在一個域中有多個DC時,這些DC的AD數據庫必須是一模一樣的,這就需要DC之間的自動更新同步來完成(只是要考慮這幾臺DC的系統時間間隔問題而已).這些DC之間要維護相同的活動目錄數據庫,可以實現一定的可靠性和容錯性. 那么還需要定期備份活動目錄數據庫嗎?答案是肯定的. 因為在操作活動目錄時,管理員有可能進行了誤操作,如刪除了某個部分的OU,而這種刪除會很快復制到其他DC,要想還原被刪除的OU,只能通過事前備份的文件. 案例：
APTECH公司的域APTECH.COM有兩個DC,為了應對活動目錄受到誤操作后能及時還原到正常狀態，需要制定備份和還原活動目錄數據庫的計劃,網管員在采用該計劃之前需要測試其正確性. 1.首先要備份活動目錄數據庫 使用系統自帶的NTBACKUP備份工具來進行"系統狀態"的備份就能把AD數據庫備份下來,因為"系統狀態"包括:注冊表（Registry）,COM+類注冊數據庫（COM+ Class Registration Database）,啟動文件（Boot Files）,活動目錄（Active Directory）,系統卷（SYSVOL）方法如下: 準備2臺虛擬機,域名為APTECH.COM,一臺DC1,一臺DC2,兩臺DC都是APTECH.COM的域控制器,創建DC和輔助DC的步驟就不在此講解了,可以參考我相關的文章學習-創建Windows域. 首先在任意一臺DC上使用"AD用戶和計算機"工具創建2個OU,分別為"學術部","市場部".學術部OU下創建一個A用戶,而市場部OU下創建一個B用戶,等一會發現另一臺DC的AD數據庫上也有了相應的OU,自動完成了AD數據庫的同步. 然后使用NTBACKUP進行"系統備份": 使用"高級模式": 選擇備份"系統狀態": 查看備份文件: 2.活動目錄還原 a)活動目錄數據庫還原分為以下兩種:
??????? 非授權還原
??????? 授權還原
3.非授權還原：恢復活動目錄到它備份時的狀態? 執行非授權還原后:
?????? ?如果域中只有一個域控制器，在備份之后的任何修改都將丟失
??????? 如果域中有多個域控制器，則恢復已有的備份并從其他域控制器復制活動目錄對象的當前狀態. 執行非授權還原步驟方法如下:
1）重啟DC，在顯示啟動菜單時按F8鍵
2）選擇【目錄服務還原模式】
3）在登錄提示符處，輸入賬戶administrator，輸入還原密碼，進入系統
4）使用備份工具還原系統狀態數據
5）重啟DC 注意:備份完后,在任意一臺DC上把學術部和市場部的兩個OU都刪除掉,并等待AD數據庫同步,這時兩個DC的AD數據庫中都沒有這兩個OU了.但備份的文件中是有的,這個要記住! 那么大家想想,如果只有一個DC時,現在我還原了AD數據庫,那么這兩個OU應該回來,因為只有一個DC,沒有數據的同步問題.但現在一個域中同時有2個DC,而且再備份完AD數據庫后把這兩個OU刪除的,你會發現當你即使還原了AD數據庫,這兩個OU還是不會還原,這是因為你還原的AD數據庫中確實是有這兩個OU,但你要記住,當我們備份完后這兩個OU才被刪除的,按更新時間,刪除OU是備份之后做的,更新時間應該是最新,并且我們刪除的OU在另一臺DC中還完成了數據同步.所以當在一臺DC上還原AD時,從備份中會還原這兩個OU,但還原后它會去和另一臺DC去比較還原的數據是否是最新,結果不是,那么另一臺DC跟它完成數據庫同步時就會把這兩個剛還原的OU做為舊數據給刪除掉!這是我們要注意的! 還要注意的是默認情況下,在DC上刪除的活動目錄對象,會以墓碑的形式保留60天.在此期間執行還原是可以恢復該對象的.如果超過了此期限,則永久性刪除該對象,所以大家應避免恢復60天之前的AD數據庫,來避免AD的不完整! 