AD备份还原管理实战
2015-12-03■
■
在Windows Server 2008的域控制器备份还原管理中,并没有像前几版的Windows 2000 Server或Windows Server 2003一样,有所谓的可以只针对系统状态(system state data)进行备份与还原的功能,这是因为它所要备份的数据不再只是针对系统状态数据就可以达成后续还原的目的了,而必须针对整个扇区的重大备份(Critical volumes)才可以。以下说明整个扇区的重大备份所涵盖的项目有以下几个重点:
系统扇区:启动文件以及相关开机设定数据(BCD,Boot Configuration Data)
启动扇区:包括了Windows操作系统和登录文件数据
SYSVOL相 关 数 据、Active Directory数据库与事务历史记录文件
而所谓系统状态内容则包 括 了 登 录 档(Registry)、COM+类别注册数据库、启动文件、Active Directory凭证服务数据库、Active Directory网域服务数据库、SYSVOL文件夹、丛集服务信息、IIS网站的Meta数据以及Windows资源保护的相关文件。
实战讲解
想要对于域控制器针对整个扇区进行重大备份操作,可以选择采用Windows Server Backup图形界面或是Wbadmin.exe命令工具。首先让我们先看看有关于前者的操作方式。
图1 选取备份项目
请在“系统管理工具”下拉选单中选择开启“Windows Server Backup”,紧接着在界面中的“动作”窗格内选择“单次备份”的链接,接着系统将会开启单次备份精灵界面,由于笔者是第一次执行此备份工具,并且先前从未执行过任何计划备份操作,因此在这个页面中也仅有“不同选项”的设定可以选取,选择“下一步”继续。
请注意!在您选择“下一步”的同时,可能会出现一个警告信息窗口,内容中主要告诉我们如果曾经有执行过备份操作,您将需要先完成类别数据(Catalog)的还原,否则可能会造成这部份的信息的遗失,如果是第一次执行那当然就可以忽略掉此警示,并且点“是”按钮继续。
接着在“选取备份设定”的页面中,可以依照实际需求选择“完整服务器”备份或是“自定义”备份,一般来说如果此服务器中包含其它重要的应用程序,或是同时担任文件服务器的使用时,便会选择“完整服务器”来进行备份,如果只是单纯的域控制器角色,或是只想要备份特定磁盘分区中的数据时则可以选择“自定义”即可。选择“下一步”继续。
接着在“选取备份项目”的页面中,便是可以选择所要备份的扇区来源,如图1所示其中系统磁盘是无法取消选取的,并且也请务必勾选“启用系统修复”项目,此外如果备份储存文件位置也在本机计算机的其它磁盘中,则理所当然这个磁盘在此是不可以选取的。选择“下一步”继续。
由于所执行的是单次备份操作,因此接着在“指定目的地类型”的页面中,将可以选择是要备份到“本机磁盘”还是网络中的其它计算机的共享路径中,如果是选择后者,那么必须确认此计算机目前是可以正常联机的,并且确认有足够权限可以写入备份数据到此位置中。选择“下一步”继续。
接着在“选取备份目的地”的页面中,在此除了必须所选取的磁盘剩余容量大于备份项目大小许多之外,当然您也可以选择备份至可刻录的DVD或CD驱动器中,只是在备份的过程中可能需要更换多次的新刻录盘片。选择“下一步”继续。在“指定进阶选项”的页面中,请记得选择“VSS复制备份”选项,选择“下一步”继续。在“确认”的页面中,可以让我们对于前面的所有设定值做最后的确认动作,一旦确认没有问题之后请选择“备份”按钮,开始进行备份操作。
在“备份进度”的页面中,便会开始显示整个备份的进度与说明,基本上它会从建立磁盘卷影复制的程序开始,等确认成功建立无误之后才会开始进行相关数据的备份,在备份的过程中您可以选择“关闭”按钮,因为它仍然会在后台中持续完成备份的操作。如果您在前面关闭了备份进度的窗口,那么在回到了Windows Server Backup的主窗口之后,是仍然可以看到备份进度的信息显示,最后便是成功完成了整个备份操作的显示信息。
采用Wbadmin.exe命令工具的备份方法
接下来让我们来看看如何通过Wbadmin.exe命令工具来进行重大备份操作的执行。您可以输入wbadmin start backup -allCritical-backuptarget:磁盘代号:-quiet的命令格式来开始备份,而整个备份过程的进度也将可以由此窗口来检视到。
图2 启动目录服务恢复模式
