备份和恢复 AD DS 的方案概述

引用：(WS.10).aspx备份和恢复ADDS的方案概述更新时间:2008年7月应用到:WindowsServer2008本指南介绍了以下方案：计划的ADDS备份域控制器的完整服务器备份域控制器的关键卷备份域控制器的整个服务器恢复ADDS的未经授权还原对已删除的ActiveDirectory对象执行权威还原使用Ntdsutilifm子命令优化用于安装其他域控制器的备份计划的ADDS备份可以使用WindowsServerBackup或Wbadmin.exe计划完整服务器备份和关键卷备份。权衡下列条件以确定ADDS备份的相应频率：对关键ADDS数据进行更改的频率对ADDS进行更改的重要性重大更改可以包括对架构、组成员身份、ActiveDirectory复制或站点拓扑及策略的更改。这些更改还可以包括操作系统升级、重命名域控制器或域，以及新安全主体的迁移和创建。ADDS或SYSVOL中的数据丢失时对业务运营的影响丢失的数据可以包括对用户帐户、计算机帐户和信任的密码的更新。还可以包括对组成员身份、策略和复制拓扑及其计划的更新。建议您每晚在通信量降低时执行备份。您在WindowsServerBackup中计划备份时，默认的开始时间为晚上9:00。您可以更改这个时间，以便可以在一天中以任意半小时作为时间间隔开始备份。为了实现容错，每个域至少需计划两个受信备份。可以每天先进行计划备份，然后再根据以前指定的条件调整备份频率。若要定义在一周中其他日期的不同时间开始备份，则可以使用任务计划程序计划在相应日期和时间运行Wbadmin.exe的任务。有关使用WindowsServerBackup计划常规备份的过程，请参阅WindowsServer2008备份和恢复循序渐进指南(=87597)（可能为英文网页），这是此文档集的一部分。有关使用命令行计划常规备份的过程，请参阅计划对域控制器进行备份。域控制器的完整服务器备份完整的服务器备份可捕获服务器上的全部卷，但存储备份作业的卷除外。使用此种类型的备份从安装相同的操作系统的同一硬件上恢复有故障的硬盘驱动器或损坏的文件。USB驱动器包含在完整的服务器备份中，除非将其用作备份目标。有关使用WindowsServerBackup执行完整服务器备份的过程，请参阅WindowsServer2008备份和恢复循序渐进指南(=87597)（可能为英文网页），这是此文档集的一部分。有关使用命令行执行完整服务器备份的过程，请参阅计划对域控制器进行备份和执行域控制器的完整服务器备份。域控制器的关键卷备份关键卷是恢复ADDS所需的卷。关键卷必须包含含有以下数据的卷：系统卷此卷驻留启动文件，其中包括Bootmgr文件和BCD存储。启动卷此卷承载Windows操作系统和注册表。承载SYSVOL目录的卷此卷承载ActiveDirectory数据库(Ntds.dit)可以使用关键卷备份来还原域控制器上的ADDS。还可以将关键卷备份复制到可移动介质，以在相同的域中安装新的域控制器。但是，在WindowsServer2008中，您应该改用新的ntdsutilifm子命令来创建用于安装其他域控制器的安装介质。有关从已还原备份介质安装域控制器的详细信息，请参阅使用Ntdsutilifm子命令优化用于安装其他域控制器的备份。有关执行关键卷备份的过程，请参阅执行域控制器的关键卷备份。域控制器的整个服务器恢复整个服务器恢复可恢复服务器上的每个卷。使用此种类型的恢复从安装相同操作系统的同一硬件上恢复有故障的硬盘驱动器或损坏的文件。整个服务器恢复可重新格式化和重新分区连接到该服务器的所有磁盘。如果要恢复到新的硬件上或在现有硬件上恢复服务器的所有其他尝试都失败，请使用此方案。在执行整个服务器恢复之前，要注意未包含在此备份中的任何现有数据都会在完成该操作后被删除。其中包括服务器当前使用但未包含在备份中的所有卷。