　　Windows Server 2008 为 Active Directory? 带来了许多新功能，其中对备份和恢复计划具有重大影响的两个功能是：新的 Windows Server Backup 实用工具，以及获取和使用 Active Directory 的“卷影复制服务”快照的能力。在本文中，我将介绍这些增强功能所带来的变化，以及如何利用这些变化来简化 Active Directory 备份活动。

　　NTBACKUP 与 Windows Server Backup

　　组策略设置

　　Windows Server Backup 提供了若干组策略设置，使您可以在一定程度上控制备份在您服务器上的工作方式。使用这些备份策略，人们通过未经授权的备份访问未授权数据的风险会降低。选项包括：

　　仅允许系统备份如果设置了此选项，则 Windows Server Backup 只能备份关键的系统卷。它无法执行卷备份。

　　不允许本地附加的存储作为备份目标如启用此设置，它不允许备份至本地附加的驱动器。只能备份至网络共享。

　　不允许网络作为备份目标此设置不允许备份至任何网络共享。

　　不允许光学媒体作为备份目标如设置了此选项，Windows Server Backup 无法备份至任何光学媒体，例如可记录的 DVD 驱动器。

　　不允许一次性运行备份此设置不允许 Windows Server Backup 运行非计划的特定备份。仅通过 Windows Server Backup MMC 管理单元计划的备份可以运行。

　　您所了解和喜爱的 NTBACKUP 自 Windows NT? 3.5 之后已消失。代替它的是 Windows Server Backup。这一新工具不是仅仅对 NTBACKUP 的改进;它是一个全新的备份技术，使您必须重新思考备份系统的方法。

　　尽管 Windows? Server 备份是 Windows Server 2008 唯一的现成备份解决方案，但它并不是替换 NTBACKUP 的另一种功能。最大的差异在于：Windows Server Backup 是磁盘到磁盘的备份解决方案;它不支持备份至磁带。您可以在直接附加的磁盘卷、网络共享，甚至是外部 USB 硬盘和可记录的多卷 DVD 上创建备份映像。但您不能备份至磁带。这里明确一点，您仍可以在 Windows Server 2008 服务器上挂接磁带驱动器，并将 Windows Server Backup 生成的备份映像复制到磁带驱动器——但您必须使用其他方软件才能完成此操作。

　　NTBACKUP 是基于文件的备份和还原工具，而 Windows Server Backup 是以卷和块为基本对象。Windows Server Backup 将其备份源处理为卷集，每个卷均作为一个磁盘块集合。与通过文件系统备份文件相比，这样效率要提高很多。以块为基础处理备份还使 Windows Server Backup 能利用“卷影复制服务”快照来执行块级别增量备份，以及在目标卷上创建快照以简化多个备份的使用(并减少其所占用的空间)。

　　即使您正在执行的是完整备份，Windows Server Backup 也能在目标磁盘上提供很大的空间效率。例如，您可对同一卷执行多个完整备份。由于 Windows Server Backup 在存储备份映像的目标磁盘上使用“卷影复制服务”快照，因此，快照将仅存储已发生更改的块。这极大地减少了多个完整备份所占用的空间。这样即不必通过执行多个还原操作恢复增量备份。尽管快照仅存储每个备份的变化量，但“卷影复制服务”会确保每个备份的完整性。

　　不过，请注意，您只有在备份至本地硬盘时才能从目标上的“卷影复制服务”快照中受益——Windows Server Backup 无法对存储在 DVD 或网络共享上的备份执行“卷影复制服务”操作。

　　Windows Server 备份以 Microsoft? 虚拟硬盘 (VHD) 格式存储备份映像，这会产生额外的益处。您可以实际获取备份映像，在 Microsoft Virtual Server 2005 下运行的虚拟机中将其安装成一个卷。您只需在虚拟机中安装 VHD 并浏览特定文件即可，不必通过测试还原磁带来查看哪个磁带上具有文件。(特别注意：您不能从备份映像中启动虚拟机。由于备份的硬件配置与虚拟机的配置不搭配，因此，无法将 Windows Server 备份用作物理到虚拟的迁移工具。)

　　Windows Server Backup 的卷和块定向有一个缺点。因为此新工具将备份源视为一组卷和块，所以它不允许您仅备份选定文件。必须备份整个卷。此外，默认情况下，无法将备份映像存储在所备份的一个卷上(有一些方法可就此进行配置;请参阅 support.microsoft.com/kb/944530)。我将在本文稍后的部分讨论系统状态备份的深刻含义。

使用 ntdsutil 装入快照

C:\> ntdsutil
　　ntdsutil: snapshot
　　snapshot: list all
　　1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
　　2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
　　3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
　　snapshot: mount 1
　　Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\
　　Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\
　　snapshot: quit
　　ntdsutil: quit
　　C:\>

　

"list all" 命令列出了当前由“卷影复制服务”维护的所有可用 Active Directory 快照。"mount 1" 命令装入 Active Directory DIT 和日志卷的选定快照，然后使它们在文件系统中可用。它们位于 C:\$SNAP_200712032318_VOLUMEC$\ 和 C:\$SNAP_200712032318_VOLUMED$\ 中。

