域控制器灾难恢复教程

域控制器修复过程第一步，通过重新安装还原DC ，清除操作，例如从Active Directory中删除出现故障的DC对象通过重新安装进行恢复的步骤和创建新DC的步骤相同。

要通过重新安装进行还原，在目标域中必须至少有一台工作正常的DC。

理想情况下，此DC应该和要复制的DC新的DC位于同一Active Directory站点中；清理操作如下所述。

步骤2和步骤3是在阅读本文时假设您已具备的知识。

有关提升过程的更多信息，可以在Windows 2000 Server Resource Kit的Distributed Systems Guide中获得。

清除操作与新DC的名称是否与故障计算机的名称相同有关。

如果新DC的名称与故障DC的名称相同，则必须删除故障DC中的ntdsDSA对象：1.在命令行中，键入ntdsutil。

2.在ntdsutil:提示符下键入metadata cleanup，然后按Enter键。

3.现在，需要连接到现有的域控制器，以便在上面删除故障DC中的ntdsDSA对象。

4.在metadata cleanup提示符下键入connections，然后按Enter键。

5.键入connect to server <服务器名>，然后按Enter键。

其中<服务器名>是从其上清除元数据的DC（同一域中的任何工作正常的DC）。

6.键入quit，然后按Enter键。

将返回元数据清除菜单。

7.键入select operation target，然后按Enter键。

8.键入list domains，然后按Enter键。

将列出目录林中所有的域，其中每一个域都和一个编号相关联。

9.键入select domain <编号>，然后按Enter键，其中<编号>是与故障服务器所在的域对应的编号。

10.键入list sites，然后按Enter键。

11.键入select site <编号>，然后按Enter键，其中<编号> 是指该DC 所在站点的编号。

域控制器AD备份和恢复通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。

点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:点击我用箭头指出的“高级模式”:再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导:在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:在这里，需要提醒大家的是，如果你只是想备份活动目录的话，那么你只需要备份一下系统状态就可以了。

但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。

Windows域控制器的灾难恢复作者：胡磊来源：《科学与财富》2010年第05期一、概述安徽人民广播电台Link2000音频工作站系统就是建立在网络平台上的。

为了保证安全播出在这个网络中的公用光纤磁盘阵列柜(以下简称磁盘阵列)使用了2台安装了Windows2000 Advance Server操作系统的HP GL570服务器(Server1和Server2)。

两台服务器都可以成为主、备用服务器。

当其中一台服务器出现故障的时候,另一台服务器能够在最短时间内接管磁盘阵列。

保证整个音频工作站系统的正常运行并且有足够的时间来处理服务器故障。

两台服务器是基于Microsoft Cluster(群集)的结构,保证了系统的正常运作。

为了防止两台服务器同时出现故障以及磁盘阵列故障,在设计系统时我们还做了一台PC机和IDE磁盘柜作为出现故障时可以备用的第三备用,及时从光纤磁盘阵列复制数据库文件和必要的音频文件到IDE磁盘柜。

二、环境分析因为网络中所有的服务器和用户计算机都处在的域中。

主域控制器是SERVER1,SERVER2、SERVERBACK都是额外域控制器,其他用户计算机都是域成员。

逻辑图形如下:活动目录是构建Windows2000域的前提条件。

也就是说区别于NT网络只能构建单域模式,Windows2000支持域都是建立在活动目录上的。

所有域控制器之间都要互相传递活动目录信息,我台使用的是单域网络,所以域控制器之间复制的信息也可以称为域信息。

在域中SERVER1是主域控制器,其他控制器都是额外域控制器。

而构架主机、域命名主机、RID主机、主域控制器模拟器、基础结构主机这些主机角色一般都安放在主域控制器中,也就是这里所说的SERVER1中。

三、故障现象当时我们遇到的情况是这样的:SERVER1作为主域控制器和全局编录GC。

机器中构成RAID0的两块硬盘出现故障,其中日常引导的硬盘出现硬件故障不能引导机器,导致作为主域控制器河全局编录GC的SERVER1无法启动;而作为镜像的硬盘也被写入坏数据不能引导,启动时总是出现蓝屏。

