Windows Server 2008 R2 AD的备份和恢复

191145686

　　http://blog.sina.com.cn/s/articlelist_1407212003_1_1.html
　　AD的备份可以利用Windows Server Backup对系统状态进行备份获得。然而相对AD的备份，AD的还原要复杂得多。在生产环境中，可能由于很多原因（DC硬件故障等）造成DC崩溃，此时我们有多种方法对DC进行还原操作，如系统重建,即如果域中有一台正常的DC，我们可以重新安装windows server 2008,提升AD，然后通过复制完成DC的正常工作；当然我们也可能利用裸机恢复，前提是我们对系统进行了裸机恢复备份。然在实际中我们使用得最多的还原模式有非授权还原和授权还原。
　　   非授权还原：利用Windows Server Backup进行还原。还原后被还原的DC的所有对象的序列号恢复到备份时序列号，当DC重新启动后，它会从域中的其它DC复制最新的数据（即序列号比它还原后大的数据）
　　   授权还原：利用Windows Server Backup和NTDsUTIL进行还原。即在非授权还原之后，服务器重启之前运行Ntdsutil实用程序，对对象进行还原。当对象进行授权还原后，会将对象的序列号设置成比域中这个对象的所有序列号都要大。从而保证服务器重启后，不会从其它DC复制这个对象数据，而是将这个对象数据复制到域中其它DC
　　    注意：我们利用R2 的新功能“活动目录回收站”进行对象的恢复。具体操作见
　　“Windows Server 2008 R2之活动目录回收站”
　　实验环境：在Win2008R2CNDC这台DC上操作完成
　　实验要求：
　　使用Wbadmin备份DC
　　使用Wbadmin对DC进行非授权还原
　　使用Ntdsutil对DC进行授权还原
　　更改TombstoneLifeTime时间
　　实验步骤
　　一、使用Wbadmin备份DC
　　在命令行状态下运行以下命令
　　wbadmin start systemstatebackup -backuptarget:e:
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s12.sinaimg.cn/bmiddle/53e059e3h70afac2ed0db&690">
　　二、使用Wbadmin对DC进行非授权还原
　　1、启动计算机时，按F8选择目录还原模式启动计算机
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s6.sinaimg.cn/bmiddle/53e059e3h70afbe287455&690" real_src="http://s6.sinaimg.cn/bmiddle/53e059e3h70afbe287455&690">
　　2、出现用户时，输入administraor和DSRM状态下的密码登录计算机
　　3、输入 wbadmin get versions获取备份标识符
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s8.sinaimg.cn/bmiddle/53e059e3h70afc14a59f7&690" real_src="http://s8.sinaimg.cn/bmiddle/53e059e3h70afc14a59f7&690">
　　4、输入wbadmin start systemstaterecovery -version:备份标识符
　　进行非授权还原。
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s12.sinaimg.cn/bmiddle/53e059e3h70afc282f8ab&690" real_src="http://s12.sinaimg.cn/bmiddle/53e059e3h70afc282f8ab&690">
　　三、使用Ntdsutil对DC进行授权还原
　　在上面操作之后，暂时不启动计算机。在命令行状态下运行Ntdsutil
　　依次输入authoritative restore
　　restore object cn=testuser,cn=users,dc=hbycrsj,dc=com
　　出现授权还原提示，选择是开始还原。
　　还原成功，重启计算机。
　　
　　四、更改TombstoneLifeTime时间
　　当一个对象被删除的时候，它并不是立刻彻底消失了。事实上，此时对象只是成一个被标记为“墓碑记录”的记录。当经过默认的TombstoneLifeTime（墓碑生存周期）180天后，这个记录才会从AD数据库彻底删除，所以默认情况，我们只能还原180天之内的记录。但我们可以通过手动修改TombstoneLifeTime时间，来恢复指定时间的AD数据库备份。（注意以前版本的操作系统中TombstoneLifeTime默认时间为60天）
　　运行ADsiedit.msc,依次进行如下图选择设置
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s8.sinaimg.cn/bmiddle/53e059e3h70b0016137c7&690" real_src="http://s8.sinaimg.cn/bmiddle/53e059e3h70b0016137c7&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s10.sinaimg.cn/bmiddle/53e059e3h71ab33c041c9&690" real_src="http://s10.sinaimg.cn/bmiddle/53e059e3h71ab33c041c9&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十二AD的备份和恢复" alt="Windows Server 2008 R2之十二AD的备份和恢复" src="http://s7.sinaimg.cn/bmiddle/53e059e3h70b005dee946&690" real_src="http://s7.sinaimg.cn/bmiddle/53e059e3h70b005dee946&690">