　　如果您查看这些文件夹，则会看到这些卷的整个内容与制作快照时相同。不过，请注意，装入的快照为只读，即：您无法修改已装入快照中的任何文件。

　　从 Active Directory 快照恢复数据

　　装入包含 Active Directory 的卷的快照这一任务看起来有些神秘。该如何访问这些快照中所包含的 Active Directory 数据呢?DSAMAIN 命令就是其中的关键。它是运行 ADLDS 的可执行程序。实质上是一个独立的 LDAP 服务器，几乎与 ADDS 共享其所有代码。您可以使用 DSAMAIN 使装入的快照看起来像只读 LDAP 服务器(包含制作快照时的 Active Directory 数据)。

　　请考虑以下命令：

C:\> dsamain –dbpath
　　c:\$snap_200712032318_volumed$\ntds\dit
　　\ntds.dit -ldapport 10000

这会装入位于 c:\$snap_200712032318_volumed$\ntds\dit 文件夹中的 ntds.dit 文件，并使其可供 TCP 端口 10000(或您指定的任何开放端口)上的 LDAP 操作使用。DSAMAIN 将在所指定数字加一的端口(在本例中为 10001)上打开 LDAPS 端口(用于 LDAP over SSL 的端口)、在所指定数字加二的端口 (10002) 上打开 GC 端口(用于全局编录连接的端口)，在所指定数字加三的端口 (10003) 上打开 GCS 端口(全局编录 over SSL)。

　　您可以使用任何 LDAP 程序(例如 LDP)访问指定端口上装入的 DIT。但在 Windows Server 2008 中，Active Directory 用户和计算机 (ADUC)、站点和服务、域和信任关系以及 ADSIEDIT 均已经过修改，以允许您使用 DSAMAIN 将它们连接到装入的 DIT。如果您右键单击任何 ADUC 导航窗格中的顶层节点，并选择“Change Domain Controller”(更改域控制器)，则会看到图 14 中所示的对话框。如果您只键入托管已装入快照的服务器的名称或 IP 地址以及端口(在我的示例中为 localhost:10000)，则 ADUC 将连接装入的快照，从而允许您浏览目录的内容(与制作快照时相同)。非常了不起，不是吗?

　　Figure 14 Connecting Active Directory users and computers to a mounted snapshot

能够以此方式访问目录数据使多种数据恢复任务都比以前容易多了。例如，要从备份恢复删除的对象，以前需要对现有 DC 执行备份的非权威还原，然后执行已删除对象的权威还原。如果您还原的备份没有正确数据，则必须使用其他备份再次全部启动。现在，使用逻辑删除恢复和快照，您可以快速找到并恢复删除的数据，甚至不必使域控制器脱机即可执行此操作。

　　不过，有一些限制。例如，每个活动快照都会增加与写入到目录操作关联的磁盘 I/O，因此，生产 DC 任意时间点的活动快照不应超过一或两个。此外，快照保持活动状态的时间越长，“卷影复制服务”变化量存储就会越大——这也会影响性能。当然，简单恢复删除的对象只是恢复问题的第一部分。您可能还必须恢复对象的链接属性，例如组成员身份等。但是，即使在此情况下，快照也可以帮助您确定已删除对象所属的所有组。

可靠的 Active Directory 备份和恢复策略

　　Windows Server 2008 带来了一个全新的备份和恢复系统。某些变化起初可能会让人感到不满。但是，一旦 IT 组织接受这些变化并将新的备份技术融入到日常操作中，更加有效的备份和恢复实施将会使其为之一振。

　　即使 Windows Server 2008 中备份服务器的方法发生了诸多变化，备份和恢复 Active Directory 的基本策略实际上并无太大变化。因此，在规划策略时，请确保记住这些最佳实践：

　　计划定期完整备份系统，这样您便可以在硬件出现故障后恢复 DC。计划 DC 完整备份的频率取决于数据更新的频率、停机时间和/或数据丢失的容差，以及从头开始重新构建 DC 可能需要的工作量。

　　计划经常性系统状态备份以备份 Active Directory 中的更改。执行系统状态备份的频率取决于丢失 Active Directory 数据的容差。但是，您一天应至少执行一次这种备份。如果您有硬件，则至少在本地磁盘上保持一个或两个系统状态备份，并将旧的系统状态版本复制到 DVD 或网络共享。

　　确保至少对每个域中的两个 DC 执行系统状态备份。这将在其中一个备份出现错误或不可用时提供一些保障。

　　请确保使用应用程序分区副本(如果它们已定义)来备份 DC。同时，考虑在 DC 上创建 Windows 恢复环境，以便您可以在关键系统驱动器出现故障时能快速引导到 WinRE 中。

上一篇Windows：如何完善多操作系统启动的备份工作

下一篇Windows：系统崩溃后如何启动引导方法攻略宝典