AD灾难恢复问题
2011-12-09 10:25
225 查看
一、环境说明
作为一个网络管理员,你没有想过,如果一旦有一天,你们AD发生了灾难,你该如何办?
我们的生产环境中,是一个单域多站点的Windows 20003的AD域,其中有几个AD服务器。2007年9月11日那一天,我们中心的机房断电,UPS电源也不足,域中的第一台DC(具有五个角色)档机了,其它的服务器也连二接三地关闭了。一个小时后,市电来了,我们打开我们的第一台DC服务器时,也现此台DC已启动不了。其它的几台DC却可以启动。用户的使用还都正常。于是我们就悠闲地着手找AD恢复的资料,并做相关AD恢复准备。可是还没有等我们准备好恢复那台主DC时,已过了两个小时,此时去发现其它的几台DC也出现了问题。重新启动后也不能恢复正常了。用户也不能登陆域了,所有有关基本AD验证的程序都不能正常使用了。到此我们都有的DC都不能正常运行,如何办?我们急得如热锅上的蚂蚁,不知如何是好?
二、AD的备份
我们平时在AD的维护过程,一定要注意对AD的备份,特点是系统状态表的备份。只有做了系统状态表的备份,当AD发生灾难时,我们才有对AD进行恢复的可能。
用户不能登陆网络了,我再也没有心思再找AD恢复的资料。赶紧找以前的备份,我记得我前使用Ntbackup工具对我们的DC做过备份呀,怎么就找不到放到哪里呢?找了半个小时,终于找到了有关AD的几个备份。其中第一台DCServer01(具有五角色)的备份是2007年9月1日的一次系统状态表的备份。另外一台DCServer03的备份2007年9月3日的,其它几个DC的备份是2007年9月1日以前的.我比较了一下这几个备份,DcServer03的备份最新,但DCServer01的备份只早了两天,而且在这几天,我们没有做太多的AD添加与删除的任务.于是我决定使用DCServer01的备份来恢复.这样做后就不存在DC五个角色的夺取的任务了.
三、DC的恢复
原DCServer01的配置:
我仔细回忆了一下,我们的DcServer01上安装的组件与现有的服务,基本是如下:
操作系统是Windows Server 2000 Enterprise with SP2的简体中文版;
安装DNS网络服务;
WINS网络服务(与AD恢复无关);
此台DC是还安装了CA证书服务;
由于安装了CA证书,因此需要安装IIS服务。
新DCServer01的安装(新的闲置服务器):
1、新找一台与现在的DCServer01服务器硬件上配置近似的闲置服务器;
2、并按原DCServer01上所安装的系统与补丁版本进行安装新的服务器。但不要安装与AD恢复无关的服务;
3、更改计算机名字为原DC服务器的名字:DCServer01;
4、目前不用配置IP和安装DNS服务;
5、将2007年9月1日原DCServer01的系统状态表的备份复制到新的DCServer01上.恢复时要注意选择“文件全部替换”;
6、在新的DCServer01上使用NTBackup命令进行系统状态表的还原;
7、重新启动DCServer01,按系统登陆的正常模式登陆。如果能正常启动到用户名与密码的界面,登陆后检查发现,在“管理工具”中没有AD管理的三个工具,但使用命令模式,可以打开AD管理的三个工具:Dsa.msc、Dssite.msc、Domain.msc.并检查DC的五个角色,也都正常;
8、安装DNS服务,打开DNS管理工具,DNS的结构与内容也正常;
9、使用NetDiag与DCDiag命令进行检查,发现只有有关DC复制的错误信息,其它方面都正常;
10、在事件查看器上,只有“文件复制服务”的日志中,有一些复制的错误。其它几个日志的内容都正常。
11、在”管理工具”中打开“证书频发机构”。检查证书及服务也正常。
12、重新启动这台DC,按[F8]进“入目录恢复还原模式”;
13、在DOS模式下,运行Ntdsutil命令,进行授权恢复.
