AD備份還原管理實戰

■

在Windows Server 2008的域控制器備份還原管理中，并沒有像前幾版的Windows 2000 Server或Windows Server 2003一樣，有所謂的可以只針對系統狀態（system state data）進行備份與還原的功能，這是因為它所要備份的數據不再只是針對系統狀態數據就可以達成后續還原的目的了，而必須針對整個扇區的重大備份（Critical volumes）才可以。以下說明整個扇區的重大備份所涵蓋的項目有以下幾個重點：

系統扇區：啟動文件以及相關開機設定數據（BCD，Boot Configuration Data）

啟動扇區：包括了Windows操作系統和登錄文件數據

SYSVOL相 關 數 據、Active Directory數據庫與事務歷史記錄文件

而所謂系統狀態內容則包 括 了 登 錄 檔（Registry）、COM+類別注冊數據庫、啟動文件、Active Directory憑證服務數據庫、Active Directory網域服務數據庫、SYSVOL文件夾、叢集服務信息、IIS網站的Meta數據以及Windows資源保護的相關文件。

實戰講解

想要對于域控制器針對整個扇區進行重大備份操作，可以選擇采用Windows Server Backup圖形界面或是Wbadmin.exe命令工具。首先讓我們先看看有關于前者的操作方式。

圖1 選取備份項目

請在“系統管理工具”下拉選單中選擇開啟“Windows Server Backup”，緊接著在界面中的“動作”窗格內選擇“單次備份”的鏈接，接著系統將會開啟單次備份精靈界面，由于筆者是第一次執行此備份工具，并且先前從未執行過任何計劃備份操作，因此在這個頁面中也僅有“不同選項”的設定可以選取，選擇“下一步”繼續。

請注意！在您選擇“下一步”的同時，可能會出現一個警告信息窗口，內容中主要告訴我們如果曾經有執行過備份操作，您將需要先完成類別數據（Catalog）的還原，否則可能會造成這部份的信息的遺失，如果是第一次執行那當然就可以忽略掉此警示，并且點“是”按鈕繼續。

接著在“選取備份設定”的頁面中，可以依照實際需求選擇“完整服務器”備份或是“自定義”備份，一般來說如果此服務器中包含其它重要的應用程序，或是同時擔任文件服務器的使用時，便會選擇“完整服務器”來進行備份，如果只是單純的域控制器角色，或是只想要備份特定磁盤分區中的數據時則可以選擇“自定義”即可。選擇“下一步”繼續。

接著在“選取備份項目”的頁面中，便是可以選擇所要備份的扇區來源，如圖1所示其中系統磁盤是無法取消選取的，并且也請務必勾選“啟用系統修復”項目，此外如果備份儲存文件位置也在本機計算機的其它磁盤中，則理所當然這個磁盤在此是不可以選取的。選擇“下一步”繼續。

由于所執行的是單次備份操作，因此接著在“指定目的地類型”的頁面中，將可以選擇是要備份到“本機磁盤”還是網絡中的其它計算機的共享路徑中，如果是選擇后者，那么必須確認此計算機目前是可以正常聯機的，并且確認有足夠權限可以寫入備份數據到此位置中。選擇“下一步”繼續。

接著在“選取備份目的地”的頁面中，在此除了必須所選取的磁盤剩余容量大于備份項目大小許多之外，當然您也可以選擇備份至可刻錄的DVD或CD驅動器中，只是在備份的過程中可能需要更換多次的新刻錄盤片。選擇“下一步”繼續。在“指定進階選項”的頁面中，請記得選擇“VSS復制備份”選項，選擇“下一步”繼續。在“確認”的頁面中，可以讓我們對于前面的所有設定值做最后的確認動作，一旦確認沒有問題之后請選擇“備份”按鈕，開始進行備份操作。

在“備份進度”的頁面中，便會開始顯示整個備份的進度與說明，基本上它會從建立磁盤卷影復制的程序開始，等確認成功建立無誤之后才會開始進行相關數據的備份，在備份的過程中您可以選擇“關閉”按鈕，因為它仍然會在后臺中持續完成備份的操作。如果您在前面關閉了備份進度的窗口，那么在回到了Windows Server Backup的主窗口之后，是仍然可以看到備份進度的信息顯示，最后便是成功完成了整個備份操作的顯示信息。

采用Wbadmin.exe命令工具的備份方法

接下來讓我們來看看如何通過Wbadmin.exe命令工具來進行重大備份操作的執行。您可以輸入wbadmin start backup -allCritical-backuptarget:磁盤代號:-quiet的命令格式來開始備份，而整個備份過程的進度也將可以由此窗口來檢視到。

