AD备份恢复方案主DC:1台辅助DC:2台1.理想化备份方案建议:DC:周日0:00进行全备份,周一到周六进行增量备份;1.1主域DC:SystemState)1.2辅助域DC:SystemState)2.主DC恢复操作1、原始恢复用于重建域中的第一个域控制器。步骤:进入目录恢复模式,在向导页面使用“高级模式”,并选择“当还原复制的数据集时,将XXX所有副本的主要数据”。(如安装新硬盘时损坏数据库)2、正常恢复(非授权恢复)用于恢复受损的AD数据库。步骤:•活动目录数据库还原–非授权还原–授权还原•非授权还原:恢复活动目录到它备份时的状态•执行非授权还原后–如果域中只有一个域控制器,在备份之后的任何修改都将丢失–如果域中有多个域控制器,则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态执行非授权还原步骤1)重启DC,在显示启动菜单时按F8键2)选择【目录服务还原模式】3)在登录提示符处,输入账户administrator,输入还原密码,进入系统4)使用备份工具还原系统状态数据5)重启DC3、授权恢复把AD恢复到先前的一个状态步骤:•AuthoritativeRestore•授权还原:恢复活动目录的特定对象•执行授权还原的步骤1)重启DC,进入【目录服务还原模式】2)使用备份工具恢复活动目录到原始位置3)打开命令提示符,键入ntdsutil4)键入“authoritativerestore”5)restoresubtree“ou=sales,dc=xapc,dc=com”6)退出ntdsutil,重启DC5、当主DC系统服务无法正常运行时启动到目录恢复模式,通过备份工具执行正常恢复(非授权恢复),然后重新启动即可。6、当主DC无法启动时重新安装后恢复即可。【备份与恢复如下示例:】在主域中新建两个OU(市场部、技术部)在DC1上建好OU后,在辅助DC(DC2)中也有同步了DC1的数据,也有了这两个OU备份xapc.com的DC1开始备份备份进度完成查看备份文件删除DC1上的两个OU,同时DC2上也被删除了,因为两个DC之间要相互更新数据(新的替换旧文件)现在在DC1上恢复两个OU重启DC,在显示启动菜单时按F8键选择“目录服务还原模式”在登陆提示符处,输入域管理员帐户,输入还原密码,进入系统使用备份工具还原系统状态数据开始还原完成重启查看还原后的DCDC同步后,OU又删除了授权还原重启DC,进入“目录服务还原模式”使用备份工具恢复活动目录到原始位置还原到原始位置后,不要重启马上打开命令提示符,键入ntdsutil输入授权还原条件成功重启DC查看DC1还原效果查看DC2的效果3.辅助域DC恢复操作1、从AD中清除主域控制器DC0n对象步骤:重新启动主域控制器,进入活动目录恢复模式,输入:【ntdsutil】,输入:【metadatacleanup】输入:【connection】输入:【connecttoserverservernameFQDN】,输入:【quit】输入:【selectoperationtarget】输入:【listsites】输入:【selectsitesitenamber】输入:【listdomainsinsite】输入:【selectdomaindomainnumber】输入:【quit】输入:【removeselectedDomain】输入:【quit】即可。【如下示例】:连接到目标DC添加转换操作主机类型注:域控制器可以在本域中更改名称,但如果跨域改名时,需要先降级然后再升级为新域的控制器2、当辅助DC系统服务无法正常运行执行正常恢复3、当辅助DC无法启动时重新安装操作系统,然后执行正常恢复4、当辅助DC系统服务无法正常运行执行正常恢复5、当辅助DC无法启动时重新安装操作系统,执行正常恢复即可。之前需:输入:【ntdsutil】然后输入:【roles】后输入:【connections】然后输入【quit】,然后输入:【seizePDC】及【seizeinfrastructuremaster】及【seizeRIDmaster】【下面是参考:】c:ntdsutilntdsutil:rolesfsmomaintenance:Selectoperationtargetselectoperationtarget:connectionsserverconnections:connecttodomaintest.comselectoperationtarget:listsitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectsite0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNocurrentdomainNocurrentserverNocurrentNamingContextselectoperationtarget:ListdomainsinsiteFound1domain(s)0-DC=test,DC=comselectoperationtarget:selectdomain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain-DC=test,DC=comNocurrentserverNocurrentNamingContextselectoperationtarget:ListserversfordomaininsiteFound1server(s)0-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectserver0selectoperationtarget:quitfsmomaintenance:Seizedomainnamingmaster出现对话框,按“确定“fsmomaintenance:Seizeinfrastructuremaster出现对话框,按“确定“fsmomaintenance:SeizePDC出现对话框,按“确定“fsmomaintenance:SeizeRIDmaster出现对话框,按“确定“fsmomaintenance:Seizeschemamaster出现对话框,按“确定“fsmomaintenance:quitntdsutil:quit(注:Seize是在原FSMO不在线时进行操作,如果原FSMO在线,需要使用Transfer操作)6、当在其中的一个DC1上误删一个对象时将DC1进入目录服务恢复模式,还原系统状态备份,然后不关机,进入【cmd】,输入:【ntdsutil】执行:【authoritativerestore】然后【restoreobject“cn=username,ou=imc,dc=coscon,dc=cosmel,dc=com”】然后【quit】,重新启动即可我们不建议您通过这样方式来备份和恢复ad数据,如果你希望替换原有DC的话,可以采用下面的方法:1.将第一台DC上的五个操作主机角色和GC角色转移到第二台DC上,转移操作主机的详细信息,请您参考下面的链接:=kb;zh-cn;324801如何查看和转移WindowsServer2003中的FSMO角色2.转移GC的步骤如下:a.打开活动目录站点和服务;b.展开site,定位到your_site_name_name-server,选中指定的服务器如第一台DC,c.展开服务器下面NTDSSettings;d.右键单击,选择属性,e.将全局目录前面的勾去掉。f.然后展开新的服务器(第二台DC)下面的NTDSSettings;g.右键单击,选择属性,h.勾选全局目录前面的对话框。3.使用dcpromo命令将第一台DC降级,有关DC降级的详细信息,请您参考下面的链接:降级域控制器