這篇文章主要為大家展示了“如何進行Active Directory 恢復”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“如何進行Active Directory 恢復”這篇文章吧。

滄縣ssl適用于網站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：13518219792（備注：SSL證書合作）期待與您的合作！

域控制器的裸機恢復

備份和恢復最激動人心的改進之一是 WinRE 并入安裝過程的方式。從安裝媒體中啟動 Windows Server 2008 時，您可以選擇“Repair your computer”（修復計算機）選項，如圖 7 所示。由于這一選項極易被錯過，所以在此專門做個提醒。

Figure 7 The Repair your computer option is available on the installation screen (單擊該圖像獲得較大視圖)

在安裝屏幕上選擇修復選項后，Windows 會讓我選擇一個恢復選項，如圖 8 所示。在本例中，我選擇“Windows Complete PC Restore”（Windows 完整 PC 還原），這會調用 Windows 恢復環(huán)境。

Figure 8 Specifying system recovery options (單擊該圖像獲得較大視圖)

在選擇要修復的操作系統(tǒng)（通常只有一個選擇）后，WinRE 允許您選擇要從其進行還原的備份。默認情況下，WinRE 選擇最近的完整系統(tǒng)備份，但您可以指定存儲在本地磁盤上的其他備份，或在網絡中搜索存儲在其他服務器文件共享中的備份。

在我的示例中，我選擇最近的完整系統(tǒng)備份。下一對話框（如圖 9 所示）讓我先格式化所有磁盤并重新分區(qū)，然后再進行還原。如果您正從某種磁盤故障所導致的問題中恢復，或者已替換了服務器中的一個或多個磁盤驅動器，則這是一個合適的選項。

Figure 9 You can easily format and repartition disks before they're restored (單擊該圖像獲得較大視圖)

在兩個確認對話框之后，WinRE 啟動還原進程，而且服務器重新啟動。此方法極為適合在服務器上執(zhí)行裸機恢復。

域控制器的系統(tǒng)狀態(tài)恢復

如果您需要從某種與 Active Directory 相關的問題中恢復（例如從備份中恢復刪除的 OU），則應將 Active Directory 域服務 (ADDS) 數(shù)據(jù)庫還原至早期狀態(tài)，而不是還原整個系統(tǒng)。盡管您可以像在 Windows Server 2008 中的服務那樣停止 ADDS，但仍需將服務器引導到目錄服務還原模式 (DSRM) 中，以對域控制器執(zhí)行系統(tǒng)狀態(tài)還原。

更改引導選項以將 Windows Server 2008 引導到 DSRM 中并不像以前那樣容易。整個 Windows 引導環(huán)境經過了重新設計，以支持新的可擴展固件接口 (EFI)，而老式的 boot.ini 文件不再存在。Windows Server 2008 代之以使用引導配置數(shù)據(jù) (BCD) 來管理引導過程。

管理 BCD 的最簡單方法是使用 BCDEDIT 命令行程序。說明所有 BCDEDIT 命令和選項需要一整篇文章，我在此處只向您顯示某些有用的示例。

要將 Windows Server 2008 DC 重新引導到 DSRM 中，請使用以下命令：

C:\> bcdedit /set safeboot dsrepair

這將為默認的引導加載程序項設置安全引導選項。在全新的 Windows Server 2008 安裝中，只有一個引導加載程序項 WINLOAD.EXE。要刪除安全引導選項并重新引導到正常模式中，請使用以下命令：

C:\> bcdedit /deletevalue safeboot

您可在 DC 上配置兩個引導加載程序項——一個用于正常引導，一個用于 DSRM 引導，這樣更為便利。您也就可以使用“System Settings”（系統(tǒng)設置）下提供的“Startup and Recovery”（啟動和恢復）設置對話框來更改引導選項。要添加新的引導加載程序項，請使用以下命令：

C:\> bcdedit /copy {default}/d "Directory Service Repair Mode"

此操作將通過復制默認的引導加載程序項創(chuàng)建一個新的引導加載程序項。BCDEDIT 將顯示與下面類似的內容：

The entry was successfully copied to{c50d4710-a1f0-11dc-9580-0003ff402ae9}

GUID 會識別新項。然后，使用以下命令為 BCD 中新的引導加載程序項設置安全引導選項：

C:\> bcdedit /set {}safeboot dsrepair

您現(xiàn)在可以使用“Startup and Recovery”（啟動和恢復）設置（如圖 10 所示）從正常引導模式切換到 DSRM 引導模式。

Figure 10 Disable incremental backups on busy volumes

在使用 WBADMIN 啟動系統(tǒng)狀態(tài)還原之前，必須確定要從其進行還原的備份。WBADMIN 可以從完整系統(tǒng)備份、只包含關鍵系統(tǒng)卷的備份或系統(tǒng)狀態(tài)備份執(zhí)行系統(tǒng)狀態(tài)還原。在上述任一情況下，必須指定要使用的備份版本。確定可用備份版本的最簡單方法是使用下面的 WBADMIN 命令：

