备份服务。在大多数情况下,这种备份大多是采用服务器上自带的磁带机,而备份操作往往也是通过手工操作的方式进行的。 Host-Based备份结构的优点是数据传输速度快,备份管理简单;缺点是不利于备份系统的共享,不适合于现在大型的数据备份要求。LAN-Based备份方式: LAN-Based备份,在该系统中数据的传输是以网络为基础的。其中配置一台服务器作为备份服务器,由它负责整个系统的备份操作。磁带库则接在某台服务器上,在数据备份时备份对象把数据通过网络传输到磁带库中实现备份的。 LAN-Based备份结构的优点是节省投资、磁带库共享、集中备份管理;它的缺点是对网络传输压力大。
LAN-Free备份方式: LAN-Free和Server-Free的备份系统是建立在SAN(存储区域网)的基础上的,其结构如下图所示。基于SAN的备份是一种彻底解决传统备份方式需要占用LAN带宽问题的解决方案。它采用一种全新的体系结构,将磁带库和磁盘阵列各自作为独立的光纤结点,多台主机共享磁带库备份时,数据流不再经过网络而直接从磁盘阵列传到磁带库内,是一种无需占用网络带宽 (LAN-Free) 的解决方案。 目前随着SAN技术的不断进步,LAN-Free的结构已经相当成熟,而Server-Free的备份结构则不太成熟。 LAN-Free的优点是数据备份统一管理、备份速度快、网络传输压力小、磁带库资源共享;缺点是投资高。 目前数据备份主要方式有:LAN 备份、LAN Free备份和SAN Server-Free备份三种。LAN 备份针对所有存储类型都可以使用, LAN Free备份和SAN Server-Free备份只能针对SAN架构的存储。 基于LAN备份传统备份需要在每台主机上安装磁带机备份本机系统,采用LAN备份策略,在数据量不是很大时候,可采用集中备份。一台中央备份服务器将会安装在 LAN 中,然后将应用服务器和工作站配置为备份服务器的客户端。中央备份服务器接受运行在客户机上的备份代理程序的请求,将数据通过 LAN 传递到它所管理的、与其连接的本地磁带机资源上。这一方式提供了一种集中的、易于管理的备份方案,并通过在网络中共享磁带机资源提高了效率。
AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配,用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统(如Windows server2008等)系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员,负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份;Ineternet对外接口安全以及计算机系统病毒防范管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度,严守企业商业机密;
5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视,并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象,网络管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员,并跟踪检查处理结果。 3.定时维护域服务器,及时组织清理磁盘(如:系统垃圾文件、各类文档临时储存文件等),保证服务器有充足空间,保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施,及时下载、更新最新的病毒库,防止服务器受病毒的侵害。 1.5、使用 1.帐号管理:所有网络管理员在使用或维护完域控服务器后,应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统,确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码,并定期更换密码,以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时,应由网络管理员统一调整,并及时修改。
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1) ...[复制 链接]发表于 2013-3-19 21:12 |来自51CTO网页 [只看他]楼主 一、活动目录灾备简介 本次演练我们将讨论如何让域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤。此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导;将只提供对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息。如果该计算机上还安装有其它服务,例如域名系统 (DNS) 或 Internet 信息服务 (IIS),则可能还需要其它步骤;是基于 Windows 2008 R2备份程序 (Windows Server Backup) 的,该程序是 Windows 2008之后附带的备份应用程序。 我们假定用户具有关于 Active Directory 及其相关组件的预备知识。系统管理员可以使用本文中的信息来制定灾难恢复规划,但是还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合。 二、灾备总述 我们本次所涉及到的灾难恢复的演示包含如下3部分: 1、灾备方案(使用Windows Server Backup进行备份) 2、主域控制器无法启动情况下进行恢复 3、两台域控制器都无法启动进行恢复 我们本次所涉及到的灾难恢复步骤: 1、当活动目录搭建完成时,进行一次完全备份,包含系统状态、活动目录数据库、卷等相关信息。 2、活动目录建立并进行完全备份之后,星期一到星期五每天通过Windows Server Backup 进行一次增量备份,每周星期6进行完全备份。 3、项目实施完成之后,当每次添加一台域控制器的时候,需要进行一次完全备份。无论是否到备份周期。 三、灾备演示 1、活动目录备份;
