域控服务器状态检查和标准备份

适用场景:

1、用于对活动目录中的域控制器做例行检查,以及在检查完成后的标准备份步骤。在检查中我们会对域控服务器的SYSVOL(Windows Server 2003 系统卷)状态、GC状态、五个FMSO(操作主机)状态、DC间的复制结果进行检查。

2、该方案适用于使用 Windows Server 2003 的活动目录结构,而 Windows Server 2000 活动目录并没有进行过测试。

阅读对象

活动目录工作原理,及GC、SYSVOL、FMSO等基本概念有一定了解,且能够熟练使用“Ntbackup”和Windows Server 2003所自带的命令行工具。

环境要求:

1、域控服务器上必须安装了系统盘自带的“Support tools”工具包。
2、所有的操作必须使用具有“Domain Admins”权限的用户或更高权限的用户。

域控制检查操作步骤:

1、检查域控服务器的SYSVOL(Windows Server2003系统卷状态)

检查“SYSVOL”文件夹是否被共享。可以通过以下两种方法:
方法一:我的电脑——右键——计算机管理——共享文件夹——共享——在右边窗口中查看“SYSVOL”是否被共享。
方法二:开始——运行——输入“cmd”——确定——进入命令提示符下——输入“net share”——查看“SYSVOL”是否被共享

检查SYSVOL的共享权限,打开SYSVOL文件夹的属性对话框(文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”)——共享——权限——检查权限是否和下表的权限设置相同:

Administrators:完全控制、更改、读取
Authenticated Users:完全控制、更改、读取
Everyone:读取


检查SYSVOL的NTFS权限,打开SYSVOL文件夹的属性对话框(文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”)——安全——高级————检查各个用户的NTFS权限是否和下表中的权限设置相同。

Authenticated Users:遍历文件夹/运行文件、列出文件夹/读取数据,读取属性,读取扩展属性
Server Operators:遍历文件夹/运行文件、列出文件夹/读取数据,读取属性,读取扩展属性
Administrators:完全控制
SYSTEM:完全控制
CREATOR OWNER:完全控制

注:通常情况下“SYSVOL”文件夹的NTFS权限是从上层文件夹继承下来的,最简单的办法是查看该文件夹的的权限勾选框是否为灰色(及继承权限),如果权限设置有问题,也不要马上进行修改这些权限,应该参阅具体KB再进行适宜操作。

检查SYSVOL的状态情况。开始——运行——输入regedit——确定——打开注册表编辑器——查看“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady”键值是否为1,如为1则表示“SYSVOL”状态正常。

2、如域控服务器担任GC(全局编录)的角色,则要检查GC是否工作正常。(建议使用“方法一”检查)

方法一:开始——运行——输入regedit——确定——打开注册表编辑器——查看“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\
Global Catalog Promotion Complete”
键值是否为1,如为1则表示“GC”状态正常。

方法二:开始——运行——输入dssite.msc——确定——打开“Active Directory站点和服务”控制台——展开“Sites”——选择所在站点展开——展开“Servers”——选择所在服务器——选择“NTDS Settings”——属性——常规——检查“全局编录”的勾选框是否给勾选。

3、检查FMSO状态
在检查FMSO状态过程中,建议大家使用系统光盘自带的support tools工具包中的“replmon.exe”工具。

开始——运行——输入replmon——打开“Active Directory Replication Monitor”工具窗口

选择左边窗口中的“Monitored Servers”——右键——点击“Add Monitored Server…”——根据向导添加你所需要检查的域控服务器及域控服务器所在的站点和域

选择左边窗口中刚添加的域控服务器——属性——FSMO Roles——对所有FMSO角色点击“Query”按钮

在“Query”相应FMSO角色信息中,出现“Active Directory Replication Monitor was abet to,resolve,connect,and bind to the server hosting this FSMO role”信息提示则表示该FMSO角色工作正常。

4、检查域控制器之间的复制
在检查域控制器之间的复制过程中,也建议大家使用系统光盘自带的support tools工具包中的“replmon.exe”工具。

开始——运行——输入replmon——打开“Active Directory Replication Monitor”工具窗口

选择左边窗口中的“Monitored Servers”——右键——点击“Add Monitored Server…”——根据向导添加你所需要检查的域控服务器及所在的站点和域

分别选择查看以下子节点(及四个目录分区)中来自域控服务器的复制信息:
CN=Configuration,DC=jztey,DC=com
CN=Schema,CN=Configuration,DC=jztey,DC=com
CN=DomainDnsZones,DC=jztey,DC=com
CN=ForestDnsZones,DC=jztey,DC=com
另外还有几个几个节点则显示来自其他域的复制信息,即你的域林中有多少个域就有多少个这样的节点。

查看所有节点中的复制信息中是否有“The last replication attempt was successful”则表示最后一次的复制是正常切复制成功,然后根据时间信息就可以判断出域控制器中的复制是否正常。

域控制备份操作步骤:

1、保证需要备份的域控制器都完成了上面的检查,且无报错信息。
2、域控制器备份
建议备份过程中,将“System State”和系统分区分为两次备份,这样以后在恢复数据的过程中可以加快恢复速度和降低故障出现的风险。

系统分区备份。直接用ntbackup打开“备份工具”的窗口,选择系统分区进行备份,可以根据实际情况将不需要的文件夹进行排除。

系统状态备份。直接用ntbackup打开“备份工具”的窗口,选择“System State”进行备份。

其他和注意细节:

1、在域控制器的备份过程中,我们可以根据实际情况做些其他备份,如:DHCP的数据库备份,GPO备份等。
2、建议域控制的备份不要使用计划任务的备份方式,即使手动备份也不宜过于频繁也不宜时间跨度过大,建议在30——60天备份一次即可。

 

本文转自:http://hi.baidu.com/y_zl/blog/item/7ea9aaf775cc1f27730eec4b.html

 

你可能感兴趣的:(职场,休闲,域控服务器)