然而无论是通过图形界面或命令工具的备份方式,在执行备份的过程中也是仍然有可能会发生错误的。举例来说,如果磁盘卷影复制的功能(VSS)无法正常被执行时,将会出现错误信息而导致备份过程被迫中止。
无论如何,若想要完整得知备份的过程为何会发生失败,以及找出相对应的解决方法,我们都可以通过事件查看器来查询即可,在事件查看器中的“Windows记录”“应用程序”项目来查看错误事件的内容说明,想要查看更进一步的信息可以选择“事件日志联机帮助”链接,以及“详细数据”页面来查看即可。
域控制器服务器的还原
一旦成功完成了域控制器重大数据的备份操作之后,如果目前您是在一个测试性的环境中,那么首先您便可以尝试将一些Active Directory中的对象进行删除,例如自定义的组织容器、计算机对象或是用户账户等等,然后再来进行域控制器目录数据库的还原。
想要进行目录服务数据库的相关数据还原,一般我们都会在刚开机之后立即按下键盘上的“F8”按键,此刻系统便会开启如图2所示的“进阶开机选项”页面,请在此页面中选取“目录服务恢复模式”项目,然后再按下键盘上的“Enter”按键继续。
请注意!您除了可以使用重新启动的方式,使用“F8”按键选择进入“目录还原恢复模式” 之外,也可以在重新启动之前在命令提示列输 入bcdedit /set safeboot dsrepair命令参数,来让系统自动重新启动进入到此模式之中。
当成功完成了开机到了登入页面的时候,您是无法以域管理员的身份来登入的,而是必须改用其他账户来登入,然后输入.Administrator为用户账户名称,以及输入当时在建立升级成域控制器时所输入的目录服务恢复模式的密码来登入才可以喔!关于这一点要特别留意。
在成功完成登入到目录服务恢复模式之后,请先开启命令提示列窗口,然后依 次 输 入:wbadmin get versions -backuptarget:
图3 针对指定时间点的还原
一旦得知了所要还原的备份数据时间点信息之后,便可以如图3所示输入wbadmin start systemstaterecovery-v e r s i o n:
整个还原过程中的片段画面,过程中系统将会先一一确认与处理所备份的数据,最后在完成备份文件中数据恢复操作。在整个目录服务系统状态成功还原后,请立即完成重新启动的操作即可。
完成了在目录还原恢复模式的域控制器台资料的还原之后,建议您可以直接下达bcdedit /deletevalue safeboot命令参数,让系统自动以正常启动的模式完成开机操作,至于在立即重新启动的指令部份,则可以输入shutdown -t 0 -r。
在完成了目录服务系统状态的还原与重新启动之后,成功完成了目录服务系统状态的还原操作了。
关于Wbadmin.exe命令的使用方法,您可以在命令提示列中输入/?参数,来得知基本可用的命令有哪一些。至于如果想针对特定命令参数的用法进一步了解,例如系统状态的还原方法,则可以输入wbadmin start systemstaterecovery /?来查看即可。
Active Directory 数据库挂载工具使用方法
Active Directory 数据库挂载工具(Active Directory Database Mounting Tool)是Windows Server 2008继过去Ntdsutil命令工具之后,一支全新改良设计的新Active Directory 数据库维护工具,通过这一个工具的简易使用,可以让管理员去针对储存在Active Directory Domain Services(AD DS)或 Active Directory Lightweight Directory Services(AD LDS)中的数据,去进行快照(snapshots)的建立或检视,而不需要去重新启动域控制器或是AD LDS服务器。然而有关于这一项针对Active Directory数据库快照功能的使用,则是结合Windows Server 2008本所内建的扇区卷影复制服务功能(Volume Shadow Copy Service)来完成的。
通过这支Active Directory 数据库挂载工具(Dsamain.exe)的使用,对于网管人员在平日的域数据库维护上有什么帮助呢?对于有经验的IT人员来说,想必一定会联想到有关于在网域数据库的还原处理上会更加方便许多,更进一步的说法则是应该是说在数据库的还原之前,起码可以针对现有运作中的数据与快照备份的数据进行新旧版本比对之后,再来决定是否要进行所遗失数据的还原操作。
