电脑故障

位置:IT落伍者 >> 电脑故障 >> 浏览文章

Windows2008中的活动目录备份和还原


发布日期:2023/12/21
 

概览:

◆NTBACKUP 与 Windows Server Backup

◆备份工具和选项

◆恢复工具和选项

◆可靠 Active Directory 备份策略的关键

大家都知道 Active Directory 域服务 (ADDS) 是 Windows 基础结构中针对关键任务的组件如果 Active Directory 出现故障网络实际就崩溃了因此Active Directory 的备份和恢复计划是

安全性业务连续性和法规遵从性的基础

Windows Server@ 为 Active Directory@带来了许多新功能其中对备份和恢复计划具有重大影响的两个功能是新的 Windows Server Backup 实用工具以及获取和使用 Active Directory 的卷影复制服务快照的能力在本文中我将介绍这些增强功能所带来的变化以及如何利用这些变化来简化 Active Directory 备份活动

NTBACKUP 与 Windows Server Backup

组策略设置

Windows Server Backup 提供了若干组策略设置使您可以在一定程度上控制备份在您服务器上的工作方式使用这些备份策略人们通过未经授权的备份访问未授权数据的风险会降低选项包括

仅允许系统备份 如果设置了此选项则 Windows Server Backup 只能备份关键的系统卷它无法执行卷备份

不允许本地附加的存储作为备份目标 如启用此设置它不允许备份至本地附加的驱动器只能备份至网络共享

不允许网络作为备份目标 此设置不允许备份至任何网络共享

不允许光学媒体作为备份目标 如设置了此选项Windows Server Backup 无法备份至任何光学媒体例如可记录的 DVD 驱动器

不允许一次性运行备份 此设置不允许 Windows Server Backup 运行非计划的特定备份仅通过 Windows Server Backup MMC 管理单元计划的备份可以运行

您所了解和喜爱的 NTBACKUP 自 Windows NT? 之后已消失代替它的是 Windows Server Backup这一新工具不是仅仅对 NTBACKUP 的改进;它是一个全新的备份技术使您必须重新思考备份系统的方法

尽管 Windows@Server 备份是 Windows Server 唯一的现成备份解决方案但它并不是替换 NTBACKUP 的另一种功能最大的差异在于Windows Server Backup 是磁盘到磁盘的备份解决方案;它不支持备份至磁带您可以在直接附加的磁盘卷网络共享甚至是外部 USB 硬盘和可记录的多卷 DVD 上创建备份映像但您不能备份至磁带这里明确一点您仍可以在 Windows Server 服务器上挂接磁带驱动器并将 Windows Server Backup 生成的备份映像复制到磁带驱动器——但您必须使用其他方软件才能完成此操作

NTBACKUP 是基于文件的备份和还原工具而 Windows Server Backup 是以卷和块为基本对象Windows Server Backup 将其备份源处理为卷集每个卷均作为一个磁盘块集合与通过文件系统备份文件相比这样效率要提高很多以块为基础处理备份还使 Windows Server Backup 能利用卷影复制服务快照来执行块级别增量备份以及在目标卷上创建快照以简化多个备份的使用(并减少其所占用的空间)

即使您正在执行的是完整备份Windows Server Backup 也能在目标磁盘上提供很大的空间效率例如您可对同一卷执行多个完整备份由于 Windows Server Backup 在存储备份映像的目标磁盘上使用卷影复制服务快照因此快照将仅存储已发生更改的块这极大地减少了多个完整备份所占用的空间这样即不必通过执行多个还原操作恢复增量备份尽管快照仅存储每个备份的变化量卷影复制服务会确保每个备份的完整性

不过请注意您只有在备份至本地硬盘时才能从目标上的卷影复制服务快照中受益——Windows Server Backup 无法对存储在 DVD 或网络共享上的备份执行卷影复制服务操作

Windows Server 备份以 Microsoft? 虚拟硬盘 (VHD) 格式存储备份映像这会产生额外的益处您可以实际获取备份映像在 Microsoft Virtual Server 下运行的虚拟机中将其安装成一个卷您只需在虚拟机中安装 VHD 并浏览特定文件即可不必通过测试还原磁带来查看哪个磁带上具有文件(特别注意您不能从备份映像中启动虚拟机由于备份的硬件配置与虚拟机的配置不搭配因此无法将 Windows Server 备份用作物理到虚拟的迁移工具)

