用备份进行Active Directory的灾难重建

本实验拓扑仍然和上一篇博客一样。上篇博文中我们介绍了如何部署第一个域，域中的计算机可以共享用户账号，计算机账号和安全策略，我们应该想一下，为什么王楠在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，答案是这样的。当王楠登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了王楠输入的用户名和口令，域控制器将为王楠发放一个电子令牌，令牌中描述了王楠隶属于哪些组等信息，令牌就相当于王楠的×××。当王楠访问mufeng上的共享文件夹时，mufeng的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中mufeng上的共享文件夹允许域中的王楠访问，而访问者的令牌又证明了自己就是域中的王楠，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。

我们可以设想一下基于域的权限分配，每天早晨公司员工上班后，在自己的计算机上输入用户名和口令，然后域控制器验证后发放令牌，员工拿到令牌后就可以透明地访问域中的各种被授权访问的资源，例如共享打印机，共享文件夹，数据库，电子邮箱等。员工除了在登录时要输入一次口令，以后在访问资源时都不需要再输入口令了，这种基于域的资源分配方式是不是非常的高效灵活呢？

但是，我们要考虑一个问题，万一这个域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就没法向成员服务器证明自己的身份，咦……那用户还能访问域中的资源吗？结果不言而喻，整个域的资源分配趋于崩溃。这个后果很严重，那我们应该如何预防这种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，今天我们先看如何利用对Active Directory的备份来实现域控制器的灾难重建。

如果只有一个域控制器，那么我们可以利用Windows自带的备份工具对Active directory进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。

我们在域控制器（jinshan）上依次展开，开始－程序－附件－系统工具－备份, 如下图所示，出现了备份还原向导，点击下一步继续。

选择备份文件和设置，点击下一步

不用备份计算机上的所有信息，我们只备份Active Directory，因此我们手工选择要备份的内容

如下图所示，我们选择备份System State，System State中包含了Active Directory。其实我们只需要System State中的Active Directory，Registry和Sysvol就够了，但备份工具中不允许再进行更细致的划分，因此我们选择备份整个System State。

我们把System State备份在C:\目录下，取名Backup.bkf。

如图所示，完成备份向导。

备份向导完成后，如图所示，开始备份，等备份完成后我们把备份文件复制到文件服务器进行保存即可

好，备份完成后，我们把jinshan关机，假设域控制器jinshan发生了物理故障，现在我们用另外一台计算机来接替jinshan。如下图所示，我们把这台新计算机也命名为jinshan，IP设置和原域控制器也保持一致，尤其是一定要把DNS指向为itet.com提供解析支持的那个DNS服务器，在此例中就是192.168.11.1。而且新的计算机不需要创建Active Directory，我们从备份中恢复Active Directory即可。

配置IP，DNS指向berlin192.168.11.1

依然从开始-----程序-----附件----系统工具-----备份中展开，进入备份或还原向导

这次我们选择还原文件和设置

如下图所示，通过浏览按钮选择要还原的文件是C:\BACKUP.BKF，备份工具显示出了BACKUP.BKF的编录内容，勾选要还原的内容是System State，选择下一步继续。

如图所示，完成还原向导配置，点击完成结束

开始还原，还原完成后，我们将重启计算机即可Active Directory的重建工作。

还原完成，我们来重启计算机看到Active Directory已经恢复了。

计算机角色也发生了改变

我们来到ruixing上用wangnan这个用户名登录，看一下能否访问MUFENG上共享的ITET文件

如图所示,又可以正常工作啦!

一切恢复正常，真是太高兴啦！

但是,我们用备份恢复出来的域控制器上,打开管理工具没有Active Directory用户和计算机选项.

可以通过"开始"---"运行"---"MMC"---"文件"---"添加/删除嵌入式管理单元"---单击"添加"按扭---选择"Active Directory用户和计算机"的方法来安装此工具.