双机热备的数据备份和灾难备份方案 一、方案背景 1. 用户目前数据环境及需求 根据提供的信息,目前用户的系统环境如下描述:操作系统:Windows 操作系统,关键数据:VSS 数据库现在用户要备份的服务器为2台数据库服务器做双机热备集群,整个系统对于备份的要求:备份系统稳定可靠,保证随时能够备份/还原关键数据;对服务器有灾备的考虑,操作系统崩溃时能通过灾难备份快速恢复操作系统。同时考虑远期建设目标平滑过渡,避免重复投资。 2. 用户目前状态和存在的问题 目前用户双机服务器拓扑图如下,这样的方式存在以下问题: a) 由于主机与备机及磁盘阵列中的数据都没有备份,一旦发生磁盘阵列数据丢失、主机与备机数据丢失事故时,将会造成重大损失。 b) 当服务器操作系统崩溃时,无法快速恢复。 二、设计方案 1. 设计原则 根据上述问题建议的备份方案应该遵循以下原则:备份系统应该支持Open File 热备份功能磁盘阵列连接在专用的备份服务器上、对双机集群中的2台机器都能进行数据备份、备份软件支持定时计划备份、备份软软件支持服务器灾难备份、备份软件提供网络集中备份功能,能集中备份网络上其余SQL Server、ORACLE或文件数据,提供良好的扩展性。 2. 方案的设计 依据上述设计原则,建议采用爱数备份软件专业备份软件安装在一台备份服务器上,通过网络对双机系统进行数据备份和操作系统灾难备份。Backup Exec 作为专业的备份软件,具有以下优点: c) 专业的企业网络集中备份解决方案,一台备份服务器可以备份网络上多台服务器数据(文件服务器、VSS服务器、数据库服务器、邮件服务器等) d) 备份软件支持Open file 热备份功能,能对正在使用的数据进行备份。 e) 能根据需要制定灵活多变的备份计划任务 f) 支持服务器操作系统崩溃灾难备份/恢复
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
域控备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows
2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面
来自微软的教程~非常全面~[10-21] https://www.doczj.com/doc/cd16407340.html,/download/a/e/7/ae788631-15e6-4f22-a923-ef1b663f2675/msft041305v xpm.zip Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 https://www.doczj.com/doc/cd16407340.html,/do ... /msft041205vxpm.zip Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 https://www.doczj.com/doc/cd16407340.html,/do ... /msft041805vxpm.zip Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现 https://www.doczj.com/doc/cd16407340.html,/do ... /msft042005vxam.zip Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 https://www.doczj.com/doc/cd16407340.html,/do ... b5/msft042605vx.zip Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 https://www.doczj.com/doc/cd16407340.html,/do ... /msft042905vxpm.zip Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理 https://www.doczj.com/doc/cd16407340.html,/do ... /msft050905vxpm.zip Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 https://www.doczj.com/doc/cd16407340.html,/do ... /msft051005vxpm.zip Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 https://www.doczj.com/doc/cd16407340.html,/do ... /msft051205vxpm.zip Windows Server 2003从入门到精通系列之九:TCP/IP协议基础 https://www.doczj.com/doc/cd16407340.html,/do ... /msft051305vxpm.zip Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 https://www.doczj.com/doc/cd16407340.html,/do ... /msft051805vxpm.zip Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解 https://www.doczj.com/doc/cd16407340.html,/do ... /msft051705vxpm.zip Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 https://www.doczj.com/doc/cd16407340.html,/do ... /msft052305vxpm.zip
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
域服务器备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows
2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面: 点击“备份向导(高级)”,进入备份向导: 直接点“取消”,这样可以进入“备份工具控制器”,以便有更多的可以自定义的项目。 选上“System State”前面复选框,即选择备份系统状态。如下图在上图的左下角,“备份媒体或文件名”里可以选择备份的路径(其中备份名称起名字规则示例:BKAD)。起好备份文件名称和选择好