14、重新启动DC后,接入网络后,测试各种有关基本AD的应用,发现一切正常。
在使用NTBackup进行系统状态表恢复后,重新启动DCServer01,如果出现蓝屏(由于硬件配置不一致,可能会出现蓝屏),请按以下的步骤系统进行:
7A、使用Windows 20003安装盘进行启动DCServer01;
8A、在Windows 20003的安装的“欢迎使用安装程序”页面中,选择“要现在安装Windows ,请按Enter键”;
9A、在Windows 20003的安装的“安装程序修复”页面中,选择“要修复所选的Windows 安装,请按R”;
10A、在系统恢复完成后,重新启动DCServer01(这时候可以正常进入AD模式);
11A、安装DNS服务(系统恢复过程中,DNS服务被恢复);
12A、重新配置IP地址。
13A、修改注册表键值BurFlags”为“d4:找到“HLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup”,修改BurFlags”的值为“d4(系统恢复过程中,此项值被恢复)
14A、使用命令模式,可以打开AD管理的三个工具:Dsa.msc、Dssite.msc、Domain.msc.并检查DC的五个角色,也都正常。
15A、以后的步骤可按8-14,进行检查与验证。
四、测试
1、将以前已加入生产环境域的一台客户机,接入到恢复测试域的环境中,进行登陆,可以正常登陆;
2、使用一个已创建的用户帐户,在这台电脑上进行登陆域的测试,可以正常登陆域;
3、新安装一台客户机,加入恢复环境下的域进行测试,可以正常加入域;
4、在恢复测试的环境域中,创建一个新的用户帐户,并进行登陆域的测试,可以正常登陆;
5、在客户机上访问域中的一些资源,可以正常访问.
当AD灾难来临时,我是这样做的。
更多内容请参考: http://support.microsoft.com/kb/263532/zh-cn 或 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog3.mspx
作为一个网络管理员,你没有想过,如果一旦有一天,你们AD发生了灾难,你该如何办?
我们的生产环境中,是一个单域多站点的Windows 20003的AD域,其中有几个AD服务器。2007年9月11日那一天,我们中心的机房断电,UPS电源也不足,域中的第一台DC(具有五个角色)档机了,其它的服务器也连二接三地关闭了。一个小时后,市电来了,我们打开我们的第一台DC服务器时,也现此台DC已启动不了。其它的几台DC却可以启动。用户的使用还都正常。于是我们就悠闲地着手找AD恢复的资料,并做相关AD恢复准备。可是还没有等我们准备好恢复那台主DC时,已过了两个小时,此时去发现其它的几台DC也出现了问题。重新启动后也不能恢复正常了。用户也不能登陆域了,所有有关基本AD验证的程序都不能正常使用了。到此我们都有的DC都不能正常运行,如何办?我们急得如热锅上的蚂蚁,不知如何是好?
二、AD的备份
我们平时在AD的维护过程,一定要注意对AD的备份,特点是系统状态表的备份。只有做了系统状态表的备份,当AD发生灾难时,我们才有对AD进行恢复的可能。
用户不能登陆网络了,我再也没有心思再找AD恢复的资料。赶紧找以前的备份,我记得我前使用Ntbackup工具对我们的DC做过备份呀,怎么就找不到放到哪里呢?找了半个小时,终于找到了有关AD的几个备份。其中第一台DCServer01(具有五角色)的备份是2007年9月1日的一次系统状态表的备份。另外一台DCServer03的备份2007年9月3日的,其它几个DC的备份是2007年9月1日以前的.我比较了一下这几个备份,DcServer03的备份最新,但DCServer01的备份只早了两天,而且在这几天,我们没有做太多的AD添加与删除的任务.于是我决定使用DCServer01的备份来恢复.这样做后就不存在DC五个角色的夺取的任务了.