Windows Server Backup 的卷和块定向有一个缺点因为此新工具将备份源视为一组卷和块所以它不允许您仅备份选定文件必须备份整个卷此外默认情况下无法将备份映像存储在所备份的一个卷上(有一些方法可就此进行配置;请参阅 s/kb/)我将在本文稍后的部分讨论系统状态备份的深刻含义

安装 Windows Server Backup

Windows Server Backup 是 Windows Server 中的一项功能默认情况下并不安装在使用 Windows Server Backup 执行备份之前必须使用服务器管理器或 SERVERMANAGERCMD 命令行实用工具安装该功能

C:\> servermanagercmd install BackupFeatures

Windows Server Backup 包括两个子功能Windows Server Backup 和 Commandline Tool请注意Commandline Tool 是指一组 Windows PowerShellTM cmdlet——而非 WBADMIN EXE 命令行工具因此如果您选择安装这两个子功能则必须安装 Windows PowerShell 功能

安装 Windows Server Backup 后您可以在服务器管理器存储节点下以及管理工具菜单上找到 Microsoft 管理控制台 (MMC) 管理单元如果您是在 Windows Server Server Core 安装中安装 Windows Server Backup请使用 OCSETUP 命令(请注意OCSETUP 命令区分大小写这一点非常重要)

C:\> ocsetup WindowsServerBackup

可从 /fwlink/?LinkId= 获得安装过程的完整说明

请注意Windows Server Backup 不能还原使用 NTBACKUP 创建的映像为应对这种极特殊的情况Microsoft 已为 Windows Server 提供了可下载的 NTBACKUP(请参阅 /fwlink/?LinkId=)

Windows Server Backup 组件

组建 Windows Server Backup 应用程序的方式反映出了产生的重大变化新的备份解决方案由四个组件组成

◆MMC 用户界面 (WBADMINMCS)

◆命令行界面(WBADMINEXE)

◆备份服务 (WBENGINEEXE)

◆Windows PowerShell cmdlet 集

将该应用程序拆分为客户端和服务有若干好处最重要的是提高了可靠性无论是从 MMC 客户端还是从命令行界面启动备份均由 WBENGINE 服务完成主要工作客户端程序只报告备份的状态因此终止客户端不会导致备份中途停止客户端将停止而服务将继续完成当然如果您确实想停止备份也可以实现但必须明确执行相应操作

此拆分的体系结构的另一好处是您可以使用客户端管理远程计算机上的备份如果必须备份 Windows Server Core 计算机这一长处尤其值得称道

Windows Server Backup 支持使用 Windows 恢复环境(即 WinRE)进行裸机还原Windows Server 安装介质上就有 WinREWinRE 简化了从头开始恢复服务器的过程我将在本文后面的内容中讨论如何执行裸机还原在此有必要指出Windows Server Backup 支持几个用于管理备份的组策略设置——组策略设置侧栏中有这些设置的概述

卷影复制服务

Windows Server Backup 以三种不同的方式使用卷影复制服务当您在 Windows Server 上启动完整备份时应用程序首先制作一个所有源卷的卷影副本执行此操作会为备份软件提供一致的文件系统视图供其使用(这与 NTBACKUP 所执行的操作类似)Windows Server Backup 然后逐个将这些块从源卷复制到备份目标在此过程中会为每个已备份的卷构建 VHD 映像

除非另行指定否则 Windows Server Backup 还会创建源卷的快照以便卷影复制服务跟蹤卷上所有发生更改的块这使得 Windows Server Backup 可以创建块级别增量备份它们仅需要读取源卷中发生更改的块Windows Server Backup 可以只读取和写入发生更改的块而不会因为文件有一点更改便读取和写入整个文件

这使得增量备份效率很高但代价是源卷的写入操作需要额外的磁盘 I/O如果您要备份特别繁忙或性能关键的卷则应禁用源卷上的卷影复制服务快照方法是选择Configure Performance Settings(配置性能设置)链接然后禁用此卷上的增量备份(如图 所示)

Figure Disable incremental backups on busy volumes

当备份完成时Windows Server Backup 会获取目标卷的快照(假设您是备份到本地连接的硬盘上)在下一备份期间会覆盖目标 VHD 文件但是由于卷影复制服务一直保持目标卷的卷影副本因此实际上与每个完整备份相对应的各个 VHD 文件都会有多个版本您实质上花费的是一个完整备份和更改块的成本而获得的是多个完整备份

