您好,登錄后才能下訂單哦!
這篇文章主要為大家展示了“如何進行Active Directory 恢復”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“如何進行Active Directory 恢復”這篇文章吧。
域控制器的裸機恢復
備份和恢復最激動人心的改進之一是 WinRE 并入安裝過程的方式。從安裝媒體中啟動 Windows Server 2008 時,您可以選擇“Repair your computer”(修復計算機)選項,如圖 7 所示。由于這一選項極易被錯過,所以在此專門做個提醒。
Figure 7 The Repair your computer option is available on the installation screen (單擊該圖像獲得較大視圖)
在安裝屏幕上選擇修復選項后,Windows 會讓我選擇一個恢復選項,如圖 8 所示。在本例中,我選擇“Windows Complete PC Restore”(Windows 完整 PC 還原),這會調用 Windows 恢復環境。
Figure 8 Specifying system recovery options (單擊該圖像獲得較大視圖)
在選擇要修復的操作系統(通常只有一個選擇)后,WinRE 允許您選擇要從其進行還原的備份。默認情況下,WinRE 選擇最近的完整系統備份,但您可以指定存儲在本地磁盤上的其他備份,或在網絡中搜索存儲在其他服務器文件共享中的備份。
在我的示例中,我選擇最近的完整系統備份。下一對話框(如圖 9 所示)讓我先格式化所有磁盤并重新分區,然后再進行還原。如果您正從某種磁盤故障所導致的問題中恢復,或者已替換了服務器中的一個或多個磁盤驅動器,則這是一個合適的選項。
Figure 9 You can easily format and repartition disks before they're restored (單擊該圖像獲得較大視圖)
在兩個確認對話框之后,WinRE 啟動還原進程,而且服務器重新啟動。此方法極為適合在服務器上執行裸機恢復。
域控制器的系統狀態恢復
如果您需要從某種與 Active Directory 相關的問題中恢復(例如從備份中恢復刪除的 OU),則應將 Active Directory 域服務 (ADDS) 數據庫還原至早期狀態,而不是還原整個系統。盡管您可以像在 Windows Server 2008 中的服務那樣停止 ADDS,但仍需將服務器引導到目錄服務還原模式 (DSRM) 中,以對域控制器執行系統狀態還原。
更改引導選項以將 Windows Server 2008 引導到 DSRM 中并不像以前那樣容易。整個 Windows 引導環境經過了重新設計,以支持新的可擴展固件接口 (EFI),而老式的 boot.ini 文件不再存在。Windows Server 2008 代之以使用引導配置數據 (BCD) 來管理引導過程。
管理 BCD 的最簡單方法是使用 BCDEDIT 命令行程序。說明所有 BCDEDIT 命令和選項需要一整篇文章,我在此處只向您顯示某些有用的示例。
要將 Windows Server 2008 DC 重新引導到 DSRM 中,請使用以下命令:
C:\> bcdedit /set safeboot dsrepair
這將為默認的引導加載程序項設置安全引導選項。在全新的 Windows Server 2008 安裝中,只有一個引導加載程序項 WINLOAD.EXE。要刪除安全引導選項并重新引導到正常模式中,請使用以下命令:
C:\> bcdedit /deletevalue safeboot
您可在 DC 上配置兩個引導加載程序項——一個用于正常引導,一個用于 DSRM 引導,這樣更為便利。您也就可以使用“System Settings”(系統設置)下提供的“Startup and Recovery”(啟動和恢復)設置對話框來更改引導選項。要添加新的引導加載程序項,請使用以下命令:
C:\> bcdedit /copy {default}/d "Directory Service Repair Mode"
此操作將通過復制默認的引導加載程序項創建一個新的引導加載程序項。BCDEDIT 將顯示與下面類似的內容:
The entry was successfully copied to{c50d4710-a1f0-11dc-9580-0003ff402ae9}
GUID 會識別新項。然后,使用以下命令為 BCD 中新的引導加載程序項設置安全引導選項:
C:\> bcdedit /set {<GUID for new entry>}safeboot dsrepair
您現在可以使用“Startup and Recovery”(啟動和恢復)設置(如圖 10 所示)從正常引導模式切換到 DSRM 引導模式。
Figure 10 Disable incremental backups on busy volumes
在使用 WBADMIN 啟動系統狀態還原之前,必須確定要從其進行還原的備份。WBADMIN 可以從完整系統備份、只包含關鍵系統卷的備份或系統狀態備份執行系統狀態還原。在上述任一情況下,必須指定要使用的備份版本。確定可用備份版本的最簡單方法是使用下面的 WBADMIN 命令:
C:\> wbadmin get versions
WBADMIN 然后將以與圖 11 中所示信息類似的形式顯示備份版本。請注意,每個備份都有一個備份時間、備份目標、版本標識符(順便說一下,它是備份以“通用平均時”啟動的時間和日期)以及一個可支持恢復操作的類型列表。