在接下来的内容中,将说明如何通过Active Directory数据库挂载工具,来进行数据库快照列表的建立以及数据库的挂载与数据库内容的检视。
任 何Windows Server 2008只要已经安装了Active Directory Domain Services(AD DS)或Active Directory Lightweight Directory Services(AD LDS)服务器角色,便可以使用以下几个内建的管理工具:
新Ntdsutil snapshot工具:这个新增的snapshot操作选项,可以让管理员进行快照的建立、快照列表的显示、挂载或卸除AD DS与AD LDS数据库。
Dsamain.exe:通过此工具可以将指定的快照数据库,连接成为一个自定义通讯端口的LDAP服务器。
Ldp.exe命令工具与“Active Directory用户与计算机”管理工具:这两个工具都可以用来检视只读并且已经挂载的AD DS与AD LDS数据库内容,让管理员来进行不同快照备份的内容比较。
请注意!在预设的状态下只有Domain Admins与Enterprise Admins群 组的成员,才能够对于Active Directory快照数据进行检视,因为这里头包含了许多足以影响整个IT基础营运的敏感数据(AD DS),然而如果您想要从一个已经删除的旧网域或树系中检视快照数据,则您便可以在执行Dsamain.exe命令工具时,来设定允许非系统管理员的用户存取快照数据。
图4 挂载或卸除指定的快照
以手动建立快照备份
快照数据的建立可以采用单一次的手动执行方式或计划设定的方式来定时建立。接下来让我们先来看看有关于手动建立Active Directory数据快照的方法。请在“开始”“命令提示列”项目上按下鼠标右键,然后选择“以系统管理员身份执行”。
接下来将会开启以系统管理员身份为主的命令提示字符窗口,请输入ntdsutil并且按下“Enter”按键,然后在“ntdsutil:”的提示字符下输入snapshot并且按下“Enter”按键,此刻提示字符将会变成“快照:”,请紧接着输入activate instance ntds并且按下“Enter”按键,最后再输入create命令并且按下“Enter”按键便可以完成快照的建立,如图4。
在成功完成了每一个时间点的快照建立时,请注意它都会有一个专属的快照序号的惟一标识符,至于后续如果想要通过LDP命令工具或Active Directory用户与计算机的工具来存取它之前,首先便需要如图4所示的第一行命令一样,通过mount命令搭配指定快照的序号来将此快照的数据库完成挂载的动作,而如果想要得知目前已经挂载的快照资料有哪一些,则可以输入list mounted命令来查看即可,如果想要卸除某一指定的快照数据库项目,则只要输入unmount命令搭配此快照的序号即可。
关于快照命令提示字符下的指令用法,您可以如图4所示直接输入?,然后按下“Enter”按键即可得知,范例中笔者便是紧接着输入了List all来查看目前所有的快照项目的信息,您也可以通过Delete指令来删除特定的快照数据项。
请注意!在快照的数据项清单中,我们可以看到在每一个数据快照项目中都有两组不同的序号(快照索引编号与GUID),关于这两组不同的序号都可以用来作为快照项目挂载与卸除时的参数值。
完成了特定快照数据库的挂载之后,紧接着便可以通过执行Dsamain.exe命令工具,来将所连接的快照数据库变成一个独立的LDAP服务器执行各体。我们可以通过dsamain/dbpath
然而在执行Dsamain.exe命令工具时,可能会出现错误信息。而通常可能的问题原因是您所指定的快照数据库尚未挂载,或是所输入的挂载数据路径不符合,以至于最后会出现File not found的错误信息,这时候建议您可以回到前面的步骤中使用List Mounted来查看正确的信息即可。
结合计划建立快照(Snapshot)备份
在上述有关于Active Directory数据库的快照建立方式,都是通过我们以手动输入命令的方式来建立,如果您希望它可以定时来建立快照,那么便需要结合系统内建的“计划任务”来使用才可以达到。请在“开始”“附属应用程序”的下拉选单中开启“计划任务”。在Windows Server 2008内建的计划任务工具操作界面中,请在 “动作”窗格中选择“建立计划”连结继续。
紧接着将会开启“建立计划”的窗口,在“一般”的页面中请输入一个唯一的识别名称,然后您可以在“安全性选项”中自行决定此工作的执行,所要使用的账户以及是否需要在使用者有在本机登入时才执行等组态。
