关于Windows 域控制器的备份

Posted 2023-05-03

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了关于Windows 域控制器的备份相关的知识，希望对你有一定的参考价值。

本人遇到这样一个问题，客户那边服务器蓝屏了，我用之前备份的Ghost还原之后，成员电脑在注销后登陆时会出现无法连接到DC的错误，后到解决问题的方法是在成员电脑上退出域，然后重新加入就OK了，现在本人想是否有一个方法可以让DC在用Ghost还原之后直接可以用的办法！请高手指教！

client一旦加入域之后，如果要使用ghost来恢复系统，那么需要这么做：
1、安装好client系统，安装完最新的补丁，也可以考虑安装一些基本软件。
2、针对现有系统开始执行sysprep ，关于操作步骤，请参考
http://support.microsoft.com/default.aspx?scid=kb%3bzh-cn%3b298491
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;302577
做这一步的目的，就是抽取硬件信息。做完之后，系统就会关机了。
3、对这台机器的引导区作ghost，以后恢复就用这个母盘恢复了。

Note：您会注意到上面的动作，并不是将client加入域之后再ghost，为什么呢？ok，下面我说一下您之所以遇到这个问题的原因：
ad在设计的时候，为了保证client与dc之间安全的通信，要求client在加入域后，client的计算机账户需要定期与dc的计算机账户保持同步（这个期限默认是30天），也就是说，当client与dc发生验证动作的时候，其实是先用计算机账户去验证，然后才是用户账户验证（也就是您输入用户名和密码）。那么，为什么要这么做呢？因为，用户名和密码是比较容易伪造的，如果在任何验证发生之前，先校验计算机账户的安全性，校验通过之后，再校验用户账户，那么整体验证的安全性就得到了保证，相对于用户帐户，计算机账户就比较难以伪造。

微软通过如下两个方法来保障计算机账户验证的安全：
其一、ad不允许任何用户模式下的程序或者用户模式下的交互动作，去干预或者设置计算机账户的同步（由这个同步动作建立的通道，微软称之为 security channel），
其二、计算机账户将会关联计算机硬件信息，然后用形成计算机sid（sysprep的动作就是抽取了这部分信息）。

ok，那么我们重现一下您遇到的问题。您可能在将client加入域后，没有作sysprep，然后直接ghost。然后这台计算机启动登录到域，于是dc验证当前client，通过验证，随后与client计算机账户进行同步（这个动作对用户是透明的），好，这些都没有问题。

过了一段时间，这段时间可能超过了30天，您使用之前的ghost进行恢复，然后再次尝试登录到域，dc验证当前计算机账户的时候，与ad中的那个计算机账户对比，发现已经超过了30天，那么出于安全考虑，认为该计算机账户是不可信任的（怕是伪造的），于是就给出一个错误信息“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”，在这种情况下，不是说dc有问题，而是说client的计算机账户有问题，请管理员出面解决。管理员该如何做呢？把ad中原来的计算机账户删除，然后将客户端重新加入域就可以了。

那么30天的时间是否可以修改呢？是可以的，您甚至可以禁止这个同步动作，请参考http://support.microsoft.com/kb/154501/zh-cn
http://support.microsoft.com/kb/175468/

这种情形常见于移动办公，移动办公的域账户，脱离域的时间可能超过30天。关于dc上不能使用还原卡或者使用ghost的问题，请参考http://gnaw0725.blogbus.com/logs/4888455.html

转自 gnaw0725管理日志参考技术A 关于Windows 域控制器的备份
没有试过.期待

Windows Server 2016-图形化备份域控制器

上边几章节我们补充了有关Windows Server 2016系统层面的相关内容，本章切回Active Directory正题，继续围绕AD域相关内容进行不断梳理补充。Windows Server Backup由Microsoft管理控制台（MMC）管理单元，命令行工具和Windows PowerShell cmdlet组成，可为您的日常备份和恢复需求提供完整的解决方案。您可以使用Windows Server Backup备份完整的服务器（所有卷），选定的卷，系统状态或特定的文件或文件夹，并创建可用于裸机恢复的备份。您可以恢复卷，文件夹，文件，某些应用程序和系统状态。而且，如果发生像硬盘故障这样的灾难，您可以执行裸机恢复。（要做到这一点，您需要备份整个服务器或仅包含操作系统文件的卷和Windows恢复环境 - 这会将整个系统还原到旧系统或新硬盘上。）

您可以使用Windows Server Backup为本地计算机或远程计算机创建和管理备份。而且，您可以安排备份自动运行。

Windows Server Backup适用于需要基本备份解决方案（从小型企业到大型企业）的每个人，但它甚至适用于小型组织或非IT专业人员。

注意事项：

您必须是管理员组或Backup Operators组的成员才能使用Windows Server Backup。
某些备份或恢复任务必须在两台运行相同版本的Windows Server 2012或Windows Server 2012 R2的计算机上执行，而其他备份或恢复任务则可以在运行任一版本的计算机上执行。
要执行系统状态或完整系统恢复，您必须使用正在恢复的Windows相同版本的备份。例如，您无法使用Windows Server 2012的备份来恢复运行Windows Server 2012 R2的计算机的系统状态。
防火墙可能已启用。如果使用Windows Server Backup管理单元管理另一台计算机的备份，则与远程计算机的连接可能会受到影响，并且可以通过更改防火墙规则来解决。在本地计算机上工作时，您不受影响。
Windows Server Backup不支持从群集共享卷（CSV）备份数据或存储备份。（但是，您可以使用虚拟机中的Windows Server Backup备份虚拟机。）
如果使用虚拟硬盘来存储备份，如果虚拟硬盘位于包含系统卷或临界卷的物理磁盘上，则可能会限制您可以恢复的内容。另外，如果虚拟卷在线，虚拟卷文件将从备份中排除。
如果您是上一个备份功能（Ntbackup.exe）的当前用户，并计划切换到新的Windows Server Backup，则可能会受到以下问题和更改的影响：

升级到Windows Server 2012时，用于创建备份的设置不会升级。您将需要重新配置设置。
无法使用Windows Server Backup在需要2040 GB（或2 TB）以上的卷上备份文件和文件夹。但是，只要数据大小小于2 TB，您就可以执行文件或文件夹备份。例如，您可以从3 TB容量备份1.5 TB的数据。但是，使用备份的完整服务器或卷恢复将重新创建2 TB容量而不是3 TB容量。
只能在本地连接的磁盘上备份NTFS格式的卷。
您无法在磁带上存储备份。Windows Server Backup支持备份到外部和内部磁盘，光盘和可移动媒体（如DVD）和远程共享文件夹。
使用Windows Server Backup无法恢复使用Ntbackup.exe创建的备份(如2008低版本环境需要恢复，可下载08对应的ntbackup.exe版本)。

一、Windows Server Backup功能安装：

1.1.打开服务服务器管理器，选择添加角色和功能：

技术分享图片