C:\> wbadmin get versions

WBADMIN 然后將以與圖 11 中所示信息類似的形式顯示備份版本。請注意，每個備份都有一個備份時間、備份目標、版本標識符（順便說一下，它是備份以“通用平均時”啟動的時間和日期）以及一個可支持恢復操作的類型列表。

wbadmin 1.0 - Backup command-line tool(C) Copyright 2004 Microsoft Corp.Backup time: 11/30/2007 3:47 PMBackup target: Fixed Disk labeled E:Version identifier: 11/30/2007-22:47Can Recover: Application(s), System StateBackup time: 12/1/2007 10:46 PMBackup target: Fixed Disk labeled Backup(E:)Version identifier: 12/02/2007-05:46Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System StateBackup time: 12/2/2007 5:58 PMBackup target: Fixed Disk labeled Backup(E:)Version identifier: 12/03/2007-00:58Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System StateBackup time: 12/3/2007 11:2***MBackup target: Fixed Disk labeled E:Version identifier: 12/03/2007-18:25Can Recover: Application(s), System State

在本例中，我選擇最近的備份，并使用以下 WBADMIN 命令啟動系統(tǒng)狀態(tài)還原：

C:\> wbadmin start systemstaterecovery–version:12/03/2007-18:25

這將執(zhí)行非權威還原。如果您希望執(zhí)行 SYSVOL 的權威還原，只需將還原的 SYSVOL 副本標記為權威即可，方法是將 authsysvol 選項添加至 WBADMIN 命令。有關此過程的詳細信息，請參閱 go.microsoft.com/fwlink/?LinkId=113152。
制作 Active Directory 快照

在 Active Directory 的備份方面，最激動人心的變化之一就是根本不再與 Windows Server Backup 發(fā)生關聯(lián)。在 Windows Server 2008 中，Active Directory 能夠提供“卷影復制服務”快照，這可充分利用這一功能。這些快照是正在運行的 Active Directory 服務的極輕型時間點備份。更為可喜的是，它們僅需幾秒鐘即可創(chuàng)建！隨后，您可以裝入這些快照并使用基于 LDAP 的正常實用工具（例如 LDP 工具）訪問它們。

使用如下所示的 NTDSUTIL 命令制作 ADDS 或 Active Directory 輕型目錄服務 (ADLDS) 的快照：

ntdsutil: snapshotsnapshot: activate instance ntdsActive instance set to "ntds".snapshot: createCreating snapshot...Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.snapshot: quitntdsutil: quit

此 NTDSUTIL 命令序列會創(chuàng)建包含 Active Directory DIT、日志和 SYSVOL 的卷的“卷影復制服務”快照。即使 Active Directory 仍在更新，“卷影復制服務”也會使用寫入時復制策略來確保正確維護已制作的快照。請注意，快照不是 DIT 的完整副本。它們實際上只是 DIT 中制作快照后經過修改的磁盤塊的集合。通過將這些塊與 DIT 的當前副本組合在一起，VSS 所呈現(xiàn)的 Active Directory DIT 正是其在快照時的狀態(tài)。圖 12顯示如何刪除舊的或不需要的快照。

C:\> ntdsutilntdsutil: snapshotsnapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931}snapshot: delete 1Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\snapshot: quitntdsutil: quitC:\>

裝入 Active Directory 快照

為了使用這些快照之一，您必須首先指示“卷影復制服務”使快照可供文件系統(tǒng)使用。為達此目的，可使用 ntdsutil 命令列出可用快照，然后裝入感興趣的快照（請參見圖 13）。

C:\> ntdsutilntdsutil: snapshotsnapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931}snapshot: mount 1Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\snapshot: quitntdsutil: quitC:\>

list all" 命令列出了當前由“卷影復制服務”維護的所有可用 Active Directory 快照。"mount 1" 命令裝入 Active Directory DIT 和日志卷的選定快照，然后使它們在文件系統(tǒng)中可用。它們位于 C:\$SNAP_200712032318_VOLUMEC$\ 和 C:\$SNAP_200712032318_VOLUMED$\ 中。

如果您查看這些文件夾，則會看到這些卷的整個內容與制作快照時相同。不過，請注意，裝入的快照為只讀，即：您無法修改已裝入快照中的任何文件。

從 Active Directory 快照恢復數(shù)據(jù)

裝入包含 Active Directory 的卷的快照這一任務看起來有些神秘。該如何訪問這些快照中所包含的 Active Directory 數(shù)據(jù)呢？DSAMAIN 命令就是其中的關鍵。它是運行 ADLDS 的可執(zhí)行程序。實質上是一個獨立的 LDAP 服務器，幾乎與 ADDS 共享其所有代碼。您可以使用 DSAMAIN 使裝入的快照看起來像只讀 LDAP 服務器（包含制作快照時的 Active Directory 數(shù)據(jù)）。

請考慮以下命令：

C:\> dsamain –dbpathc:\$snap_200712032318_volumed$\ntds\dit\ntds.dit -ldapport 10000

