企业Windows Server 2008活动目录备份和灾难恢复详解

苏童

　　列文章链接如下：（点击名字即可进入）
1.企业网络批量安装服务器搭建案例
2.企业部署Windows域实验案例
3.企业域控DC管理案例
4.企业Windows域环境中的组策略应用案例一
5.企业Windows域环境中的组策略应用案例二
6.企业Windows服务器备份和灾难恢复案例
7.企业Windows服务器使用命令行完成备份和灾难恢复案例
8.企业活动目录AD升级案例
9.企业活动目录备份和灾难恢复
　　------------------------------------------------------------------
　　前言：
　　现在越来越多的企业或组织都部署了Windows域用来实现统一管理，整个域中的用户账户、组、计算机等网络资源都存储在了活动目录中。一旦活动目录出现故障，整个网络都将崩溃，并且业务停止，这会给企业带来巨大的损失，所以对活动目录的备份就十分重要。本篇博文将通过四个实际的企业案例来介绍活动目录的备份和还原。
　　-----------------------------------------------------------------------
　　活动目录备份:
　　在一个域中，如果存在着多台域控制器，它已经拥有了容错功能，那么还需对AD（活动目录）数据库进行定期备份吗？当然需要，因为在对AD进行操作时，管理员有可能误操作，比如误删除了某个部门的OU或某个用户账户，这种删除操作会很快负责到其他域控制器中，要想还原被删除的OU用户帐户，只能通过事先备份的AD数据库。
　　要实现对AD的备份，不能单独备份，只能将AD作为系统状态数据的一部分进行备份。
-----------------------------------------------------------------------
　　案例环境一：手动备份
　　某公司有一台Windows Server 2008的域控制器，现在需要对AD进行备份，以便在出现问题的时候进行还原，备份位置为分区 F: ，该如何实现？
　　案例描述：
　　1）对AD备份，就需要对系统状态进行备份。
　　案例实施：
　　1）打开命令提示符，输入命令“wbadmin /?”可以看到关于“系统状态”的命令。如下图所示，如果要进行备份，需要使用参数“start systemstatebackup”。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900774ZnRB.png
　　2）在命令提示符下输入命令“wbadmin start systemstatebackup –backtarget:F:" ,开始系统状态备份，如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900785k2Jo.png
　　命令参数解释：
backuptarget：备份的存储位置。
　　3）在系统询问是否开始备份时输入“y”，开始进行备份，将显示备份速度，如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900799aiKs.png
　　4）备份时间会较长，备份完成后的结果如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900817HZob.png
　　至此，我们完成了对该服务器系统状态的备份。
　　-----------------------------------------------------------------------------
　　案例环境二：自动备份
　　某公司有一台Windows Server 2008的域控制器，现在需要每天 23:00 将其系统状态备份到本地磁盘分区 F: ，该如何实现？
　　案例描述：
　　由于服务器系统状态总在变化，我们应该增加对系统状态备份的频率，来减少备份对服务器工作环境的影响，所以最好是每天晚上对服务器系统状态进行备份，但是单独使用wbadmin命令无法创建系统状态的自动备份计划，我们可以通过我上一篇博文“企业Windows服务器备份和灾难恢复案例”中讲过的任务计划，结合wbadmin命令脚本来实现系统状态的自动备份。
　　案例实施：
　　1）使用wbadmin命令制作备份脚本，将以下命令保存为名为“backup_sysstate.bat”的文件。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900825tcVQ.png
　　2）将该脚本添加到任务计划，指定每天23:00运行该脚本。这样，每天23：00就会自动将系统状态备份到本地磁盘 F:  。
http://img1.iyunv.com/attachment/201205/1/4201040_13359008443Ton.png
http://img1.iyunv.com/attachment/201205/1/4201040_1335900853QcUy.png
http://img1.iyunv.com/attachment/201205/1/4201040_133590086996OH.png
http://img1.iyunv.com/attachment/201205/1/4201040_1335900876e8OB.png
http://img1.iyunv.com/attachment/201205/1/4201040_1335900888jB20.png
http://img1.iyunv.com/attachment/201205/1/4201040_1335900900SyVA.png
http://img1.iyunv.com/attachment/201205/1/4201040_1335900964TivT.png
　　-------------------------------------------------------------------------------------
　　预备知识：
　　如果域控制器崩溃，或者不小心将AD中的用户账户、OU等对象误删或修改，我们可以使用系统状态备份来进行还原。
　　根据域环境的不同，AD的还原方式有两种，非授权还原和授权还原。
　　如果系统中只有一台域控制器，需要在独立域控制器上还原AD数据，则需执行非授权还原。
　　如果系统中有多台域控制器，被修改的AD数据已经复制到其他域控制器，现在需要将AD数据还原到一台域控制器，操作为：如果这些数据不需要负责到所有域控制器，可以使用非授权还原；如果需要将这些数据复制到所有域控制器，必须使用授权还原。
　　还原域控制器的系统状态一定要在目录还原模式下进行。
　　案例环境三：非授权还原
　　某公司网络采用Windows Server 2008单域结构进行管理，只有一台域控制器，在对系统状态数据进行备份后，管理员不小心删除了用户账户UserA，如何恢复被删除的用户账户UserA？
　　案例描述：
　　在正常还原操作中，备份操作是在非授权还原模式下执行的。换而言之，包括AD对象在内的所有还原数据都将使用其原始更新序列号。AD复制系统使用该编号在本组织的服务器中检测并传播AD的更改。因此，所有非授权还原的数据都将在AD复制系统中出现，即便这些数据是旧的，也是如此。这意味着，这些数据不会复制到其他服务器，但是，如果其他服务器中出现较新的数据时，AD负责系统将使用这些数据来更新已还原的数据。
　　案例实施：
　　1）重新启动服务器，并在开机时按F8键，出现Windows高级选项菜单时选择“目录服务还原模式”，如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335900989LNRw.png
　　2）出现登录界面时单击“切换用户”，单击“其他用户”，以“.\administrator”为用户名，安装域时设置的“目录服务还原模式密码”的密码登录到本机。
http://img1.iyunv.com/attachment/201205/1/4201040_1335901001WK8C.png
　　3）打开命令提示符，输入“wbadmin  get  versions”来查看前面的备份集，在此我们需要使用的备份版本标识符为 05/01/2012-16:41  ,如下图所示。   
http://img1.iyunv.com/attachment/201205/1/4201040_1335901016xdcI.png
　　4）在命令提示符下输入命令“wbadmin start systemstaterecovery –version：05/01/2012-16:41 进行系统状态还原。
http://img1.iyunv.com/attachment/201205/1/4201040_13359010282xxK.png
　　5）在系统询问是否启动还原时输入“y”，如下图所示，开始进行系统状态还原。
http://img1.iyunv.com/attachment/201205/1/4201040_1335901039dhO3.png
　　6）还原时间会较长，还原完成后的结果如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_13359010509QGt.png
　　7）完成还原后重新启动计算机，进入系统后，提示系统状态还原成功，如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335901056i4Mc.png
　　8）打开“Active Directory 用户和计算机”管理控制台，发现被删除的用户UserA已经被成功还原了，如下图所示。
http://img1.iyunv.com/attachment/201205/1/4201040_1335901077PxNo.png
　　
　　-----------------------------------------------------------------
　　案例环境四：  授权还原
　　未完，待续……