2022年AD配置与应用系列[汇 .pdf

《2022年AD配置与应用系列[汇 .pdf》由会员分享，可在线阅读，更多相关《2022年AD配置与应用系列[汇 .pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、用备份进行Active Directory的灾难重建：Active Directory系列之三2008-11-29 16:07:06标签：备份域控制器ActiveDirectory 推送到技术圈 版 权 声 明：原 创 作 品，允 许 转 载，转 载 时 请 务 必 以 超 链 接 形 式 标 明 文 章原 始出 处、作 者 信 息 和 本 声 明。否 则 将 追 究 法 律 责 任。ht t p:/yuele i.b lo g.51c t o.c om/20 2 87 9/11 61 8 1用备份进行 Active Directory的灾难重建上篇博文中我们介绍了如何部署第一个域，现在我们来

2、看看我们能够利用域来做些什么。域中的计算机可以共享用户账号，计算机账号和安全策略，我们来看看这些共享资源给我们在分配网络资源时带来了哪些改变。实验拓扑如下图所示，我们现在有个简单的任务，要把成员服务器Berlin上一个共享文件夹的读权限分配给公司的员工张建国。上次我们实验时已经为张建国创建了用户账号，这次我们来看看如何利用这个用户账号来实现资源分配的目标。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 16 页 -如下图所示，我们在成员服务器Berlin上右键点击文件夹Tools，选择“共享和安全”，准备把Tools 文件夹共享出来。名师资料总结-精品资料欢迎下载-名师精心整理-

3、第 2 页，共 16 页 -把 Tools 文件夹共享出来，共享名为Tools，同时点击“权限”，准备把Tools 文件夹的读权限只分配给张建国。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 16 页 -Tools 文件夹的默认共享权限是Everyone组只读，我们删除默认的权限设置，点击添加按钮，准备把文件夹的读权限授予张建国。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 16 页 -如下图所示，我们选择域中的张建国作为权限的授予载体，这时我们要理解域的共享用户账号的含义，在域控制器上为张建国创建了用户账号后，成员服务器分配资源时就可以使用这些用户账号了。我们

4、把 Tools 文件夹的读权限授予了张建国。我们先用域管理员登录访问一下Berlin上的 Tools 共享文件夹，如下图所示，域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的，我们只把共享文件夹的权限授予了张建国。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 16 页 -如下图所示，在Perth 上以张建国的身份登录。张建国访问 Berlin上的共享文件夹Tools，如下图所示，张建国顺利地访问到了目标资源，我们的资源分配达到了预期的效果。做完这个实验后，我们应该想一下，为什么张建国在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，答案是这样的。当张建国

5、登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了张建国输入的用户名和口令，域控制器将为张建国发放一个电子令牌，令牌中描述了张建国隶属于哪些组等信息，令牌就相当于张建国的电子身份证。当张建国访问Berlin 上的共享文件夹时，Berlin的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中 Berlin上的共名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 16 页 -享文件夹允许域中的张建国访问，而访问者的令牌又证明了自己就是域中的张建国，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。我们可以设想一下基于

6、域的权限分配，每天早晨公司员工上班后，在自己的计算机上输入用户名和口令，然后域控制器验证后发放令牌，员工拿到令牌后就可以透明地访问域中的各种被授权访问的资源，例如共享打印机，共享文件夹，数据库，电子邮箱等。员工除了在登录时要输入一次口令，以后在访问资源时都不需要再输入口令了，这种基于域的资源分配方式是不是非常的高效灵活呢？但是，我们要考虑一个问题，万一这个域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就没法向成员服务器证明自己的身份，嘿嘿，那用户还能访问域中的资源吗？结果不言而喻，整个域的资源分配趋于崩溃。这个后果很严重，那我们应该如何预防这

7、种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，今天我们先看如何利用对Active Directory的备份来实现域控制器的灾难重建。如果只有一个域控制器，那么我们可以利用Windows自带的备份工具对Active directory进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。在 Florence上依次点击开始程序附件系统工具备份，如下图所示，出现了备份还原向导，点击下一步继续。选择备份文件和设置。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 16 页 -不用备份计算机上的所有信息，我们只备份Active Direct

8、ory，因此我们手工选择要备份的内容。如下图所示，我们选择备份System State，System State中包含了 Active Directory。其实我们只需要System State中的 Active Directory，Registry和 Sysvol 就够了，但备份工具中不允许再进行粒度更细致的划分，因此我们选择备份整个System State。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 16 页 -我们把 System State备份在 C:ADBAK目录下。点击完成结束备份设置。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 16 页 -如下

9、图所示，备份开始，等备份完成后我们把备份文件复制到文件服务器进行保存即可。好，备份完成后，我们假设域控制器Florence发生了物理故障，现在我们用另外一台计算机来接替Florence。如下图所示，我们把这台新计算机也命名为 Florence，IP 设置和原域控制器也保持一致，尤其是一定要把DNS 指向为 ADTEST.COM提供解析支持的那个DNS 服务器，在此例中就是192.168.11.1。而且新的计算机不需要创建Active Directory，我们从备份中恢复名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 16 页 -Active Directory即可。名师资料总结

10、-精品资料欢迎下载-名师精心整理-第 11 页，共 16 页 -从文件服务器上把System State的备份复制到新的Florence上，然后启动备份工具，如下图所示，选择下一步继续。这次我们选择还原文件和设置。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 16 页 -如下图所示，通过浏览按钮选择要还原的文件是C:ADBAKBACKUP.BKF，备份工具显示出了BACKUP.BKF的编录内容，勾选要还原的内容是SystemState，选择下一步继续。还原设置完毕，点击完成结束。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 16 页 -如下图所示，还原开始，

11、还原结束后我们重新启动计算机即可Active Directory 的重建工作。重新启动 Florence后，如下图所示，我们发现 Active Directory已经恢复了。名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 16 页 -Florence的角色也发生了改变。尝试让域用户进行登录，一切正常，至此，Active Directory恢复完成！如果域中唯一的域控制器发生了物理故障，那整个域的资源分配就要趋于崩溃，因此我们很有必要居安思危，未雨绸缪。使用用备份工具对Active Directory数据库进行备份，然后在域控制器崩溃时利用备份内容还原Active Di名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 16 页 -rectory是工程师经常使用的灾难恢复手段。这种方案简单易行，很适合小型企业使用，希望大家都能掌握这种基础手段。下次我们将介绍通过部署额外域控制器来解决 Active Directory的容错和性能问题。名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 16 页 -