接下来请选择切换到“触发程序”的页面中,在这个页面中请选择“新增”按钮来开启“新增触发程序”页面,在此页面中首先请在“开始工作”的字段中选择“在计划上”,然后紧接着便可以根据实际计划备份需求,来设定每天、每周或是每月的定时快照备份的建立时间点,而在下方的进阶设定区域中,则可以进一步设定重复工作执行的间隔时间、工作运行时间超过多久时将自动停止以及此工作计划执行的到期日期与时间等等。
在完成触发程序新增后的页面中,可以清楚在状态的字段中看到已启用的字眼,这表示目前这个工作所设定的计划会如期执行,后续如果需要去修改刚刚所设定的工作计划,只要在选取程序项目之后接着选择“编辑”按钮即可。
接下来请切换到“动作”的页面中,在此请同样新增一个执行动作,选择之后将会开启“新的执行动作”页面,在此首先请在“执行”的下拉选单中选择“启动程序”,接着请选择“浏览”按钮浏览至默认C:WindowsSystem32 tdsutil.exe文件,并且在“新增自变量”的字段中输入"activate instance ntds" snapshot create quit quit即可,然后选择“确定”完成新增动作的操作。
接下来您可以继续切换到“条件”的页面中,在此主要可以让我们设定执行此工作的时机为何,您可以设定只有在计算机闲置到指定的时间之后才执行,或是只有在指定的网络可以联机时才执行等等。最后您可以继续切换到“设定”的页面中,这里主要是可以针对工作的执行设定一些进阶的处理动作,这包括了如果工作执行失败时要自动每隔多久重新启动、如果工作运行时间大于以下值即停止等等。
完成上述几个针对于计划工作的设定之后,我们便可以针对这个工作项目,在“动作”窗格中选择“内容”来修改前面的设定,或是选择“执行”来让此工作立即执行(通常在第一次完成工作计划设定时,会先执行一次来测试是否可正常运作),当然啦!必要的话您还可以选择“停用”来让此工作计划的执行暂停。至于针对此工作目前的执行详细状态与执行过的历史记录,您则可以切换到“历史记录”的页签中来查看即可。
使用Ldp.exe命令工具存取快照数据库
对于已经完成了快照数据挂载的Active Directory数据库来说,接下来我们优先说明如何通过LDP.exe这支内建的命令工具的联机,来检视快照的Active Directory数据库内容。请在“开始”“执行”的开启字段中输入LDP,然后选择“确定”按钮继续。接下来将会开启LDP专属的图形操作界面,首先请在“联机”下拉选单中选择“联机”继续。紧接着将会开启“联机”设定的窗口,请在服务器字段中输入localhost或是本机的计算机名称,以及在端口的字段中输入前面我们通过dsamain所自定义的通讯端口号码(例如51389),请选择“确定”按钮继续。确定成功完成与LDAP实例的联机之后,接下来请在“联机”的下拉选单中,选择“系结”选项继续。
在开启了系结设定的页面之后,在系结类型的设定中您可以选择采用预设的“以目前登入使用者身份系结”或是“利用认证系结”来进行系结的动作,完成设定之后请选择“确定”。一旦成功完成了系结的动作之后,接下来我们便可以选择位在“检视”下拉选单中的“树状目录”,来准备浏览快照的Active Directory数据库内容了。执行树视图之后将会开启页面,请在基准DN的字段中输入以LDAP格式的路径表示法(例如:msft.com就必须输入 dc=msft,dc=com),完成输入之后选择“确定”。一旦成功联机了指定的快照树系名称之后,您将可以在此树状目录中展开各节点来浏览相关容器与对象的详细信息内容了。
通过Windows Server内建工具开启快照数据库
身为系统管理员的您,除了可以通过LDP的简易图形界面来浏览快照的数据库内容之外,也可以通过我们平日最常使用的“Active Directory用户与计算机”在联机这个暂时的LDAP服务器喔!在您从系统管理工具中开启了Active Directory用户与计算机的界面之后,请在最上层的节点上按下鼠标右键之后选择“变更域控制器”项目继续。
在执行了“变更域控制器”项目之后将会开启“变更目录服务器”页面,请在选取了“这个域控制器或AD LDS实例”设定之后,在下方的名称字段中输入本机的计算机名称与通讯端口号码(例如:Server:51389),然后选择“确定”按钮即可。
当您成功完成指定快照数据库的LDAP实例联机之后,在这个只读的操作界面中,请永远记得!您唯一只能够浏览其中的各项容器与对象属性内容,是无法进行新增、删除或修改的。