圖2 啟動目錄服務恢復模式

然而無論是通過圖形界面或命令工具的備份方式，在執行備份的過程中也是仍然有可能會發生錯誤的。舉例來說，如果磁盤卷影復制的功能（VSS）無法正常被執行時，將會出現錯誤信息而導致備份過程被迫中止。

無論如何，若想要完整得知備份的過程為何會發生失敗，以及找出相對應的解決方法，我們都可以通過事件查看器來查詢即可，在事件查看器中的“Windows記錄”“應用程序”項目來查看錯誤事件的內容說明，想要查看更進一步的信息可以選擇“事件日志聯機幫助”鏈接，以及“詳細數據”頁面來查看即可。

域控制器服務器的還原

一旦成功完成了域控制器重大數據的備份操作之后，如果目前您是在一個測試性的環境中，那么首先您便可以嘗試將一些Active Directory中的對象進行刪除，例如自定義的組織容器、計算機對象或是用戶賬戶等等，然后再來進行域控制器目錄數據庫的還原。

想要進行目錄服務數據庫的相關數據還原，一般我們都會在剛開機之后立即按下鍵盤上的“F8”按鍵，此刻系統便會開啟如圖2所示的“進階開機選項”頁面，請在此頁面中選取“目錄服務恢復模式”項目，然后再按下鍵盤上的“Enter”按鍵繼續。

請注意！您除了可以使用重新啟動的方式，使用“F8”按鍵選擇進入“目錄還原恢復模式” 之外，也可以在重新啟動之前在命令提示列輸 入bcdedit /set safeboot dsrepair命令參數，來讓系統自動重新啟動進入到此模式之中。

當成功完成了開機到了登入頁面的時候，您是無法以域管理員的身份來登入的，而是必須改用其他賬戶來登入，然后輸入.Administrator為用戶賬戶名稱，以及輸入當時在建立升級成域控制器時所輸入的目錄服務恢復模式的密碼來登入才可以喔！關于這一點要特別留意。

在成功完成登入到目錄服務恢復模式之后，請先開啟命令提示列窗口，然后依 次 輸 入：wbadmin get versions -backuptarget::-m a c h i n e:命令格式先來查看各時間點的備份記錄，其中-machine的參數并非是一定要輸入的，除非您所儲存備份文件的位置在網絡中的其它計算機磁盤中才需要。

圖3 針對指定時間點的還原

一旦得知了所要還原的備份數據時間點信息之后，便可以如圖3所示輸入wbadmin start systemstaterecovery-v e r s i o n:-b a c k u p t a r g e t::-m a c h i n e: -quiet命令格式，來針對指定的時間點備份數據進行還原了。

整個還原過程中的片段畫面，過程中系統將會先一一確認與處理所備份的數據，最后在完成備份文件中數據恢復操作。在整個目錄服務系統狀態成功還原后，請立即完成重新啟動的操作即可。

完成了在目錄還原恢復模式的域控制器臺資料的還原之后，建議您可以直接下達bcdedit /deletevalue safeboot命令參數，讓系統自動以正常啟動的模式完成開機操作，至于在立即重新啟動的指令部份，則可以輸入shutdown -t 0 -r。

在完成了目錄服務系統狀態的還原與重新啟動之后，成功完成了目錄服務系統狀態的還原操作了。

關于Wbadmin.exe命令的使用方法，您可以在命令提示列中輸入/?參數，來得知基本可用的命令有哪一些。至于如果想針對特定命令參數的用法進一步了解，例如系統狀態的還原方法，則可以輸入wbadmin start systemstaterecovery /?來查看即可。

Active Directory 數據庫掛載工具使用方法

Active Directory 數據庫掛載工具（Active Directory Database Mounting Tool）是Windows Server 2008繼過去Ntdsutil命令工具之后，一支全新改良設計的新Active Directory 數據庫維護工具，通過這一個工具的簡易使用，可以讓管理員去針對儲存在Active Directory Domain Services（AD DS）或 Active Directory Lightweight Directory Services（AD LDS）中的數據，去進行快照（snapshots）的建立或檢視，而不需要去重新啟動域控制器或是AD LDS服務器。然而有關于這一項針對Active Directory數據庫快照功能的使用，則是結合Windows Server 2008本所內建的扇區卷影復制服務功能（Volume Shadow Copy Service）來完成的。

通過這支Active Directory 數據庫掛載工具（Dsamain.exe）的使用，對于網管人員在平日的域數據庫維護上有什么幫助呢？對于有經驗的IT人員來說，想必一定會聯想到有關于在網域數據庫的還原處理上會更加方便許多，更進一步的說法則是應該是說在數據庫的還原之前，起碼可以針對現有運作中的數據與快照備份的數據進行新舊版本比對之后，再來決定是否要進行所遺失數據的還原操作。