活动目录概念和灾难恢复- - 一、什么是活动目录? AD是一种事务性数据库,它是一种预先写入记录的模式,使用了ESE97的技术。在磁盘上,AD显示为几个文件,它们是ntds.dit(AD数据库),一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词,它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域,这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资源。将大部分的重要的资源集中的放在某个共享的网络资源中,这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式,也就是说,可以在任意的一个控制器上修改目录资源。所以,从上我们可以得知,AD实际是个数据库,而每个DC都是重要的数据库服务器,所以,我们应象保护重要数据库一样来保护DC。 二、活动目录的几个概念 1、域:一个安全边界。 2、树:多个域的集合。 3、林:多个有关联的树。 4、DNS:通向AD的网关。DNS中的服务记录,是应用系统查询AD的根本所在。 5、GC:一个经常被查询的AD对象的索引。在本机模式下,GC参与网络客户端的登录请求处理,提供通用组成员资格,出非域管理员组成员,才可以不需要GC的协助登录网络。在混合模式下,GC就不参与登录处理了但GC对网络中进行目录查询与搜寻仍旧很重要。 6、操作主机:虽然多控制器模式是AD的核心功能,但多服务器之间的潜在冲突也使这样的方式运作出在一定的不适用性,为了解决这一问题,AD选择了一些特殊的机器来担任特殊的角色。每个角色负责处理特定AD区域的改变。 三、AD的维护和备份 1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。 2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。但要注意备份AD的一些约束条件: * AD只备份当前有效的数据,对于已经标记删除的对象,不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整。 * AD的备份类型无法选择,只能使用完全备份。 * 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。 * 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
Windows Server2008R2之十二AD的备份和恢复 AD的备份可以利用Windows Server Backup对系统状态进行备份获得。然而相对AD的备份,AD的还原要复杂得多。在生产环境中,可能由于很多原因(DC硬件故障等)造成DC崩溃,此时我们有多种方法对DC进行还原操作,如系统重建,即如果域中有一台正常的DC,我们可以重新安装windows server 2008,提升AD,然后通过复制完成DC的正常工作;当然我们也可能利用裸机恢复,前提是我们对系统进行了裸机恢复备份。然在实际中我们使用得最多的还原模式有非授权还原和授权还原。 非授权还原:利用Windows Server Backup进行还原。还原后被还原的DC的所有对象的序列号恢复到备份时序列号,当DC重新启动后,它会从域中的其它DC复制最新的数据(即序列号比它还原后大的数据) 授权还原:利用Windows Server Backup和NTDsUTIL进行还原。即在非授权还原之后,服务器重启之前运行Ntdsutil实用程序,对对象进行还原。当对象进行授权还原后,会将对象的序列号设置成比域中这个对象的所有序列号都要大。从而保证服务器重启后,不会从其它DC复制这个对象数据,而是将这个对象数据复制到域中其它DC 注意:我们利用R2 的新功能“活动目录回收站”进行对象的恢复。具体操作见 “Windows Server2008R2之活动目录回收站” 实验环境:在Win2008R2CNDC这台DC上操作完成 实验要求: 使用Wbadmin备份DC 使用Wbadmin对DC进行非授权还原 使用Ntdsutil对DC进行授权还原
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
第一章部署WINDOWS域 什么是域? 将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域 什么是活动目录? 活动目录是一种目录是一种服务 什么是域控制器? 是安装了活动目录服务的一台计算机 什么是单域? 网络中只建立了一个域,我们将其称之为单域 什么是域树? 域树是具有连续的名称空间的多个域 什么是域林? 域林是由一个或者多个没有形成连续名称孔明关键的域树组成 安装域控制器的准备条件?(5个条件) 1、安装者必须具有本地管理员权限 2、操作系统版本必须满足条件 Windows NT Server Windows 2000 Server Windows Server 2003(除WEB版) Windows Server 2008(除WEB版) 不能是客户端的操作系统 3、本地磁盘至少有一个分区是NTFS文件系统 4、配置静态的ip地址和子网掩码 5、有足够的可用磁盘空间 安装域控制器的命令? dcprmo 域功能级别有哪几个?(3个) Windows 2000 Server Windows Server 2003 Windows Server 2008 客户机加入域的条件?(2个条件) 确保该计算机和域控制器互相联通 配置正确的DNS地址 组的类型有哪两个?有何区别? 安全组和通讯组 安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作 通讯组:没有安全方面的功能,只能用作电子邮件的通信 组的作用域有哪三个?有什么区别? 什么是OU? 本地域、全局、和通用 本地域组成员来自于全局用用范围为本域或者是当前域 全局组成员来自本地,作用范围为全局或任意域
备份域控制器 2008-11-14 16:06 正确备份 要对域控制器备份我们可以购买专门软件,但是这些软件相当昂贵,老总通常是不愿意花这些钱的。那么只有用Windows自带的备份工具来处理。这里以Windows 2003进行讲解,在Windows 2000中的操作方法相同。 1.点击“开始/程序/附件/系统工具/备份”,将启动备份窗口。 2.在窗口中点击“高级模式”,随后再点击“备份向导(高级)”,这样就打开了高级模式备份窗口(图1)。和此窗口同时显示的还有一个向导提示窗口,在这个窗口中直接点“取消”,这样可以进入备份域控制器,以便进行更灵活的操作。 图1 高级模式备份窗口 3.通常来说域控制器的备份应该是包含活动目录和系统所在的分区,但是如果你的系统不是安装在C盘,那么除了备份系统分区外,还必须对C盘进行备份,因为当系统安装在其他盘中时,在C盘中会有引导程序。要进行备份只要选中相关的磁盘和System State即系统状态即可。 然后在左下角的“备份媒体或文件名”里选择备份的路径,选择好后点击“开始备份”即可。随后会出现如图2所示窗口。
图2 开始备份 4.如果希望系统可以在指定的时间进行自动备份,可以在图2中点击“计划”,将此备份设置进行保存,然后输入管理员密码后点“确定”,就会出现一个“计划的作业选项”窗口,在此窗口中输入作业的名字,也就是计划的名字,然后点“属性”,在属性窗口中就可以设置自动备份的时间了,当设置好后可以点击“确定”进行保存。当然这不是必须的,只是为了减少管理员的工作而制定的一种备份方案。 5.返回图2中点击“高级”,在高级窗口中的“备份类型”中选择正常,如果在前面设置了计划那么也该选择“正常”,如果使用其他方式备份会增加恢复操作的麻烦,最后选择“备份后验证数据”和“自动备份带有系统状态的系统保护文件”然后点击“确定”。 6.完成上面的操作后就可以点击图2中的“开始备份”按钮,当备份完成后你会发现文件相当的大,所以要提醒大家注意的是在前面设置备份文件保存位置的时候一定要选择一个磁盘空间大的磁盘。 轻松恢复 当服务器出现问题或重新安装系统后,就可以通过下面的方法进行恢复,但是重新安装后请不要将服务器提升为域控制器。 1.在开机的时候按F8,并选择第七项“目录服务还原模式(只用于Windows 域控制器)”(图3)。
