Windows 2012 目录备份图解

admin管理员组

文章数量:1530022

一、场景

今天登录AD服务器，提醒AD目录已经长时间没有备份，如下图：

基于AD的安全性考虑，本文这里讨论下利用Windows 2012自带的备份工具WindowsServer Backup对活动目录进行备份，来保证AD崩溃后的恢复； Windows Server Backup是系统自带的备份和恢复组件，但Windows Server Backup不支持备份到磁带。
Windows Server Backup可以备份一个完整的服务器（所有卷），所选卷，系统状态，或特定的文件或文件夹，并创建一个备份，您可以使用裸机恢复。您可以恢复卷，文件夹，文件，某些应用程序和系统状态。而且，硬盘故障等灾害的情况下，您可以执行裸机恢复。

Windows Server 2012 中 Windows Server Backup支持功能：

  1.从Hyper-V主机备份和恢复单个虚拟机

  2.备份版本功能改进

  3.支持大于2TB的卷备份和4K扇区支持

  4.支持备份群集共享卷(CSV)

本文通过对AD服务器进行系统状态备份和恢复来实现AD备份的目标。

二、部署

1）AD服务器上安装WindowsServer Backup”功能：

2）安装完成后，无需重启，在管理工具中就可看到backup程序：

3）backup工具打开，双击后如下图：

或在【本地备份】左键出现菜单：

三、手动一次备份

4）备份域控制器OS：
右键点击“本地备份”，选择“一次性备份”，如下图所示：



上图中，依照你的需要选着一个备份，这里只选【系统状态】：

高级设置中：还可以排除无需备份的项，排除一些无需备份的文件类型，如：mp3和视频文件等及对vss备份：



实际多用备份到远程，可在AD环境中创建【备份服务器】，这里我本地磁盘空间足，且AD域控本身为虚拟机，本次备份存放在非系统D盘：

备份注意事项：

本地驱动器：必须是NTFS格式的驱动器，不能将备份存储在USB闪存驱动器。容量至少是备份文件大小的1.5倍，才能存储几个备份版本。

远程共享文件夹：每次创建新的备份时都将覆盖旧的备份，如果需要存储多备份版本的话，请不要选择此项。同时，在已包含备份的共享文件夹创建备份时，如果备份过程失败，则可能会丢失所有备份。




5）备份到远程：
如果在上一步中选备份到远程，如AD备用域控上：

四、恢复

6）恢复/还原AD域控服务器：
注意事项：还原域控制器的操作无法在系统正常启动模式下进行，只能进入“目录服务修复模式”才可进行还原。即服务器上需要安装AD角色，需要DSRM，只有域控，才能启动时进入“目录服务修复模式”，重启后F8进入：


进入还原模式登陆界面后，必须用服务器本地管理员账户登录而不能使用域管理员账户登录，密码是该计算机的域控制器的还原密码（在创建域控制器的时候设置的）。
登录进去后，打开windows server backup，右键点击本地备份，选择“恢复…”，如下图：











至此，Active Directory 恢复完成！

注：还原的后续操作：（按需操作，一般首选利用ntdsutil工具实现AD角色强制转移，将备用AD提升为主AD，原主AD重新部署或执行还原后，再加入AD域集群，作为备用域，自动同步当前正常的数据库）

当我们环域境内不只一台DC时,会面临一个问题:域其它DC进行AD数据库复制更新的时候,更新会盖掉这台刚被还原的AD数据库,这样一样,还原的意义就没有了。

AD数据库中的数据,各自有版本编号,来比较数据的新旧程度,其中AD数据的版本编号较高,则代表其本身较新,而域内各DC会定时核对彼此的AD数据库是否一致,若发现某台DC的AD数据,较新于自己的数据,则会用对方较新的AD数据,覆盖掉自己的较旧的AD数据，为了让先前还原的AD数据库的所有数据,都比域其它DC正在使用的AD数据库都要新,执行"开始/命令提示符"：

ntdsutil
ntdsutil：authoritative restore



完成后重启OS，这时，上述刚被还原的AD数据库中各数据的版本编号，就会比域中任何其它DC的AD数据高，因此被还原的AD数据库反而会覆盖其它DC的AD数据库。

五、创建备份计划（自动备份)