第七章灾难恢复实验任务一：备份和还原域控制器的系统状态实验环境介绍实验准备（1）1人1组。

（2）准备1台Windows2003VM（为DC）。

（3）（3）VM网卡1块，类型为VMnet0，目的是使网络联通。

（4）实验室网络为192.168.1.0/24。

（5）IP设置分别为192.168.1.X/24(X由教员指定)。

（6）已经在域中创建5个OU以及用户账户（参见第4章的任务三）。

完成标准（1）备份DC的系统状态数据。

（2）还原成功DC的系统状态数据，能看到已被删除的用户账户。

操作步骤Step1在域控制器上备份系统状态。

（1）使用域管理员账户Administrator登录DC。

（2）打开“备份工具”，单击“备份”标签。

（3）选中系统状态（Sytem State）复选框。

（4）单击“开始备份”，按提示完成备份。

Step2删除某个域账户（1）域管理员Administrator打开“Active Directory 用户和计算机”。

（2）右击域账户StuY，选择“删除”，单击“是”按钮。

Step3在域控制器上还原系统状态（1）重启DC，在显示启动菜单时按F8键。

（2）选择“目录服务还原模式”。

（3）在登录提示符出，输入账号Administrator，输入还原密码，进入系统。

（4）单击“开始”—“程序”—“附件”—“系统工具”—“备份”，打开“还原和管理媒体”选项卡。

（5）单击适当的备份媒体和要还原的系统状态，单击“开始还原”按钮，按提示完成还原。

（6）重启DC。

Step4验证还原效果（1）使用域管理员账户Adminidtrator登录DC，打开“Active Directory用户和计算机”。

（2）查看域账户StuY是否存在。

任务二：指定备份任务计划实验环境介绍BENET公司服务器上的文件夹C：\doc，存储员工日常工作文档，需要定期做常规备份和差异备份。

每星期一22：00做常规备份，星期二到星期五22：00做差异备份。

Active Directory灾难恢复Active Directory 服务以及保证其顺利运行所需的系统是 Windows 2000 Server 操作系统的核心。

系统管理员必须了解如何使这些关键的系统保持正常运行，以及在出现故障时如何采取应对措施。

在 Active Directory 基础结构中，域控制器可以充当多种角色—全局编录 (GC)、操作主机 (OM) 以及单一域控制器。

本文中介绍了在出现故障后恢复 Active Directory 数据库的步骤，而且还介绍了将服务器还原为特定角色所必需的特殊要求。

引言本文讨论将域控制器从灾难状态（例如由于硬件或软件故障引起的数据库故障）进行恢复的步骤。

此类灾难通常会导致域控制器失效，而且会使计算机无法正常引导。

导致灾难的另一个原因是人为因素，例如将包含错误的数据复制到公司的其它域控制器上。

本文提供有关对运行 Active Directory 的域控制器（不运行其它服务）进行恢复的信息。

如果该计算机上还安装有其它服务，例如域名系统 (DNS) 或 Internet 信息服务 (IIS)，则可能还需要其它步骤，但是这些步骤不包括在本文中。

本文中的大多数示例都是基于 Windows 2000 备份实用程序 (ntbackup.exe) 的，该程序是Windows 2000 中附带的默认备份应用程序。

有关该工具的更多信息，可以在附录 IV 中找到。

用户可以有自己喜欢的备份应用程序，但是本文中的内容仍然适用。

本文不讨论涉及 Active Directory 的故障排除问题。

而是用于解决如下情况：所有的故障排除手段都已经失败，并且 Active Directory 无法正常运行，在这种情况下用户无法将域管理器引导到正常模式。

本文假定用户具有关于 Active Directory 及其相关组件的预备知识。

有关 Active Directory 的信息，请阅读 Windows 2000 Server Resource Kit 中的 Distributed Systems Guide 一书。

灾难恢复方法一.目的本文对域控制器的灾难恢复提供指导二．摘要本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复三．目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本四．正文1. Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机此操作主机负责向其它 DC 分配 RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。

每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。

RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。