概览:
◆NTBACKUP 与 Windows Server Backup
◆备份工具和选项
◆恢复工具和选项
◆可靠 Active Directory 备份策略的关键
大家都知道 Active Directory 域服务 (ADDS) 是 Windows 基础结构中针对关键任务的组件。如果 Active Directory 出现故障,网络实际就崩溃了。因此,Active Directory 的备份和恢复计划是
安全性、业务连续性和法规遵从性的基础。
Windows Server@ 2008 为 Active Directory@带来了许多新功能,其中对备份和恢复计划具有重大影响的两个功能是:新的 Windows Server Backup 实用工具,以及获取和使用 Active Directory 的“卷影复制服务”快照的能力。在本文中,我将介绍这些增强功能所带来的变化,以及如何利用这些变化来简化 Active Directory 备份活动。
NTBACKUP 与 Windows Server Backup
组策略设置
Windows Server Backup 提供了若干组策略设置,使您可以在一定程度上控制备份在您服务器上的工作方式。使用这些备份策略,人们通过未经授权的备份访问未授权数据的风险会降低。选项包括:
仅允许系统备份 如果设置了此选项,则 Windows Server Backup 只能备份关键的系统卷。它无法执行卷备份。
不允许本地附加的存储作为备份目标 如启用此设置,它不允许备份至本地附加的驱动器。只能备份至网络共享。
不允许网络作为备份目标 此设置不允许备份至任何网络共享。
不允许光学媒体作为备份目标 如设置了此选项,Windows Server Backup 无法备份至任何光学媒体,例如可记录的 DVD 驱动器。
不允许一次性运行备份 此设置不允许 Windows Server Backup 运行非计划的特定备份。仅通过 Windows Server Backup MMC 管理单元计划的备份可以运行。
您所了解和喜爱的 NTBACKUP 自 Windows NT? 3.5 之后已消失。代替它的是 Windows Server Backup。这一新工具不是仅仅对 NTBACKUP 的改进;它是一个全新的备份技术,使您必须重新思考备份系统的方法。
尽管 Windows@Server 备份是 Windows Server 2008 唯一的现成备份解决方案,但它并不是替换 NTBACKUP 的另一种功能。最大的差异在于:Windows Server Backup 是磁盘到磁盘的备份解决方案;它不支持备份至磁带。您可以在直接附加的磁盘卷、网络共享,甚至是外部 USB 硬盘和可记录的多卷 DVD 上创建备份映像。但您不能备份至磁带。这里明确一点,您仍可以在 Windows Server 2008 服务器上挂接磁带驱动器,并将 Windows Server Backup 生成的备份映像复制到磁带驱动器——但您必须使用其他方软件才能完成此操作。
在本例中,我选择最近的备份,并使用以下 WBADMIN 命令启动系统状态还原:
| C:\> wbadmin start systemstaterecovery
–version:12/03/2007-18:25 |
这将执行非权威还原。如果您希望执行 SYSVOL 的权威还原,只需将还原的 SYSVOL 副本标记为权威即可,方法是将 authsysvol 选项添加至 WBADMIN 命令。有关此过程的详细信息,请参阅 go.microsoft.com/fwlink/?LinkId=113152。
制作 Active Directory 快照
在 Active Directory 的备份方面,最激动人心的变化之一就是根本不再与 Windows Server Backup 发生关联。在 Windows Server 2008 中,Active Directory 能够提供“卷影复制服务”快照,这可充分利用这一功能。这些快照是正在运行的 Active Directory 服务的极轻型时间点备份。更为可喜的是,它们仅需几秒钟即可创建!随后,您可以装入这些快照并使用基于 LDAP 的正常实用工具(例如 LDP 工具)访问它们。
使用如下所示的 NTDSUTIL 命令制作 ADDS 或 Active Directory 轻型目录服务 (ADLDS) 的快照:
| ntdsutil: snapshot
snapshot: activate instance ntds
Active instance set to "ntds".
snapshot: create
Creating snapshot...
Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
snapshot: quit
ntdsutil: quit |
此 NTDSUTIL 命令序列会创建包含 Active Directory DIT、日志和 SYSVOL 的卷的“卷影复制服务”快照。即使 Active Directory 仍在更新,“卷影复制服务”也会使用写入时复制策略来确保正确维护已制作的快照。请注意,快照不是 DIT 的完整副本。它们实际上只是 DIT 中制作快照后经过修改的磁盘块的集合。通过将这些块与 DIT 的当前副本组合在一起,VSS 所呈现的 Active Directory DIT 正是其在快照时的状态。图 12 显示如何删除旧的或不需要的快照。
◆Figure 12 删除不需要的快照
| C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: delete 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\> |
装入 Active Directory 快照
为了使用这些快照之一,您必须首先指示“卷影复制服务”使快照可供文件系统使用。为达此目的,可使用 ntdsutil 命令列出可用快照,然后装入感兴趣的快照(请参见图 13)。
Figure 13 使用 ntdsutil 装入快照
| C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: mount 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\> |
"list all" 命令列出了当前由“卷影复制服务”维护的所有可用 Active Directory 快照。"mount 1" 命令装入 Active Directory DIT 和日志卷的选定快照,然后使它们在文件系统中可用。它们位于 C:\$SNAP_200712032318_VOLUMEC$\ 和 C:\$SNAP_200712032318_VOLUMED$\ 中。
如果您查看这些文件夹,则会看到这些卷的整个内容与制作快照时相同。不过,请注意,装入的快照为只读,即:您无法修改已装入快照中的任何文件。
从 Active Directory 快照恢复数据
装入包含 Active Directory 的卷的快照这一任务看起来有些神秘。该如何访问这些快照中所包含的 Active Directory 数据呢?DSAMAIN 命令就是其中的关键。它是运行 ADLDS 的可执行程序。实质上是一个独立的 LDAP 服务器,几乎与 ADDS 共享其所有代码。您可以使用 DSAMAIN 使装入的快照看起来像只读 LDAP 服务器(包含制作快照时的 Active Directory 数据)。
请考虑以下命令:
| C:\> dsamain –dbpath
c:\$snap_200712032318_volumed$\ntds\dit
\ntds.dit -ldapport 10000 |
这会装入位于 c:\$snap_200712032318_volumed$\ntds\dit 文件夹中的 ntds.dit 文件,并使其可供 TCP 端口 10000(或您指定的任何开放端口)上的 LDAP 操作使用。DSAMAIN 将在所指定数字加一的端口(在本例中为 10001)上打开 LDAPS 端口(用于 LDAP over SSL 的端口)、在所指定数字加二的端口 (10002) 上打开 GC 端口(用于全局编录连接的端口),在所指定数字加三的端口 (10003) 上打开 GCS 端口(全局编录 over SSL)。
您可以使用任何 LDAP 程序(例如 LDP)访问指定端口上装入的 DIT。但在 Windows Server 2008 中,Active Directory 用户和计算机 (ADUC)、站点和服务、域和信任关系以及 ADSIEDIT 均已经过修改,以允许您使用 DSAMAIN 将它们连接到装入的 DIT。如果您右键单击任何 ADUC 导航窗格中的顶层节点,并选择“Change Domain Controller”(更改域控制器),则会看到图 14 中所示的对话框。如果您只键入托管已装入快照的服务器的名称或 IP 地址以及端口(在我的示例中为 localhost:10000),则 ADUC 将连接装入的快照,从而允许您浏览目录的内容(与制作快照时相同)。非常了不起,不是吗?
Figure 14 Connecting Active Directory users and computers to a mounted snapshot
能够以此方式访问目录数据使多种数据恢复任务都比以前容易多了。例如,要从备份恢复删除的对象,以前需要对现有 DC 执行备份的非权威还原,然后执行已删除对象的权威还原。如果您还原的备份没有正确数据,则必须使用其他备份再次全部启动。现在,使用逻辑删除恢复和快照,您可以快速找到并恢复删除的数据,甚至不必使域控制器脱机即可执行此操作。
不过,有一些限制。例如,每个活动快照都会增加与写入到目录操作关联的磁盘 I/O,因此,生产 DC 任意时间点的活动快照不应超过一或两个。此外,快照保持活动状态的时间越长,“卷影复制服务”变化量存储就会越大——这也会影响性能。当然,简单恢复删除的对象只是恢复问题的第一部分。您可能还必须恢复对象的链接属性,例如组成员身份等。但是,即使在此情况下,快照也可以帮助您确定已删除对象所属的所有组。
可靠的 Active Directory 备份和恢复策略
Windows Server 2008 带来了一个全新的备份和恢复系统。某些变化起初可能会让人感到不满。但是,一旦 IT 组织接受这些变化并将新的备份技术融入到日常操作中,更加有效的备份和恢复实施将会使其为之一振。
即使 Windows Server 2008 中备份服务器的方法发生了诸多变化,备份和恢复 Active Directory 的基本策略实际上并无太大变化。因此,在规划策略时,请确保记住这些最佳实践:
计划定期完整备份系统,这样您便可以在硬件出现故障后恢复 DC。计划 DC 完整备份的频率取决于数据更新的频率、停机时间和/或数据丢失的容差,以及从头开始重新构建 DC 可能需要的工作量。
计划经常性系统状态备份以备份 Active Directory 中的更改。执行系统状态备份的频率取决于丢失 Active Directory 数据的容差。但是,您一天应至少执行一次这种备份。如果您有硬件,则至少在本地磁盘上保持一个或两个系统状态备份,并将旧的系统状态版本复制到 DVD 或网络共享。
确保至少对每个域中的两个 DC 执行系统状态备份。这将在其中一个备份出现错误或不可用时提供一些保障。
请确保使用应用程序分区副本(如果它们已定义)来备份 DC。同时,考虑在 DC 上创建 Windows 恢复环境,以便您可以在关键系统驱动器出现故障时能快速引导到 WinRE 中。