wbadmin 1.0 - Backup command-line tool(C) Copyright 2004 Microsoft Corp.Backup time: 11/30/2007 3:47 PMBackup target: Fixed Disk labeled E:Version identifier: 11/30/2007-22:47Can Recover: Application(s), System StateBackup time: 12/1/2007 10:46 PMBackup target: Fixed Disk labeled Backup(E:)Version identifier: 12/02/2007-05:46Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System StateBackup time: 12/2/2007 5:58 PMBackup target: Fixed Disk labeled Backup(E:)Version identifier: 12/03/2007-00:58Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System StateBackup time: 12/3/2007 11:2***MBackup target: Fixed Disk labeled E:Version identifier: 12/03/2007-18:25Can Recover: Application(s), System State
在本例中,我選擇最近的備份,并使用以下 WBADMIN 命令啟動系統狀態還原:
C:\> wbadmin start systemstaterecovery–version:12/03/2007-18:25
這將執行非權威還原。如果您希望執行 SYSVOL 的權威還原,只需將還原的 SYSVOL 副本標記為權威即可,方法是將 authsysvol 選項添加至 WBADMIN 命令。有關此過程的詳細信息,請參閱 go.microsoft.com/fwlink/?LinkId=113152。
制作 Active Directory 快照
在 Active Directory 的備份方面,最激動人心的變化之一就是根本不再與 Windows Server Backup 發生關聯。在 Windows Server 2008 中,Active Directory 能夠提供“卷影復制服務”快照,這可充分利用這一功能。這些快照是正在運行的 Active Directory 服務的極輕型時間點備份。更為可喜的是,它們僅需幾秒鐘即可創建!隨后,您可以裝入這些快照并使用基于 LDAP 的正常實用工具(例如 LDP 工具)訪問它們。
使用如下所示的 NTDSUTIL 命令制作 ADDS 或 Active Directory 輕型目錄服務 (ADLDS) 的快照:
ntdsutil: snapshotsnapshot: activate instance ntdsActive instance set to "ntds".snapshot: createCreating snapshot...Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.snapshot: quitntdsutil: quit
此 NTDSUTIL 命令序列會創建包含 Active Directory DIT、日志和 SYSVOL 的卷的“卷影復制服務”快照。即使 Active Directory 仍在更新,“卷影復制服務”也會使用寫入時復制策略來確保正確維護已制作的快照。請注意,快照不是 DIT 的完整副本。它們實際上只是 DIT 中制作快照后經過修改的磁盤塊的集合。通過將這些塊與 DIT 的當前副本組合在一起,VSS 所呈現的 Active Directory DIT 正是其在快照時的狀態。圖 12 顯示如何刪除舊的或不需要的快照。
C:\> ntdsutilntdsutil: snapshotsnapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931}snapshot: delete 1Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\snapshot: quitntdsutil: quitC:\>
裝入 Active Directory 快照
為了使用這些快照之一,您必須首先指示“卷影復制服務”使快照可供文件系統使用。為達此目的,可使用 ntdsutil 命令列出可用快照,然后裝入感興趣的快照(請參見圖 13)。
C:\> ntdsutilntdsutil: snapshotsnapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931}snapshot: mount 1Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\snapshot: quitntdsutil: quitC:\>
list all" 命令列出了當前由“卷影復制服務”維護的所有可用 Active Directory 快照。"mount 1" 命令裝入 Active Directory DIT 和日志卷的選定快照,然后使它們在文件系統中可用。它們位于 C:\$SNAP_200712032318_VOLUMEC$\ 和 C:\$SNAP_200712032318_VOLUMED$\ 中。
