企业活动目录数据库维护图解文档格式.doc

1、包括:注册表（Registry）,COM+类注册数据库（COM+ Class Registration Database）,启动文件（Boot Files）,活动目录（Active Directory）,系统卷（SYSVOL）方法如下:准备2台虚拟机,域名为APTECH.COM,一台DC1,一台DC2,两台DC都是APTECH.COM的域控制器,创建DC和辅助DC的步骤就不在此讲解了,可以参考我相关的文章学习-创建Windows域.首先在任意一台DC上使用AD用户和计算机工具创建2个OU,分别为学术部,市场部.学术部OU下创建一个A用户,而市场部OU下创建一个B用户,等一会发现另一台DC的AD

2、数据库上也有了相应的OU,自动完成了AD数据库的同步.然后使用NTBACKUP进行系统备份:使用高级模式选择备份查看备份文件:2.活动目录还原 a）活动目录数据库还原分为以下两种: 非授权还原 授权还原3.非授权还原：恢复活动目录到它备份时的状态执行非授权还原后: 如果域中只有一个域控制器，在备份之后的任何修改都将丢失 如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态.执行非授权还原步骤方法如下:1）重启DC，在显示启动菜单时按F8键2）选择【目录服务还原模式】3）在登录提示符处，输入账户administrator，输入还原密码，进入系统4）使用备份工具还原系

3、统状态数据5）重启DC注意:备份完后,在任意一台DC上把学术部和市场部的两个OU都删除掉,并等待AD数据库同步,这时两个DC的AD数据库中都没有这两个OU了.但备份的文件中是有的,这个要记住!那么大家想想,如果只有一个DC时,现在我还原了AD数据库,那么这两个OU应该回来,因为只有一个DC,没有数据的同步问题.但现在一个域中同时有2个DC,而且再备份完AD数据库后把这两个OU删除的,你会发现当你即使还原了AD数据库,这两个OU还是不会还原,这是因为你还原的AD数据库中确实是有这两个OU,但你要记住,当我们备份完后这两个OU才被删除的,按更新时间,删除OU是备份之后做的,更新时间应该是最新,并且

4、我们删除的OU在另一台DC中还完成了数据同步.所以当在一台DC上还原AD时,从备份中会还原这两个OU,但还原后它会去和另一台DC去比较还原的数据是否是最新,结果不是,那么另一台DC跟它完成数据库同步时就会把这两个刚还原的OU做为旧数据给删除掉!这是我们要注意的!还要注意的是默认情况下,在DC上删除的活动目录对象,会以墓碑的形式保留60天.在此期间执行还原是可以恢复该对象的.如果超过了此期限,则永久性删除该对象,所以大家应避免恢复60天之前的AD数据库,来避免AD的不完整!所以备份完AD后,我们先删除两个OU,完成同步:做完以上操作后,重起DC,按F8进入目录还原模式,进行AD数据库还原工作:进

5、入系统时要输入还原密码（还记得我们在创建AD过程中让输入一个还原密码吗?现在它可就起到作用了,记住这里输入的不是ADMINISTRATOR的登录密码）:选择还原刚才备份的系统状态:还原成功后重起再进入正常模式,进入系统后检查是否有这两个OU存在!结果刚开机时我们发现还原的这台DC上有这两个OU:不过过了一段时间,等同步后,发现这两个OU被删除掉了:另外需要注意:非还原模式还有一个好处就是当DC挂了的话,如果只有一个DC,但事先做过AD数据的备份工作,备份文件还在,那么我们怎样快速的完成AD的恢复工作呢?有人会去再找一台输入工作组的计算机先创建域,在使用目录还原.其实不用,我们直接找一台属于工作

6、组的计算机,不必重新创建域,直接开机按F8进入目录还原即可,还原后域和相应的AD中数据库就都恢复了.这是因为备份的AD数据库中就有域的信息,所以直接还原即可,切记啊!4.授权还原：恢复活动目录的特定对象,如备份后删除了2个OU,要把其中一个OU为恢复过来,就需要执行授权还原:执行授权还原的步骤:1）重启DC，进入【目录服务还原模式】2）使用备份工具恢复活动目录到原始位置3）打开命令提示符，键入ntdsutil4）键入“authoritative restore” 5）restore subtree “ou=学术部,dc=benet,dc=com,dc=cn” 6）退出ntdsutil，重启DC

7、 好,刚才进行了非授权模式的还原,现在我们来使用授权模式的还原!非授权还原恢复活动目录到它备份时的状态,而授权还原则是解决特定的一些对象的还原,而不是全部数据还原.比如在一个域中有两个DC,AD中有两个OU,分别为OU1和OU2,事前对AD数据库做了系统备份!有一天管理员在DC1上删除了OU1和OU2,删除后才发现原本只想删除OU1,而OU2属于误删除对象!此时,刚删除的OU1和OU2已经自动复制到DC2上,两台DC的AD数据库中都没有了OU1和OU2,如果此时我们在DC1上使用方式来还原AD数据库时,你会发现刚还原的OU1和OU2会和DC2完成数据同步的时候被删除掉,因为它们是旧文件,新的数

8、据库是没有OU1和OU2的!这个刚才我们已经做过实验了.那现在我们想要把误删除的OU1恢复回来该怎么办?这时我们就需要使用方法来还原AD了.方法如下:1. 先在DC1上创建OU1和OU2后,对系统状态进行备份:3.备份完重启按F8进入,进行AD数据库的还原,但还原后千万不要重启电脑,打开命令提示符,输入NTDSUTIL命令:4.在NTDSUTIL提示符下,在输入AUTHORITATIVE RESTORE命令来进行权威性的恢复数据库:5.在AUTHORITATIVE RESTORE提示符下,输入RESTORE SUBTREE OU=OU1,DC=APTECH,DC=COM命令,按确定后弹出对话框后选择是（注意:如果输入RESTORE DATABASE命令是进行恢复所有数据）6.输入QUIT命令直到退出NTDSUTIL:7.重启DC,打开查看OU1是否恢复,而OU2是否恢复:完成操作后,可以看到OU1恢复了,而另一个OU2没有恢复!