　　
　　和以前版本一样，我们仍然可以通过备份AD域中的任意一台DC来执行全系统备份或系统状态备份，并且必须在目录服务还原模式（DSRM）下还原系统状态来还原AD，也可以利用NTDSUTIL进行对象的授权还原。
　　在Windows Server 2008 R2，我们已经找不到以前熟悉的Ntbackup.exe取而代之的是Windows Server Backup,它有如下特点：
　　   1、它使用VSS（卷影副本服务）来从源卷创建区块级别（BLOCK—LEVEL）的备份，以及被高效的增量备份。备份文件以微软虚拟磁盘（VHD）格式存储，这个文件能直接挂接到虚拟机或物理服务器上，但它是不能引导的。
　　   2、相比Windows Server 2008，R2不仅整个卷的备份，同时支持对单个文件或文件夹、System Reserved、裸机恢复备份和图形状态下的系统状态备份。同时，它不支持向一个磁带机进行备份，并且只支持基本磁盘，支持动态或被加EFS文件系统进行加密的磁盘。
　　   3、它支持的备份目标还有DVD和网络共享。由于系统无法向一个网络共享或DVD执行卷影副本的快照，所以这两类目标类型不允许在同一个目标上存储多个备份版本。此外，系统状态备份也无法直接指向一个网络共享，它需要使用一个本地卷。
　　   4、它无法将备份文件存储在备份对象所在的卷，但系统状态除外。
　　我们不需备份森林中每一台DC，但出于备份冗余的考虑，应该在森林中的每个域至少备份两台可以写入DC。尽管RODC的备份和还原被支持，但我们无法从一个RODC进行权威还原，因为RODC不会向其它DC复制变化。
　　
　　实验环境：在Win2008R2CNDC这台DC上操作完成
　　实验要求：
　　安装Windows Server Backup
　　使用Windows Server Backup备份DC
　　使用Windows Server Backup恢复
　　
　　实验步骤：
　　一、安装Windows Server Backup
　　在完成服务器的场景下，安装Windows Server Backup的方法可以通过服务器管理器中的添加功能向导进行安装，也可以使用命令ServerManagerCMD进行安装。如下
ServerManagerCMD -install Backup-Features -allsubfeatures
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s14.sinaimg.cn/bmiddle/53e059e3h708d13ec1a2d&690">
　　
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s5.sinaimg.cn/bmiddle/53e059e3h708d15faac94&690" real_src="http://s5.sinaimg.cn/bmiddle/53e059e3h708d15faac94&690">
　　C:\Windows\System32>servermanagercmd /?
　　Servermanagercmd.exe 已被弃用，不保证在将来版本的 Windows 中支持它。建议使用可于服务器管理器的 Windows PowerShell cmdlet。
　　用法:
　　ServerManagerCmd.exe安装和删除角色、角色服务和功能。也显示所有可用的角色、角色服务和功能列表，并显示在此计算机上安装了其中哪些内容。有关可以使用此工具指定的角色、角色服务和功能的详细信息，请参阅服务器管理器的“帮助”。
　　     -query [] [-logPath ]
　　     -install
          [-resultPath  [-restart] | -whatIf] [-logPath ]
          [-allSubFeatures]
　　     -remove
          [-resultPath  [-restart] | -whatIf] [-logPath ]
　　     -inputPath
          [-resultPath  [-restart] | -whatIf] [-logPath ]
　　     -help | -?
　　     -version
　　
开关参数:
　　 -query []
        显示所有可用的角色、角色服务和功能列表，并显示在此计算机上安装了其中哪些内容。(缩写: -q)如果已指定 ，则还会将该信息保存到 query.xml 文件，其中还包含其他信息。
　　 -inputPath
        安装或删除在 XML 应答文件中指定的角色、角色服务和功能，该文件的路径和名称由    表示。(缩写: -ip)
　　 -install
        在由  参数指定的计算机上安装角色、角色服务或功能。必须用空格隔开多个角色、角色服务或功能。(缩写: -i)
　　 -allSubFeatures
        与 -install 参数一起使用，安装所有下级角色服务和功能以及使用 -install 参数命名的角色、角色服务或功能。(缩写: -a)
　　 -remove
        从由  参数指定的计算机上删除角色、角色服务或功能。必须用空格隔开多个角色、角色服务或功能。(缩写: -r)
　　 -resultPath
        以 XML 格式将 ServerManagerCmd.exe 操作的结果保存到  文件。(缩写: -rp)
　　 -restart
        如果完成该操作时需要重新启动，则会自动重新启动计算机。
　　 -whatIf
        显示要在 answer.xml 文件中指定的当前计算机上执行的操作。(缩写: -w)
　　 -logPath
        为日志文件指定非默认位置。(缩写: -l)
　　 -help
        显示帮助信息。(缩写: -?)