這會裝入位于 c:\$snap_200712032318_volumed$\ntds\dit 文件夾中的 ntds.dit 文件，并使其可供 TCP 端口 10000（或您指定的任何開放端口）上的 LDAP 操作使用。DSAMAIN 將在所指定數(shù)字加一的端口（在本例中為 10001）上打開 LDAPS 端口（用于 LDAP over SSL 的端口）、在所指定數(shù)字加二的端口 (10002) 上打開 GC 端口（用于全局編錄連接的端口），在所指定數(shù)字加三的端口 (10003) 上打開 GCS 端口（全局編錄 over SSL）。

您可以使用任何 LDAP 程序（例如 LDP）訪問指定端口上裝入的 DIT。但在 Windows Server 2008 中，Active Directory 用戶和計算機 (ADUC)、站點和服務、域和信任關系以及 ADSIEDIT 均已經過修改，以允許您使用 DSAMAIN 將它們連接到裝入的 DIT。如果您右鍵單擊任何 ADUC 導航窗格中的頂層節(jié)點，并選擇“Change Domain Controller”（更改域控制器），則會看到圖 14中所示的對話框。如果您只鍵入托管已裝入快照的服務器的名稱或 IP 地址以及端口（在我的示例中為 localhost:10000），則 ADUC 將連接裝入的快照，從而允許您瀏覽目錄的內容（與制作快照時相同）。非常了不起，不是嗎？

Figure 14 Connecting Active Directory users and computers to a mounted snapshot (單擊該圖像獲得較大視圖)

能夠以此方式訪問目錄數(shù)據(jù)使多種數(shù)據(jù)恢復任務都比以前容易多了。例如，要從備份恢復刪除的對象，以前需要對現(xiàn)有 DC 執(zhí)行備份的非權威還原，然后執(zhí)行已刪除對象的權威還原。如果您還原的備份沒有正確數(shù)據(jù)，則必須使用其他備份再次全部啟動?，F(xiàn)在，使用邏輯刪除恢復和快照，您可以快速找到并恢復刪除的數(shù)據(jù)，甚至不必使域控制器脫機即可執(zhí)行此操作。

不過，有一些限制。例如，每個活動快照都會增加與寫入到目錄操作關聯(lián)的磁盤 I/O，因此，生產 DC 任意時間點的活動快照不應超過一或兩個。此外，快照保持活動狀態(tài)的時間越長，“卷影復制服務”變化量存儲就會越大——這也會影響性能。當然，簡單恢復刪除的對象只是恢復問題的***部分。您可能還必須恢復對象的鏈接屬性，例如組成員身份等。但是，即使在此情況下，快照也可以幫助您確定已刪除對象所屬的所有組。

可靠的 Active Directory 備份和恢復策略

Windows Server 2008 帶來了一個全新的備份和恢復系統(tǒng)。某些變化起初可能會讓人感到不滿。但是，一旦 IT 組織接受這些變化并將新的備份技術融入到日常操作中，更加有效的備份和恢復實施將會使其為之一振。

即使 Windows Server 2008 中備份服務器的方法發(fā)生了諸多變化，備份和恢復 Active Directory 的基本策略實際上并無太大變化。因此，在規(guī)劃策略時，請確保記住這些***實踐：

計劃定期完整備份系統(tǒng)，這樣您便可以在硬件出現(xiàn)故障后恢復 DC。計劃 DC 完整備份的頻率取決于數(shù)據(jù)更新的頻率、停機時間和/或數(shù)據(jù)丟失的容差，以及從頭開始重新構建 DC 可能需要的工作量。

計劃經常性系統(tǒng)狀態(tài)備份以備份 Active Directory 中的更改。執(zhí)行系統(tǒng)狀態(tài)備份的頻率取決于丟失 Active Directory 數(shù)據(jù)的容差。但是，您一天應至少執(zhí)行一次這種備份。如果您有硬件，則至少在本地磁盤上保持一個或兩個系統(tǒng)狀態(tài)備份，并將舊的系統(tǒng)狀態(tài)版本復制到 DVD 或網絡共享。

確保至少對每個域中的兩個 DC 執(zhí)行系統(tǒng)狀態(tài)備份。這將在其中一個備份出現(xiàn)錯誤或不可用時提供一些保障。

請確保使用應用程序分區(qū)副本（如果它們已定義）來備份 DC。同時，考慮在 DC 上創(chuàng)建 Windows 恢復環(huán)境，以便您可以在關鍵系統(tǒng)驅動器出現(xiàn)故障時能快速引導到 WinRE 中。

是 NetPro 的 CTO，他自 1996 年起便一直參與開發(fā) Active Directory 軟件。他與來自 HP 的 Guido Grillenmeier 一起創(chuàng)辦了廣受歡迎的 Active Directory 災難恢復學習班。Gil 還是目錄專家會議（請參閱 www.dec2008.com）的創(chuàng)始人。

以上是“如何進行Active Directory 恢復”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道！