三、DC的恢复
原DCServer01的配置:
我仔细回忆了一下,我们的DcServer01上安装的组件与现有的服务,基本是如下:
操作系统是Windows Server 2000 Enterprise with SP2的简体中文版;
安装DNS网络服务;
WINS网络服务(与AD恢复无关);
此台DC是还安装了CA证书服务;
由于安装了CA证书,因此需要安装IIS服务。
新DCServer01的安装(新的闲置服务器):
1、新找一台与现在的DCServer01服务器硬件上配置近似的闲置服务器;
2、并按原DCServer01上所安装的系统与补丁版本进行安装新的服务器。但不要安装与AD恢复无关的服务;
3、更改计算机名字为原DC服务器的名字:DCServer01;
4、目前不用配置IP和安装DNS服务;
5、将2007年9月1日原DCServer01的系统状态表的备份复制到新的DCServer01上.恢复时要注意选择“文件全部替换”;
6、在新的DCServer01上使用NTBackup命令进行系统状态表的还原;
7、重新启动DCServer01,按系统登陆的正常模式登陆。如果能正常启动到用户名与密码的界面,登陆后检查发现,在“管理工具”中没有AD管理的三个工具,但使用命令模式,可以打开AD管理的三个工具:Dsa.msc、Dssite.msc、Domain.msc.并检查DC的五个角色,也都正常;
8、安装DNS服务,打开DNS管理工具,DNS的结构与内容也正常;
9、使用NetDiag与DCDiag命令进行检查,发现只有有关DC复制的错误信息,其它方面都正常;
10、在事件查看器上,只有“文件复制服务”的日志中,有一些复制的错误。其它几个日志的内容都正常。
11、在”管理工具”中打开“证书频发机构”。检查证书及服务也正常。
12、重新启动这台DC,按[F8]进“入目录恢复还原模式”;
13、在DOS模式下,运行Ntdsutil命令,进行授权恢复.
14、重新启动DC后,接入网络后,测试各种有关基本AD的应用,发现一切正常。
在使用NTBackup进行系统状态表恢复后,重新启动DCServer01,如果出现蓝屏(由于硬件配置不一致,可能会出现蓝屏),请按以下的步骤系统进行:
7A、使用Windows 20003安装盘进行启动DCServer01;
8A、在Windows 20003的安装的“欢迎使用安装程序”页面中,选择“要现在安装Windows ,请按Enter键”;
9A、在Windows 20003的安装的“安装程序修复”页面中,选择“要修复所选的Windows 安装,请按R”;
10A、在系统恢复完成后,重新启动DCServer01(这时候可以正常进入AD模式);
11A、安装DNS服务(系统恢复过程中,DNS服务被恢复);
12A、重新配置IP地址。
13A、修改注册表键值BurFlags”为“d4:找到“HLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup”,修改BurFlags”的值为“d4(系统恢复过程中,此项值被恢复)
14A、使用命令模式,可以打开AD管理的三个工具:Dsa.msc、Dssite.msc、Domain.msc.并检查DC的五个角色,也都正常。
15A、以后的步骤可按8-14,进行检查与验证。
四、测试
1、将以前已加入生产环境域的一台客户机,接入到恢复测试域的环境中,进行登陆,可以正常登陆;
2、使用一个已创建的用户帐户,在这台电脑上进行登陆域的测试,可以正常登陆域;
3、新安装一台客户机,加入恢复环境下的域进行测试,可以正常加入域;
4、在恢复测试的环境域中,创建一个新的用户帐户,并进行登陆域的测试,可以正常登陆;
5、在客户机上访问域中的一些资源,可以正常访问.
当AD灾难来临时,我是这样做的。
更多内容请参考: http://support.microsoft.com/kb/263532/zh-cn 或 http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog3.mspx
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- AD灾难恢复后sysvol无法共享问题
- ADModify.net灾难恢复
- AD的灾难恢复
- AD灾难恢复
- AD和Exchange灾难恢复一:还原DC和Exchange
- AD和Exchange灾难恢复二:还原Exchange Server 2003数据库
- AD灾难恢复
- AD灾难恢复-AD备份及恢复
- (图) Server 2008 R2主域控AD的灾难恢复(实战)
- WIN 2003 AD数据库灾难恢复
- 活动目录域AD灾难恢复后没有sysvol和NETLOGON共享
- Exchange Server 2007灾难恢复(AD+Ex)
- 域服务器灾难恢复之后的问题及处理方法
- AD和Exchange灾难恢复四:恢复存储组
- windows server AD灾难恢复
- 地震后的重建!——AD灾难恢复! 推荐
- IBM DS4300存储灾难恢复问题解析
- AD灾难恢复情景及方案 推荐
- AD灾难恢复后重建SYSVOL和NETLOGON共享
- mdf文件问题SQL Server灾难恢复技巧