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现
Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理
Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九:TCP/IP协议基础
Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解
Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三:如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四:利用SUS实现自动补丁管理
曙光服务器备份还原软件 (DAWNING Server Backup and Restore Software) 用户使用指南 一、 简介 曙光服务器备份还原软件是专为曙光服务器用户开发的一款基于硬盘和分 区的备份还原软件,实现了硬盘及Windows、 Linux系统分区的本地及网络备份还原功能。具体支持的机型请查看软件光盘中的兼容列表。 二、 主要功能特性 1、支持硬盘和分区的备份还原; 2、支持硬盘到映像文件(将分区或整个硬盘备份为一个映像文件,或将映 像文件还原到所对应的分区或硬盘)和硬盘到硬盘(硬盘或分区的对拷)两种模式; 3、支持本地和网络两种备份还原模式。网络备份还原支持 NFS和SSHFS两 种模式,可实现跨平台的系统备份还原; 4、一次可支持多个硬盘、分区备份还原; 5、支持多种主流文件系统,包括FAT1 6、FAT32、NTFS、EXT2和EXT3。 三、 使用指南 启动计算机后,将光盘放入光驱中,进入BIOS,选择从光驱引导。重启服务器后,会自动引导进入备份还原软件图形界面。 本软件的备份还原模式分为硬盘/映像和硬盘/硬盘两种。下面我们将从这两方面分别介绍如何使用该软件备份还原分区和硬盘。 硬盘/映像 备份 1、选择操作类型 进入备份还原软件图形界面后,首先显示“选择操作类型”界面,如图1所示。选择操作类型和备份还原模式。在这里,我们选择操作类型为“备份”,备份还原模式为“硬盘/映像”。 点击【帮助】,可查看本操作的帮助信息。
点击【关于】,可查看本软件的版本信息。 点击【退出】,可退出系统重新启动计算机。 点击【下一步】,进入“备份方式设置”界面。 图1 “选择操作类型”界面 2、备份方式设置 图2 “备份方式设置”界面 如图2所示,用户可以选择硬盘/映像的备份方式。本软件提供四种方式,分别为本地硬盘到本地映像文件、本地硬盘到远程映像文件、本地分区到本地映像文件和本地分区到远程映像文件。 点击【下一步】,进入“网络信息设置”界面。
计算机视频教程 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1237 北京师范大-多媒体视频 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1240 北京理工大学编译原理串讲 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1241 北京大学计算机网络视频教程 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1243 北京大学计算机网络教程 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1245 北京大学ASP视频教学 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1246 北航微机接口视频讲座 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1248 保护劳动成果,用Photoshop为作品加上水印(Photoshop应用)https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1250 安装和配置MOM2005 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1252 安装3389终端服务 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1253 安全风险管理(下) https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1255 安全风险管理(上) https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1257 安全的Windows Mobile解决方案(下)(服务器) https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1259 安全的Windows Mobile解决方案(上)(客户端) https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1261 Word使用视频教程 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1262 word教程 OFFICE专家 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1264 Word点点通 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1266 Word长篇文档排版技巧^ https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1268 Word长篇文档排版技巧 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1270 Winzip使用技巧视频常用软件 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1272 Winrar使用技巧视频常用软件 https://www.doczj.com/doc/cd16407340.html,/soft/show.asp?id=1274
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展