如果您查看這些文件夾,則會看到這些卷的整個內容與制作快照時相同。不過,請注意,裝入的快照為只讀,即:您無法修改已裝入快照中的任何文件。
從 Active Directory 快照恢復數據
裝入包含 Active Directory 的卷的快照這一任務看起來有些神秘。該如何訪問這些快照中所包含的 Active Directory 數據呢?DSAMAIN 命令就是其中的關鍵。它是運行 ADLDS 的可執行程序。實質上是一個獨立的 LDAP 服務器,幾乎與 ADDS 共享其所有代碼。您可以使用 DSAMAIN 使裝入的快照看起來像只讀 LDAP 服務器(包含制作快照時的 Active Directory 數據)。
請考慮以下命令:
C:\> dsamain –dbpathc:\$snap_200712032318_volumed$\ntds\dit\ntds.dit -ldapport 10000
這會裝入位于 c:\$snap_200712032318_volumed$\ntds\dit 文件夾中的 ntds.dit 文件,并使其可供 TCP 端口 10000(或您指定的任何開放端口)上的 LDAP 操作使用。DSAMAIN 將在所指定數字加一的端口(在本例中為 10001)上打開 LDAPS 端口(用于 LDAP over SSL 的端口)、在所指定數字加二的端口 (10002) 上打開 GC 端口(用于全局編錄連接的端口),在所指定數字加三的端口 (10003) 上打開 GCS 端口(全局編錄 over SSL)。
您可以使用任何 LDAP 程序(例如 LDP)訪問指定端口上裝入的 DIT。但在 Windows Server 2008 中,Active Directory 用戶和計算機 (ADUC)、站點和服務、域和信任關系以及 ADSIEDIT 均已經過修改,以允許您使用 DSAMAIN 將它們連接到裝入的 DIT。如果您右鍵單擊任何 ADUC 導航窗格中的頂層節點,并選擇“Change Domain Controller”(更改域控制器),則會看到圖 14 中所示的對話框。如果您只鍵入托管已裝入快照的服務器的名稱或 IP 地址以及端口(在我的示例中為 localhost:10000),則 ADUC 將連接裝入的快照,從而允許您瀏覽目錄的內容(與制作快照時相同)。非常了不起,不是嗎?
Figure 14 Connecting Active Directory users and computers to a mounted snapshot (單擊該圖像獲得較大視圖)
能夠以此方式訪問目錄數據使多種數據恢復任務都比以前容易多了。例如,要從備份恢復刪除的對象,以前需要對現有 DC 執行備份的非權威還原,然后執行已刪除對象的權威還原。如果您還原的備份沒有正確數據,則必須使用其他備份再次全部啟動。現在,使用邏輯刪除恢復和快照,您可以快速找到并恢復刪除的數據,甚至不必使域控制器脫機即可執行此操作。
不過,有一些限制。例如,每個活動快照都會增加與寫入到目錄操作關聯的磁盤 I/O,因此,生產 DC 任意時間點的活動快照不應超過一或兩個。此外,快照保持活動狀態的時間越長,“卷影復制服務”變化量存儲就會越大——這也會影響性能。當然,簡單恢復刪除的對象只是恢復問題的***部分。您可能還必須恢復對象的鏈接屬性,例如組成員身份等。但是,即使在此情況下,快照也可以幫助您確定已刪除對象所屬的所有組。
可靠的 Active Directory 備份和恢復策略
Windows Server 2008 帶來了一個全新的備份和恢復系統。某些變化起初可能會讓人感到不滿。但是,一旦 IT 組織接受這些變化并將新的備份技術融入到日常操作中,更加有效的備份和恢復實施將會使其為之一振。
即使 Windows Server 2008 中備份服務器的方法發生了諸多變化,備份和恢復 Active Directory 的基本策略實際上并無太大變化。因此,在規劃策略時,請確保記住這些***實踐:
計劃定期完整備份系統,這樣您便可以在硬件出現故障后恢復 DC。計劃 DC 完整備份的頻率取決于數據更新的頻率、停機時間和/或數據丟失的容差,以及從頭開始重新構建 DC 可能需要的工作量。
計劃經常性系統狀態備份以備份 Active Directory 中的更改。執行系統狀態備份的頻率取決于丟失 Active Directory 數據的容差。但是,您一天應至少執行一次這種備份。如果您有硬件,則至少在本地磁盤上保持一個或兩個系統狀態備份,并將舊的系統狀態版本復制到 DVD 或網絡共享。
確保至少對每個域中的兩個 DC 執行系統狀態備份。這將在其中一個備份出現錯誤或不可用時提供一些保障。
請確保使用應用程序分區副本(如果它們已定義)來備份 DC。同時,考慮在 DC 上創建 Windows 恢復環境,以便您可以在關鍵系統驅動器出現故障時能快速引導到 WinRE 中。
是 NetPro 的 CTO,他自 1996 年起便一直參與開發 Active Directory 軟件。他與來自 HP 的 Guido Grillenmeier 一起創辦了廣受歡迎的 Active Directory 災難恢復學習班。Gil 還是目錄專家會議(請參閱 www.dec2008.com)的創始人。
以上是“如何進行Active Directory 恢復”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。