所以備份完AD后,我們先刪除兩個OU,完成同步: 做完以上操作后,重起DC,按F8進入"目錄還原模式",進行AD數據庫還原工作: 進入系統時要輸入"還原密碼'(還記得我們在創建AD過程中讓輸入一個還原密碼嗎?現在它可就起到作用了,記住這里輸入的不是ADMINISTRATOR的登錄密碼): 選擇還原剛才備份的系統狀態: 還原成功后重起再進入正常模式,進入系統后檢查是否有這兩個OU存在! 結果剛開機時我們發現還原的這臺DC上有這兩個OU: 不過過了一段時間,等同步后,發現這兩個OU被刪除掉了: 另外需要注意:非還原模式還有一個好處就是當DC掛了的話,如果只有一個DC,但事先做過AD數據的備份工作,備份文件還在,那么我們怎樣快速的完成AD的恢復工作呢?有人會去再找一臺輸入工作組的計算機先創建域,在使用目錄還原.其實不用,我們直接找一臺屬于工作組的計算機,不必重新創建域,直接開機按F8進入目錄還原即可,還原后域和相應的AD中數據庫就都恢復了.這是因為備份的AD數據庫中就有域的信息,所以直接還原即可,切記啊! 4.授權還原：恢復活動目錄的特定對象,如備份后刪除了2個OU,要把其中一個OU為"學術部"恢復過來,就需要執行授權還原:
執行授權還原的步驟:
1）重啟DC，進入【目錄服務還原模式】
2）使用備份工具恢復活動目錄到原始位置
3）打開命令提示符，鍵入ntdsutil
4）鍵入“authoritative restore”
5）restore subtree “ou=學術部,dc=benet,dc=com,dc=cn”
6）退出ntdsutil，重啟DC 好,剛才進行了"非授權模式"的還原,現在我們來使用"授權模式"的還原! "非授權還原"恢復活動目錄到它備份時的狀態,而"授權還原"則是解決特定的一些對象的還原,而不是全部數據還原. 比如在一個域中有兩個DC,AD中有兩個OU,分別為OU1和OU2,事前對AD數據庫做了系統備份!有一天管理員在DC1上刪除了OU1和OU2,刪除后才發現原本只想刪除OU1,而OU2屬于誤刪除對象!此時,剛刪除的OU1和OU2已經自動復制到DC2上,兩臺DC的AD數據庫中都沒有了OU1和OU2,如果此時我們在DC1上使用"非授權還原"方式來還原AD數據庫時,你會發現剛還原的OU1和OU2會和DC2完成數據同步的時候被刪除掉,因為它們是舊文件,新的數據庫是沒有OU1和OU2的!這個剛才我們已經做過實驗了.那現在我們想要把誤刪除的OU1恢復回來該怎么辦?這時我們就需要使用"授權還原"方法來還原AD了.方法如下: 1.先在DC1上創建OU1和OU2后,對系統狀態進行備份: 3.備份完重啟按F8進入"目錄還原模式",進行AD數據庫的還原,但還原后千萬不要重啟電腦,打開命令提示符,輸入"NTDSUTIL"命令: 4.在NTDSUTIL提示符下,在輸入"AUTHORITATIVE RESTORE"命令來進行權威性的恢復數據庫: 5.在AUTHORITATIVE RESTORE提示符下,輸入RESTORE SUBTREE "OU=OU1,DC=APTECH,DC=COM"命令,按確定后彈出對話框后選擇"是": (注意:如果輸入RESTORE DATABASE命令是進行恢復所有數據) 6.輸入"QUIT"命令直到退出NTDSUTIL: 7.重啟DC,打開"AD用戶和計算機"查看OU1是否恢復,而OU2是否恢復: 完成操作后,可以看到OU1恢復了,而另一個OU2沒有恢復!

轉載于:https://blog.51cto.com/nickzp/40263

總結

以上是生活随笔為你收集整理的WINDOWS SERVER 2003从入门到精通之活动目录数据库的维护的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。