在接下來的內容中，將說明如何通過Active Directory數據庫掛載工具，來進行數據庫快照列表的建立以及數據庫的掛載與數據庫內容的檢視。

任 何Windows Server 2008只要已經安裝了Active Directory Domain Services（AD DS）或Active Directory Lightweight Directory Services（AD LDS）服務器角色，便可以使用以下幾個內建的管理工具：

新Ntdsutil snapshot工具：這個新增的snapshot操作選項，可以讓管理員進行快照的建立、快照列表的顯示、掛載或卸除AD DS與AD LDS數據庫。

Dsamain.exe：通過此工具可以將指定的快照數據庫，連接成為一個自定義通訊端口的LDAP服務器。

Ldp.exe命令工具與“Active Directory用戶與計算機”管理工具：這兩個工具都可以用來檢視只讀并且已經掛載的AD DS與AD LDS數據庫內容，讓管理員來進行不同快照備份的內容比較。

請注意！在預設的狀態下只有Domain Admins與Enterprise Admins群 組的成員，才能夠對于Active Directory快照數據進行檢視，因為這里頭包含了許多足以影響整個IT基礎營運的敏感數據（AD DS），然而如果您想要從一個已經刪除的舊網域或樹系中檢視快照數據，則您便可以在執行Dsamain.exe命令工具時，來設定允許非系統管理員的用戶存取快照數據。

圖4 掛載或卸除指定的快照

以手動建立快照備份

快照數據的建立可以采用單一次的手動執行方式或計劃設定的方式來定時建立。接下來讓我們先來看看有關于手動建立Active Directory數據快照的方法。請在“開始”“命令提示列”項目上按下鼠標右鍵，然后選擇“以系統管理員身份執行”。

接下來將會開啟以系統管理員身份為主的命令提示字符窗口，請輸入ntdsutil并且按下“Enter”按鍵，然后在“ntdsutil:”的提示字符下輸入snapshot并且按下“Enter”按鍵，此刻提示字符將會變成“快照：”，請緊接著輸入activate instance ntds并且按下“Enter”按鍵，最后再輸入create命令并且按下“Enter”按鍵便可以完成快照的建立，如圖4。

在成功完成了每一個時間點的快照建立時，請注意它都會有一個專屬的快照序號的惟一標識符，至于后續如果想要通過LDP命令工具或Active Directory用戶與計算機的工具來存取它之前，首先便需要如圖4所示的第一行命令一樣，通過mount命令搭配指定快照的序號來將此快照的數據庫完成掛載的動作，而如果想要得知目前已經掛載的快照資料有哪一些，則可以輸入list mounted命令來查看即可，如果想要卸除某一指定的快照數據庫項目，則只要輸入unmount命令搭配此快照的序號即可。

關于快照命令提示字符下的指令用法，您可以如圖4所示直接輸入?，然后按下“Enter”按鍵即可得知，范例中筆者便是緊接著輸入了List all來查看目前所有的快照項目的信息，您也可以通過Delete指令來刪除特定的快照數據項。

請注意！在快照的數據項清單中，我們可以看到在每一個數據快照項目中都有兩組不同的序號（快照索引編號與GUID），關于這兩組不同的序號都可以用來作為快照項目掛載與卸除時的參數值。

完成了特定快照數據庫的掛載之后，緊接著便可以通過執行Dsamain.exe命令工具，來將所連接的快照數據庫變成一個獨立的LDAP服務器執行各體。我們可以通過dsamain/dbpath /ldapport 命令格式來完成這一向操作。

然而在執行Dsamain.exe命令工具時，可能會出現錯誤信息。而通?？赡艿膯栴}原因是您所指定的快照數據庫尚未掛載，或是所輸入的掛載數據路徑不符合，以至于最后會出現File not found的錯誤信息，這時候建議您可以回到前面的步驟中使用List Mounted來查看正確的信息即可。

結合計劃建立快照(Snapshot)備份

在上述有關于Active Directory數據庫的快照建立方式，都是通過我們以手動輸入命令的方式來建立，如果您希望它可以定時來建立快照，那么便需要結合系統內建的“計劃任務”來使用才可以達到。請在“開始”“附屬應用程序”的下拉選單中開啟“計劃任務”。在Windows Server 2008內建的計劃任務工具操作界面中，請在 “動作”窗格中選擇“建立計劃”連結繼續。

緊接著將會開啟“建立計劃”的窗口，在“一般”的頁面中請輸入一個唯一的識別名稱，然后您可以在“安全性選項”中自行決定此工作的執行，所要使用的賬戶以及是否需要在使用者有在本機登入時才執行等組態。