　　 -version
        显示正在运行的服务器管理器命令的版本、Microsoft 商标信息和操作系统。
        (缩写: -v)
　　
　　二、使用使用Windows Server Backup备份DC
　　为了演示备份，我在虚拟机的设置添加了一块虚拟硬盘（E：）
　　1、打开管理工具中的Windows Server Backup或通过Wbadmin.msc打开Windows Server Backup管理控制台
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s13.sinaimg.cn/bmiddle/53e059e3h708d3516037c&690" real_src="http://s13.sinaimg.cn/bmiddle/53e059e3h708d3516037c&690">
　　如上图，我们可以选择一次性备份，也可以按计划备份。同时，在备份之前可以设置“配置性能设置”
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s16.sinaimg.cn/bmiddle/53e059e3g70adbb323f3f&690" real_src="http://s16.sinaimg.cn/bmiddle/53e059e3g70adbb323f3f&690">
　　以下是一次备份的操作过程：
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s16.sinaimg.cn/bmiddle/53e059e3g70adbb90a9ef&690" real_src="http://s16.sinaimg.cn/bmiddle/53e059e3g70adbb90a9ef&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s8.sinaimg.cn/bmiddle/53e059e3h70adee5f72d7&690" real_src="http://s8.sinaimg.cn/bmiddle/53e059e3h70adee5f72d7&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s13.sinaimg.cn/bmiddle/53e059e3h70adf23e812c&690" real_src="http://s13.sinaimg.cn/bmiddle/53e059e3h70adf23e812c&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s14.sinaimg.cn/bmiddle/53e059e3h70adf4385b1d&690" real_src="http://s14.sinaimg.cn/bmiddle/53e059e3h70adf4385b1d&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s10.sinaimg.cn/bmiddle/53e059e3h70adf7e22e39&690" real_src="http://s10.sinaimg.cn/bmiddle/53e059e3h70adf7e22e39&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s7.sinaimg.cn/bmiddle/53e059e3h70adf84cc4e6&690" real_src="http://s7.sinaimg.cn/bmiddle/53e059e3h70adf84cc4e6&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s5.sinaimg.cn/bmiddle/53e059e3h70adf8b78254&690" real_src="http://s5.sinaimg.cn/bmiddle/53e059e3h70adf8b78254&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s14.sinaimg.cn/bmiddle/53e059e3h70adfc2037cd&690" real_src="http://s14.sinaimg.cn/bmiddle/53e059e3h70adfc2037cd&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s15.sinaimg.cn/bmiddle/53e059e3h71aafff1c3de&690" real_src="http://s15.sinaimg.cn/bmiddle/53e059e3h71aafff1c3de&690">
　　
　　三、还原
　　插入Windows Server 2008 R2的光盘，以光盘启动计算机，进行如下操作
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s9.sinaimg.cn/bmiddle/53e059e3h70ae07f35d88&690" real_src="http://s9.sinaimg.cn/bmiddle/53e059e3h70ae07f35d88&690">
　　选择"Repair your computer"
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s13.sinaimg.cn/bmiddle/53e059e3h70ae085e44cc&690" real_src="http://s13.sinaimg.cn/bmiddle/53e059e3h70ae085e44cc&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s15.sinaimg.cn/bmiddle/53e059e3h70ae08e79ace&690" real_src="http://s15.sinaimg.cn/bmiddle/53e059e3h70ae08e79ace&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s11.sinaimg.cn/bmiddle/53e059e3h70ae09cc742a&690" real_src="http://s11.sinaimg.cn/bmiddle/53e059e3h70ae09cc742a&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s13.sinaimg.cn/bmiddle/53e059e3h71ab010d99ec&690" real_src="http://s13.sinaimg.cn/bmiddle/53e059e3h71ab010d99ec&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s11.sinaimg.cn/bmiddle/53e059e3h70ae0b2d27ea&690" real_src="http://s11.sinaimg.cn/bmiddle/53e059e3h70ae0b2d27ea&690">
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s10.sinaimg.cn/bmiddle/53e059e3h70ae13ca2b69&690" real_src="http://s10.sinaimg.cn/bmiddle/53e059e3h70ae13ca2b69&690">
　　四、补充说明
　　1、怎样将将 Windows XP 和 Windows Server® 2003 上所做的备份还原至运行 Windows Vista 和 Microsoft® Windows Server® 2008 计算机上？
　　答：通过下列链接下载Windows NT 备份还原工具
　　http://www.microsoft.com/downloads/details.aspx?FamilyID=7da725e2-8b69-4c65-afa3-2a53107d54a7&DisplayLang=zh-cn。它提供了32位和64位两种版本，使用时要启用Removable Storage Management可移动存储管理功能
　　
　　2、怎样删除Windows Server Backup控制台上操作历史记录？
　　答：首先在命令行状态运行Wbadmin delete catalog删除编录，然后打开事件查看器，找开BACKUP事件，清除所有事件，再打开Windows Server Backup控制台就没有备份还原历史记录了。最后可以删除备份文件夹了。
　　
　　Wbadmin命令帮助
http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s7.sinaimg.cn/bmiddle/53e059e3h70ae37443a56&690" real_src="http://s7.sinaimg.cn/bmiddle/53e059e3h70ae37443a56&690">http://www.iyunv.com/jamin/admin/Server 2008 R2之十一Windows Server Backup" alt="Windows Server 2008 R2之十一Windows Server Backup" src="http://s14.sinaimg.cn/bmiddle/53e059e3h70ae37d90fdd&690" real_src="http://s14.sinaimg.cn/bmiddle/53e059e3h70ae37d90fdd&690">
　　
　　3、怎样在源卷上存储DC系统状态备份？
　　通常情况下，我们应该把备份文件存储在与原文件不一样的介质上，这样可以避免单点故障。但Windows 2008支持将系统状态备份放在源卷上，默认状态这是不允许的，须通过修改注册表来启用这项功能
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wbengine]
"AllowSSBToAnyVolume"=dword:00000001