1）在Windows Server Backup控制台，右击“本地备份”，选择“备份计划”。

2）其他过程同收到备份一致；
3）根据需求选择备份开始时间及备份频率：

4）根据实际环境选择相应的存储，综合选备份到专用于存储备份的卷（磁盘分区）：


5）完成后即可按计划自动备份，如修改备份计划选择右侧的“备份计划”，则可以在向导中修改或停止该计划备份。

6）如需在计划时间之外，进行手动备份，则再次在控制台右侧选择“一次性备份”，然后选择“计划备份选项”。

7）打开任务计划，在任务计划程序（本地）-任务计划程序库 –Microsoft-Windows-Backup中可以看到设置好的备份计划。在你的备份任务计划上右键，选“属性”—触发器—选“编辑”，可以在编辑触发器界面，更改备份周期，更改为每周，星期日23：00：00开始备份。

六、FAQ

1、DSRM密码忘记：

AD数据库时会出现忘记当初设置的还原密码（添加AD服务时设置）的情况，这个时候就无法进入目录还原模式了。
cmd或运行里输入：Ntdsutil //Ntdsutil.exe 是一个为 Active Directory 提供管理设施的命令行工具

或：


在设置还原密码成功后，还需要重新启动计算机，重启后即可使用新的还原密码进入目录服务还原模式了。

附录：更多Windows server backup的备份操作可参考：http://labixiaoniu.blog.51cto/695063/1242942

2、强制角色转移，提升备用AD为主AD

1）ntdsutil 工具方式亦可实现角色转移 ：步骤如下,运行-cmd，输入：

>ntdsutil 回车  #技巧： 输入 ？  ，可以查看该模式下可输入的命令行及命令功能注释 。

roles 回车             //角色功能选项

connections 回车    //进入连接模式

connect to server pdc01.bicionline.org  回车   //连接pdc01 服务器

quit  回车                                         //退出 

seize  naming master  回车   //在已连接的服务器上覆盖命名主机角色 

seize infrastructure master 回车

seize PDC 回车

seize RID master  回车

seize schema master 回车

注：五个角色是schema master-架构主机，Domain naming master-域命名主机，Rid master-rid主机，pdc master-pdc防真器，Infrastructure Master-结构主机。
2）清理原AD的残留信息（元数据）

>ntdsutil 

metadata cleanup 回车     //进入服务器对象清理模式

select operation target   回车     //进入操作对象选择模式

connections  回车      //进入连接模式

connect to server pdc01  回车  //连接到备份域服务器端

quit  回车

list sites   回车 //列出当前连接的域中的站点

select site 0  //选择站点0

list domains in site  /列出站点中的域

select domain 0   //选择域0

list servers for domain in site //列出0站点0域内所有服务器

select server ０  //选择域中的将要删掉服务器(域控)

remove selected server     //删除选择的服务器(域控)

完了，再删除DNS服务器中每一个区域中关于原主AD的 DNS 记录 ，删除‘站点与服务’里相关信息，并配置新主AD（原辅助域控）为GC （全局编录） 。

注：建议在做操作前务必做好数据备份工作 ，且在清理主域残留信息时慎重操作。虚拟化环境提前做快照处理。

3） 查找和清理（或删除）重复的安全标识符 (SID)

1>在 Ntdsutil 命令提示符下，键入 security account management，然后按 ENTER 键。

2>在 Security Account Maintenance 命令提示符下，键入 connect to server 服务器的DNS 名称，然后按 ENTER 键。连接到存储着 SAM 数据库的服务器。

3>在 Security Account Maintenance 命令提示符下，键入 check duplicate sid，然后按 ENTER 键。将显示重复的 SID。

4>在 Security Account Maintenance 命令提示符下，键入 cleanup duplicate sid，然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。

本文标签： 备份目录Windows