接下來請選擇切換到“觸發程序”的頁面中，在這個頁面中請選擇“新增”按鈕來開啟“新增觸發程序”頁面，在此頁面中首先請在“開始工作”的字段中選擇“在計劃上”，然后緊接著便可以根據實際計劃備份需求，來設定每天、每周或是每月的定時快照備份的建立時間點，而在下方的進階設定區域中，則可以進一步設定重復工作執行的間隔時間、工作運行時間超過多久時將自動停止以及此工作計劃執行的到期日期與時間等等。

在完成觸發程序新增后的頁面中，可以清楚在狀態的字段中看到已啟用的字眼，這表示目前這個工作所設定的計劃會如期執行，后續如果需要去修改剛剛所設定的工作計劃，只要在選取程序項目之后接著選擇“編輯”按鈕即可。

接下來請切換到“動作”的頁面中，在此請同樣新增一個執行動作，選擇之后將會開啟“新的執行動作”頁面，在此首先請在“執行”的下拉選單中選擇“啟動程序”，接著請選擇“瀏覽”按鈕瀏覽至默認C:WindowsSystem32 tdsutil.exe文件，并且在“新增自變量”的字段中輸入"activate instance ntds" snapshot create quit quit即可，然后選擇“確定”完成新增動作的操作。

接下來您可以繼續切換到“條件”的頁面中，在此主要可以讓我們設定執行此工作的時機為何，您可以設定只有在計算機閑置到指定的時間之后才執行，或是只有在指定的網絡可以聯機時才執行等等。最后您可以繼續切換到“設定”的頁面中，這里主要是可以針對工作的執行設定一些進階的處理動作，這包括了如果工作執行失敗時要自動每隔多久重新啟動、如果工作運行時間大于以下值即停止等等。

完成上述幾個針對于計劃工作的設定之后，我們便可以針對這個工作項目，在“動作”窗格中選擇“內容”來修改前面的設定，或是選擇“執行”來讓此工作立即執行（通常在第一次完成工作計劃設定時，會先執行一次來測試是否可正常運作），當然啦！必要的話您還可以選擇“停用”來讓此工作計劃的執行暫停。至于針對此工作目前的執行詳細狀態與執行過的歷史記錄，您則可以切換到“歷史記錄”的頁簽中來查看即可。

使用Ldp.exe命令工具存取快照數據庫

對于已經完成了快照數據掛載的Active Directory數據庫來說，接下來我們優先說明如何通過LDP.exe這支內建的命令工具的聯機，來檢視快照的Active Directory數據庫內容。請在“開始”“執行”的開啟字段中輸入LDP，然后選擇“確定”按鈕繼續。接下來將會開啟LDP專屬的圖形操作界面，首先請在“聯機”下拉選單中選擇“聯機”繼續。緊接著將會開啟“聯機”設定的窗口，請在服務器字段中輸入localhost或是本機的計算機名稱，以及在端口的字段中輸入前面我們通過dsamain所自定義的通訊端口號碼（例如51389），請選擇“確定”按鈕繼續。確定成功完成與LDAP實例的聯機之后，接下來請在“聯機”的下拉選單中，選擇“系結”選項繼續。

在開啟了系結設定的頁面之后，在系結類型的設定中您可以選擇采用預設的“以目前登入使用者身份系結”或是“利用認證系結”來進行系結的動作，完成設定之后請選擇“確定”。一旦成功完成了系結的動作之后，接下來我們便可以選擇位在“檢視”下拉選單中的“樹狀目錄”，來準備瀏覽快照的Active Directory數據庫內容了。執行樹視圖之后將會開啟頁面，請在基準DN的字段中輸入以LDAP格式的路徑表示法（例如：msft.com就必須輸入 dc=msft,dc=com），完成輸入之后選擇“確定”。一旦成功聯機了指定的快照樹系名稱之后，您將可以在此樹狀目錄中展開各節點來瀏覽相關容器與對象的詳細信息內容了。

通過Windows Server內建工具開啟快照數據庫

身為系統管理員的您，除了可以通過LDP的簡易圖形界面來瀏覽快照的數據庫內容之外，也可以通過我們平日最常使用的“Active Directory用戶與計算機”在聯機這個暫時的LDAP服務器喔！在您從系統管理工具中開啟了Active Directory用戶與計算機的界面之后，請在最上層的節點上按下鼠標右鍵之后選擇“變更域控制器”項目繼續。

在執行了“變更域控制器”項目之后將會開啟“變更目錄服務器”頁面，請在選取了“這個域控制器或AD LDS實例”設定之后，在下方的名稱字段中輸入本機的計算機名稱與通訊端口號碼（例如：Server:51389），然后選擇“確定”按鈕即可。

當您成功完成指定快照數據庫的LDAP實例聯機之后，在這個只讀的操作界面中，請永遠記得！您唯一只能夠瀏覽其中的各項容器與對象屬性內容，是無法進行新增、刪除或修改的。