用备份进行Active Directory的灾难重建：Active Directory系列之三

用备份进行 Active Directory 的灾难重建

 

上篇博文中咱们介绍了如何部署第一个域，如今咱们来看看咱们可以利用域来作些什么。域中的计算机能够共享用户帐号，计算机帐号和安全策略，咱们来看看这些共享资源给咱们在分配网络资源时带来了哪些改变。实验拓扑以下图所示，咱们如今有个简单的任务，要把成员服务器Berlin上一个共享文件夹的读权限分配给公司的员工张建国。上次咱们实验时已经为张建国建立了用户帐号，此次咱们来看看如何利用这个用户帐号来实现资源分配的目标。

 

以下图所示，咱们在成员服务器Berlin上右键点击文件夹Tools，选择“共享和安全”，准备把Tools文件夹共享出来。

 

把Tools文件夹共享出来，共享名为Tools，同时点击“权限”，准备把Tools文件夹的读权限只分配给张建国。

 

Tools文件夹的默认共享权限是Everyone组只读，咱们删除默认的权限设置，点击添加按钮，准备把文件夹的读权限授予张建国。

 

以下图所示，咱们选择adtest.com域中的张建国做为权限的授予载体，这时咱们要理解域的共享用户帐号的含义，在域控制器上为张建国建立了用户帐号后，成员服务器分配资源时就可使用这些用户帐号了。

 

咱们把Tools文件夹的读权限授予了张建国。

 

咱们先用域管理员登陆访问一下Berlin上的Tools共享文件夹，以下图所示，域管理员没有访问共享文件夹的权限。这个结果和咱们的权限分配是一致的，咱们只把共享文件夹的权限授予了张建国。

 

以下图所示，在Perth上以张建国的身份登陆。

 

张建国访问Berlin上的共享文件夹Tools，以下图所示，张建国顺利地访问到了目标资源，咱们的资源分配达到了预期的效果。

 

作完这个实验后，咱们应该想一下，为何张建国在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，答案是这样的。当张建国登陆时，输入的用户名和口令将送到域控制器请求验证，域控制器若是承认了张建国输入的用户名和口令，域控制器将为张建国发放一个电子令牌，令牌中描述了张建国隶属于哪些组等信息，令牌就至关于张建国的电子×××。当张建国访问Berlin上的共享文件夹时，Berlin的守护进程会检查访问者的令牌，而后和被访问资源的访问控制列表进行比较。若是发现二者吻合，例如本例中Berlin上的共享文件夹容许域中的张建国访问，而访问者的令牌又证实了本身就是域中的张建国，那么访问者就能够透明访问资源，无需进行其余形式的身份验证。

咱们能够设想一下基于域的权限分配，天天早晨公司员工上班后，在本身的计算机上输入用户名和口令，而后域控制器验证后发放令牌，员工拿到令牌后就能够透明地访问域中的各类被受权访问的资源，例如共享打印机，共享文件夹，数据库，电子邮箱等。员工除了在登陆时要输入一次口令，之后在访问资源时都不须要再输入口令了，这种基于域的资源分配方式是否是很是的高效灵活呢？

可是，咱们要考虑一个问题，万一这个域控制器坏了怎么办？！若是这个域控制器损坏了，那用户登陆时可就没法得到令牌了，没有了这个令牌，用户就无法向成员服务器证实本身的身份，嘿嘿，那用户还能访问域中的资源吗？结果不言而喻，整个域的资源分配趋于崩溃。这个后果很严重，那咱们应该如何预防这种灾难性的后果呢？咱们能够考虑对活动目录进行备份以及部署额外域控制器，今天咱们先看如何利用对Active Directory的备份来实现域控制器的灾难重建。

若是只有一个域控制器，那么咱们能够利用Windows自带的备份工具对Active directory进行彻底备份，这样万一这个域控制器有个三长两短，备份能够帮助咱们从困境中解脱出来。

在Florence上依次点击 开始－程序－附件－系统工具－备份，以下图所示，出现了备份还原向导，点击下一步继续。

 

选择备份文件和设置。

 

不用备份计算机上的全部信息，咱们只备份Active Directory，所以咱们手工选择要备份的内容。

 

以下图所示，咱们选择备份System State，System State中包含了Active Directory。其实咱们只须要System State中的Active Directory，Registry和Sysvol就够了，但备份工具中不容许再进行粒度更细致的划分，所以咱们选择备份整个System State。

 

咱们把System State备份在C:\ADBAK目录下。

 

点击完成结束备份设置。

 

以下图所示，备份开始，等备份完成后咱们把备份文件复制到文件服务器进行保存便可。

 

好，备份完成后，咱们假设域控制器Florence发生了物理故障，如今咱们用另一台计算机来接替Florence。以下图所示，咱们把这台新计算机也命名为Florence，IP设置和原域控制器也保持一致，尤为是必定要把DNS指向为ADTEST.COM提供解析支持的那个DNS服务器，在此例中就是192.168.11.1。并且新的计算机不须要建立Active Directory，咱们从备份中恢复Active Directory便可。

从文件服务器上把System State的备份复制到新的Florence上，而后启动备份工具，以下图所示，选择下一步继续。

 

此次咱们选择还原文件和设置。

 

以下图所示，经过浏览按钮选择要还原的文件是C:\ADBAK\BACKUP.BKF，备份工具显示出了BACKUP.BKF的编录内容，勾选要还原的内容是System State，选择下一步继续。

 

还原设置完毕，点击完成结束。

 

以下图所示，还原开始，还原结束后咱们从新启动计算机便可Active Directory的重建工做。

 

从新启动Florence后，以下图所示，咱们发现Active Directory已经恢复了。

 

Florence的角色也发生了改变。

 

尝试让域用户进行登陆，一切正常，至此，Active Directory恢复完成！

若是域中惟一的域控制器发生了物理故障，那整个域的资源分配就要趋于崩溃，所以咱们颇有必要居安思危，未雨绸缪。使用用备份工具对Active Directory数据库进行备份，而后在域控制器崩溃时利用备分内容还原Active Directory是工程师常用的灾难恢复手段。这种方案简单易行，很适合小型企业使用，但愿你们都能掌握这种基础手段。下次咱们将介绍经过部署额外域控制器来解决Active Directory的容错和性能问题。