备份至网络共享

备份至网络共享就象备份至本地卷一样轻松两者的主要差异是它不能创建远程卷的卷影复制服务快照因此每个完整备份都将覆盖前一完整备份从而在网络共享上仅为您留下每个服务器的最新完整备份映像由于此限制您不能使用 Windows Server Backup 计划程序来计划到网络共享的备份不过您可以使用 Windows Task Scheduler 来运行 WBADMIN 命令行程序执行到网络共享的完整备份如果您选择以此方式来计划到网络共享的完整备份请更改每个备份的目标文件夹以避免覆盖先前备份

备份至可记录的 DVD

Windows Server Backup 还支持备份至光学媒体例如可写入的 DVD您还可以创建包含多个卷的备份集Windows Server Backup 始终将备份压缩至 DVD这意味着您从 DVD 仅可以还原完整系统或完整卷Windows Server Backup 不支持使用 DVD 执行系统状态或文件级别的备份和还原而且您不能对备份至 DVD 进行计划

系统状态备份和还原

系统状态备份仅包括选定的文件和某些应用程序数据库(而不是整个卷)它虽简单但通常却至关重要但是在 Windows Server 的早期版本中并不支持系统状态备份和还原备份工具只备份关键的系统卷(即恢复和重新启动操作系统及关键应用程序所必需的任何卷)这些关键系统卷等同于面向卷的系统状态备份

应客户反馈的要求Microsoft 向 Windows Server Backup 添加了系统状态备份和还原功能该应用程序会创建多个 VHD 文件每个托管系统状态数据的卷一个 VHD 文件但它仅将必要的文件和数据库复制到 VHD 中另一个问题是当您执行系统状态备份时Windows Server Backup 并不创建目标卷的快照这一点与正常的备份过程不同而是每个系统状态备份生成一个全新的 VHD 文件集这意味着没有基于快照的卷备份所具备的空间效率

您仅可以使用 WBADMINEXE 命令行程序执行系统状态备份——MMC 管理单元不提供此选项要执行系统状态备份请使用以下命令

C:\> wbadmin start systemstatebackup

–backuptarget:e:

WBADMIN 然后会将关键系统文件和应用程序数据库备份至目标卷(在为系统状态备份而保留的文件夹中)系统状态备份在具有默认目录信息树 (DIT) 的 位 Windows Server 域控制器 (DC) 上运行时要稍大于 GB——这比在 Windows Server 上大 GB部分原因是 Windows Server Backup 捕获核心操作系统文件而 NTBACKUP 并不捕获此类文件

如您所料备份系统状态所需的时间也会更长当然这些初始数字是以操作系统的预发布版本为基础的您必须在自己的环境下对此进行测试如果您要将域控制器移至 Windows Server 您需要针对更大的系统状态备份(以及更长的备份时间)做出计划

使用 MMC 备份服务器

运行 Windows Server Backup MMC(请参见图 )时您可以选择设置备份计划或立即运行特定备份在本例中我选择Backup once(立即备份)以立即执行备份

Figure Windows Server Backup MMC

如您在图 中所见我可以选择是备份服务器上的所有卷还是只备份所选的特定卷如果选择Full server(完整服务器)则 Windows Server Backup 将备份所有装入的卷但我无法备份至装入的硬盘驱动器——只能备份至可记录的 DVD 或网络共享

Figure Using the backup configuration dialog to specify all or select volumes

在本示例中我希望备份至本地硬盘驱动器因此我选择Custom(自定义)选项然后会显示一个对话框让我选择要备份的卷(请参见图 )默认情况下Windows Server Backup 会选中Enable system recovery(启用系统恢复)框这会让 Windows Server Backup 选择引导卷操作系统卷以及具有关键系统文件和应用程序数据库的任何其他卷在 DC 上这包括托管 SYSVOLActive Directory DIT 以及 Active Directory 日志的卷这等同于系统状态备份但它备份所有关键卷而不仅仅是这些卷上的关键文件实际上我甚至可以从系统恢复备份集执行系统状态恢复

Figure Selecting specific volumes to back up

在选择目标类型(本地驱动器或网络共享)并指定目标后Windows Server Backup 会提示我选择VSS copy(VSS 副本)备份或VSS full(VSS 完整)备份这个术语有点令人困惑因为这两个选项均将完整地备份选定卷区别在于备份源文件后 Windows Server Backup 处理它们的方式如果您选择副本选项则 Windows Server Backup 将原样保留备份的文件如果您选择完整选项Windows Server Backup 将随后重置存档

