首页 » Mircrosoft » Active Directory » 为什么加过域的计算机不要做GHOST?

为什么加过域的计算机不要做GHOST?

作者: lesca 分类: Active Directory, Concept, Windows 发布时间: 2012-02-21 14:36 ė浏览 3,450 次 6Comments Off on 为什么加过域的计算机不要做GHOST?

首先必须强调,GHOST是很优秀的软件。但是正是因为太多的人将他看成“救命稻草”,但是服务器和PC不一样。系统装好后,用GHOST作备份,对于单机和对等网上是无可厚非的,但是在域环境下却不能这么用。因为部署过活动目录的人都知道,所有的domain.用户都是有一个帐号和密码的,但有没有人知道其实在域内的计算机和域控制器的通讯也是要用密码的?当然这个密码是随机的,而且是定期修改的,所以当恢复一个很久以前的GHOST备份的时候,你会发现系统无法和域控制器联系。

域和组的区别

工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的Ghost备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录)。

解决的方法

1.将计算机脱离域并重新加入,KDC服务会重新设置这一票据。
2.使用2000资源包里的NETDOM命令强制重新设置安全票据。

建议

在有域的环境下,请尽量不要在计算机加入域后使用Ghost备份系统分区
如果作了,请在恢复时确认备份是在60天内作的
如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。

References:
[1] 用GHOST备份已经加入域的系统,恢复后无法登录域的问题

本文出自 Lesca 技术宅,转载时请注明出处及相应链接。

本文永久链接: https://lesca.me/archives/do-not-ghost-a-computer-in-domain.html

Ɣ回顶部