例如，假如您备份驱动器C、D、E和磁盘1，而服务器还包括磁盘2上的应用程序数据，则在使用此备份执行整个服务器恢复时，磁盘2上的所有应用程序数据都将丢失。如果您恢复到该备份中未包括的动态磁盘，则该分区及其上存储的数据都会被删除，然后重新创建不包含数据的分区。有关使用WindowsServerBackup执行整个服务器恢复的过程，请参阅WindowsServer2008备份和恢复循序渐进指南(=87597)（可能为英文网页），这是此文档集的一部分。有关使用此命令行执行整个服务器恢复的过程，请参阅执行域控制器的完整服务器备份。ADDS的未经授权还原可以使用备份执行域控制器的未经授权还原。未经授权还原将目录服务返回到其在创建备份时的状态。还原操作完成后，ADDS复制会通过自创建备份后发生的更改来更新域控制器。这样，域控制器就恢复到了当前的状态。必须在DSRM中重新启动域控制器才能执行未经授权还原。有关执行ADDS未经授权还原的过程，请参阅对ADDS执行非权威还原。对已删除的ActiveDirectory对象执行权威还原授权还原提供了一种可恢复已从ADDS删除的对象和容器的方法。授权还原包含以下四个步骤：1.在DSRM中启动域控制器。2.还原所需的备份，一般情况下该备份是最新的备份。3.使用Ntdsutil.exe将所需的对象、容器或分区标记为已经授权。4.在正常模式下重新启动以传播更改。备注某些对象（如用户和安全组）具有正向链接和后向链接。这些对象要求您执行两次授权还原，或者还原已删除的用户帐户或组帐户，然后使用Ldifde.exe还原安全组的成员身份。有关执行ADDS授权还原的过程，请参阅执行已删除ADDS对象的授权还原。使用Ntdsutilifm子命令优化用于安装其他域控制器的备份WindowsServer2008为运行WindowsServer2008的其他域控制器创建安装介质的方法有两种。可以使用关键卷备份为ADDS安装的IFM方法准备安装介质，但是这种方法较为陈旧，有时无效。建议为运行WindowsServer2008的域控制器创建安装介质的方法是使用ntdsutilifm子命令。尽管WindowsServerBackup要求至少备份一组关键卷，ntdsutilifm子命令还是可以捕获执行IFM操作所需的最少数据（也就是说，仅包含系统状态数据的卷）。另外，ntdsutilifm子命令还会从RODC安装介质删除机密，如密码。这会使安装介质的传输更加安全，因为即使RODC安装介质落入恶意用户的手中，该用户也无法从介质中盗取机密。如果您使用关键卷备份来准备安装介质，可以将关键卷备份还原到本地卷或网络共享位置，而不是将其还原到要恢复的卷。对于IFM操作，可以通过下列方法之一准备介质：将备份直接还原到要作为域控制器安装的服务器上的网络共享位置。将备份还原到本地计算机或网络中远程计算机上的备用位置。然后，将还原的文件复制到可移动介质，如CD、DVD或便携式硬盘。使用此方法的优势是您只需还原一次备份，就可使用同样的介质根据需要安装域控制器。将未还原的备份复制到可移动介质。将介质传输到安装位置。然后，将备份从可移动介质还原到要安装的每个服务器上的备用位置。使用IFM，您就不必再对整个ActiveDirectory数据库进行源复制了。仅须复制ntdsutilifm子命令完成之后发生的更改（及其他域控制器所需的任何分区，但在安装介质上没有这样的分区）。例如，IFM非常适合在远程站点安装域控制器。重要事项您创建的安装介质仅在由林的tombstone生存时间定义的持续期内有用，持续期可以是60天，也可以是180天。有关详细信息，请参阅Microsoft知识库文章924890：在WindowsServer2003R2中，默认的tombstone生存时间(TSL)值仍为60天，而不是增加到180天(=89771)（可能为英文网页）。有关执行ADDS的备用位置还原过程，请参阅将关键卷备份还原到备用位置。