从命令行备份服务器

如果您要编写备份过程的脚本或在 Server Core 安装上备份服务器则可以使用 WBADMINEXE 命令行程序WBADMIN 提供一个完整的选项集这些选项实质上执行与 MMC 管理单元相同的功能包括管理备份计划

假设我想启动 WBENGINE 服务它会随后执行备份我仅需输入以下命令即可

C:\> wbadmin start backup –include:c:d:

–backuptarget:e:

若要备份所有关键的系统卷可以输入以下命令

C:\> wbadmin start backup allcritical

–backuptarget:e:

启动备份后WBADMIN 继续运行并显示备份进度如果终止 WBADMIN则备份将继续在后台执行然后可以使用以下命令重新将 WBADMIN 连接至正在运行的备份

C:\> wbadmin get status

如果希望终止正在运行的备份只需输入以下内容

C:\> wbadmin stop job

使用 MMC 计划备份

与 Windows Server Backup 集成的备份计划程序实际上是为专门完成一项任务简化每日对本地磁盘卷做完整系统备份的计划您可以使用内置的计划程序自动在多个目标卷中轮换备份如果您具有便于移动的硬盘驱动器(或者正在使用通过 USB 连接的硬盘驱动器)则可以使用此功能来建立转换方案在此方案中您取下备份磁盘并将其存储在外部然后将最早的备份磁盘返回到服务器以供下一个计划的备份使用

Windows Server Backup 计划程序仅让您计划始终每日发生的备份也就是说没有单独针对各个星期一星期三和星期五计划备份的方法因此如果您不希望每日都运行计划的备份就必须直接使用 Windows Task Scheduler

当建立到本地磁盘的计划备份时Windows Server Backup 负责磁盘即格式化磁盘建立特定的文件夹结构并使 Windows 资源管理器中不显示目标磁盘目标磁盘必须为基本卷——Windows Server Backup 无法备份至被配置为动态卷的磁盘

通过 MMC 管理单元计划备份十分容易在此示例中我首先选择Backup Schedule(备份计划)链接指定备份类型以及要备份的卷然后 Windows Server Backup 即会显示Specify backup time(指定备份时间)对话框(请参见图 )

Figure Specifying when daily backups should occur

选择希望备份执行的时间后我可以选择备份的一个或多个目标卷在本例中我选择备份卷 E:如图 所示Windows Server Backup 会尽量为您选择一个合适的目标卷但是如果您要备份的目标磁盘未出现则可以使用Show All Available Disks(显示所有可用磁盘)按钮来查看所有连接的磁盘设备在显示两个confirm(确认)对话框之后Windows Server Backup 会格式化目标卷并使用 Windows Task Scheduler 来计划备份任务

Figure Specifying the destination disk for a scheduled backup

每次计划的备份完成时Windows Server Backup 都会获取目标卷的快照而且每隔七天它会创建一个新的基本映像活动则记录在 Microsoft/Backup/Operational 日志中您可以在那里检查备份是否成功完成也可以将某一任务(例如发送电子邮件消息)与成功和失败事件相关联以便始终了解计划备份的状态

从命令行计划备份

如果您正在计划 Server Core 安装上的备份或者只是想编写该过程的脚本则可以使用 WBADMIN 命令行来管理备份计划要添加计划的备份可使用 WBADMIN ENABLE BACKUP 命令指定目标源以及计划的时间如下所示

C:\> wbadmin enable backup –addtarget:e:

include:c:d: schedule::::

此命令会每天将 C: 和D:驱动器备份至 E:驱动器三次时间分别为早上 :中午 : 和下午 :(请注意所有时间均使用 小时制指定)要备份所有关键的系统卷(从其可执行裸机还原或系统状态还原)请使用 –allcritical 替换 –include 开关

也可以使用 WBADMIN 禁用所有计划的备份如下所示

C:\> wbadmin disable backup

此命令将删除所有由 Windows Server Backup 计划程序创建的计划备份工作并释放所有备份目标卷以供正常使用请注意您始终可以使用 WBADMIN MMC 管理单元远程管理 Server Core 服务器的备份和还原活动

域控制器的裸机恢复

备份和恢复最激动人心的改进之一是 WinRE 并入安装过程的方式从安装媒体中启动 Windows Server 您可以选择Repair your computer(修复计算机)选项如图 所示由于这一选项极易被错过所以在此专门做个提醒

Figure The Repair your computer option is available on the installation screen

在安装屏幕上选择修复选项后Windows 会让我选择一个恢复选项如图 所示在本例中我选择Windows Complete PC Restore(Windows 完整 PC 还原)这会调用 Windows 恢复环境

