用備份進行Active Directory的災難重建

?

上篇博文中我們介紹了如何部署第一個域，現在我們來看看我們能夠利用域來做些什么。域中的計算機可以共享用戶賬號，計算機賬號和安全策略，我們來看看這些共享資源給我們在分配網絡資源時帶來了哪些改變。實驗拓撲如下圖所示，我們現在有個簡單的任務，要把成員服務器Berlin上一個共享文件夾的讀權限分配給公司的員工張建國。上次我們實驗時已經為張建國創建了用戶賬號，這次我們來看看如何利用這個用戶賬號來實現資源分配的目標。

?

如下圖所示，我們在成員服務器Berlin上右鍵點擊文件夾Tools，選擇“共享和安全”，準備把Tools文件夾共享出來。

?

把Tools文件夾共享出來，共享名為Tools，同時點擊“權限”，準備把Tools文件夾的讀權限只分配給張建國。

?

Tools文件夾的默認共享權限是Everyone組只讀，我們刪除默認的權限設置，點擊添加按鈕，準備把文件夾的讀權限授予張建國。

?

如下圖所示，我們選擇adtest.com域中的張建國作為權限的授予載體，這時我們要理解域的共享用戶賬號的含義，在域控制器上為張建國創建了用戶賬號后，成員服務器分配資源時就可以使用這些用戶賬號了。

?

我們把Tools文件夾的讀權限授予了張建國。

?

我們先用域管理員登錄訪問一下Berlin上的Tools共享文件夾，如下圖所示，域管理員沒有訪問共享文件夾的權限。這個結果和我們的權限分配是一致的，我們只把共享文件夾的權限授予了張建國。

?

如下圖所示，在Perth上以張建國的身份登錄。

?

張建國訪問Berlin上的共享文件夾Tools，如下圖所示，張建國順利地訪問到了目標資源，我們的資源分配達到了預期的效果。

?

做完這個實驗后，我們應該想一下，為什么張建國在訪問共享文件夾時沒有被要求身份驗證呢？這是個關鍵問題，答案是這樣的。當張建國登錄時，輸入的用戶名和口令將送到域控制器請求驗證，域控制器如果認可了張建國輸入的用戶名和口令，域控制器將為張建國發放一個電子令牌，令牌中描述了張建國隸屬于哪些組等信息，令牌就相當于張建國的電子身份證。當張建國訪問Berlin上的共享文件夾時，Berlin的守護進程會檢查訪問者的令牌，然后和被訪問資源的訪問控制列表進行比較。如果發現兩者吻合，例如本例中Berlin上的共享文件夾允許域中的張建國訪問，而訪問者的令牌又證明了自己就是域中的張建國，那么訪問者就可以透明訪問資源，無需進行其他形式的身份驗證。 我們可以設想一下基于域的權限分配，每天早晨公司員工上班后，在自己的計算機上輸入用戶名和口令，然后域控制器驗證后發放令牌，員工拿到令牌后就可以透明地訪問域中的各種被授權訪問的資源，例如共享打印機，共享文件夾，數據庫，電子郵箱等。員工除了在登錄時要輸入一次口令，以后在訪問資源時都不需要再輸入口令了，這種基于域的資源分配方式是不是非常的高效靈活呢？ 但是，我們要考慮一個問題，萬一這個域控制器壞了怎么辦？！如果這個域控制器損壞了，那用戶登錄時可就無法獲得令牌了，沒有了這個令牌，用戶就沒法向成員服務器證明自己的身份，嘿嘿，那用戶還能訪問域中的資源嗎？結果不言而喻，整個域的資源分配趨于崩潰。這個后果很嚴重，那我們應該如何預防這種災難性的后果呢？我們可以考慮對活動目錄進行備份以及部署額外域控制器，今天我們先看如何利用對Active Directory的備份來實現域控制器的災難重建。 如果只有一個域控制器，那么我們可以利用Windows自帶的備份工具對Active directory進行完全備份，這樣萬一這個域控制器有個三長兩短，備份可以幫助我們從困境中解脫出來。 在Florence上依次點擊 開始－程序－附件－系統工具－備份，如下圖所示，出現了備份還原向導，點擊下一步繼續。

?

選擇備份文件和設置。

?

不用備份計算機上的所有信息，我們只備份Active Directory，因此我們手工選擇要備份的內容。

?

如下圖所示，我們選擇備份System State，System State中包含了Active Directory。其實我們只需要System State中的Active Directory，Registry和Sysvol就夠了，但備份工具中不允許再進行粒度更細致的劃分，因此我們選擇備份整個System State。

?

我們把System State備份在C:\ADBAK目錄下。

?

點擊完成結束備份設置。

?

如下圖所示，備份開始，等備份完成后我們把備份文件復制到文件服務器進行保存即可。

?

好，備份完成后，我們假設域控制器Florence發生了物理故障，現在我們用另外一臺計算機來接替Florence。如下圖所示，我們把這臺新計算機也命名為Florence，IP設置和原域控制器也保持一致，尤其是一定要把DNS指向為ADTEST.COM提供解析支持的那個DNS服務器，在此例中就是192.168.11.1。而且新的計算機不需要創建Active Directory，我們從備份中恢復Active Directory即可。


從文件服務器上把System State的備份復制到新的Florence上，然后啟動備份工具，如下圖所示，選擇下一步繼續。

?

這次我們選擇還原文件和設置。

?

如下圖所示，通過瀏覽按鈕選擇要還原的文件是C:\ADBAK\BACKUP.BKF，備份工具顯示出了BACKUP.BKF的編錄內容，勾選要還原的內容是System State，選擇下一步繼續。

?

還原設置完畢，點擊完成結束。

?

如下圖所示，還原開始，還原結束后我們重新啟動計算機即可Active Directory的重建工作。

?

重新啟動Florence后，如下圖所示，我們發現Active Directory已經恢復了。

?

Florence的角色也發生了改變。

?

嘗試讓域用戶進行登錄，一切正常，至此，Active Directory恢復完成！ 如果域中唯一的域控制器發生了物理故障，那整個域的資源分配就要趨于崩潰，因此我們很有必要居安思危，未雨綢繆。使用用備份工具對Active Directory數據庫進行備份，然后在域控制器崩潰時利用備份內容還原Active Directory是工程師經常使用的災難恢復手段。這種方案簡單易行，很適合小型企業使用，希望大家都能掌握這種基礎手段。下次我們將介紹通過部署額外域控制器來解決Active Directory的容錯和性能問題。 與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的用备份进行Active Directory的灾难重建：Active Directory系列之三的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。