Figure Specifying system recovery options

在选择要修复的操作系统(通常只有一个选择)后WinRE 允许您选择要从其进行还原的备份默认情况下WinRE 选择最近的完整系统备份但您可以指定存储在本地磁盘上的其他备份或在网络中搜索存储在其他服务器文件共享中的备份

在我的示例中我选择最近的完整系统备份下一对话框(如图 所示)让我先格式化所有磁盘并重新分区然后再进行还原如果您正从某种磁盘故障所导致的问题中恢复或者已替换了服务器中的一个或多个磁盘驱动器则这是一个合适的选项

Figure You can easily format and repartition disks before theyre restored

在两个确认对话框之后WinRE 启动还原进程而且服务器重新启动此方法极为适合在服务器上执行裸机恢复

域控制器的系统状态恢复

如果您需要从某种与 Active Directory 相关的问题中恢复(例如从备份中恢复删除的 OU)则应将 Active Directory 域服务 (ADDS) 数据库还原至早期状态而不是还原整个系统尽管您可以像在 Windows Server 中的服务那样停止 ADDS但仍需将服务器引导到目录服务还原模式 (DSRM) 中以对域控制器执行系统状态还原

更改引导选项以将 Windows Server 引导到 DSRM 中并不像以前那样容易整个 Windows 引导环境经过了重新设计以支持新的可扩展固件接口 (EFI)而老式的 bootini 文件不再存在Windows Server 代之以使用引导配置数据 (BCD) 来管理引导过程

管理 BCD 的最简单方法是使用 BCDEDIT 命令行程序说明所有 BCDEDIT 命令和选项需要一整篇文章我在此处只向您显示某些有用的示例

要将 Windows Server DC 重新引导到 DSRM 中请使用以下命令

C:\> bcdedit /set safeboot dsrepair

这将为默认的引导加载程序项设置安全引导选项在全新的 Windows Server 安装中只有一个引导加载程序项 WINLOADEXE要删除安全引导选项并重新引导到正常模式中请使用以下命令

C:\> bcdedit /deletevalue safeboot

您可在 DC 上配置两个引导加载程序项——一个用于正常引导一个用于 DSRM 引导这样更为便利您也就可以使用System Settings(系统设置)下提供的Startup and Recovery(启动和恢复)设置对话框来更改引导选项要添加新的引导加载程序项请使用以下命令

C:\> bcdedit /copy {default}

/d Directory Service Repair Mode

此操作将通过复制默认的引导加载程序项创建一个新的引导加载程序项BCDEDIT 将显示与下面类似的内容

The entry was successfully copied to

{cdafdcffae}

GUID 会识别新项然后使用以下命令为 BCD 中新的引导加载程序项设置安全引导选项

C:\> bcdedit /set {}

safeboot dsrepair

您现在可以使用Startup and Recovery(启动和恢复)设置(如图 所示)从正常引导模式切换到 DSRM 引导模式

Figure Disable incremental backups on busy volumes

在使用 WBADMIN 启动系统状态还原之前必须确定要从其进行还原的备份WBADMIN 可以从完整系统备份只包含关键系统卷的备份或系统状态备份执行系统状态还原在上述任一情况下必须指定要使用的备份版本确定可用备份版本的最简单方法是使用下面的 WBADMIN 命令

C:\> wbadmin get versions

WBADMIN 然后将以与图 中所示信息类似的形式显示备份版本请注意每个备份都有一个备份时间备份目标版本标识符(顺便说一下它是备份以通用平均时启动的时间和日期)以及一个可支持恢复操作的类型列表

◆Figure 确定恢复可用的备份

wbadmin Backup commandline tool

(C) Copyright Microsoft Corp

Backup time: // : PM

Backup target: Fixed Disk labeled E:

Version identifier: //:

Can Recover: Application(s) System State

Backup time: // : PM

Backup target: Fixed Disk labeled Backup(E:)

Version identifier: //:

Can Recover: Volume(s) File(s) Application(s) Bare Metal Recovery System State

Backup time: // : PM

Backup target: Fixed Disk labeled Backup(E:)

Version identifier: //:

Can Recover: Volume(s) File(s) Application(s) Bare Metal Recovery System State

Backup time: // : AM

Backup target: Fixed Disk labeled E:

Version identifier: //:

Can Recover: Application(s) System State

上一篇:Active Directory 秘诀: 不需安装 Exchange 就能扩充 Active Di

下一篇:多域之间资源共享访问(AGDLP策略)