■

在Windows Server 2008的域控制器備份還原管理中，并沒有像前幾版的Windows 2000 Server或Windows Server 2003一樣，有所謂的可以只針對系統(tǒng)狀態(tài)（system state data）進行備份與還原的功能，這是因為它所要備份的數(shù)據(jù)不再只是針對系統(tǒng)狀態(tài)數(shù)據(jù)就可以達成后續(xù)還原的目的了，而必須針對整個扇區(qū)的重大備份（Critical volumes）才可以。以下說明整個扇區(qū)的重大備份所涵蓋的項目有以下幾個重點：

系統(tǒng)扇區(qū)：啟動文件以及相關(guān)開機設(shè)定數(shù)據(jù)（BCD，Boot Configuration Data）

啟動扇區(qū)：包括了Windows操作系統(tǒng)和登錄文件數(shù)據(jù)

SYSVOL相 關(guān) 數(shù) 據(jù)、Active Directory數(shù)據(jù)庫與事務(wù)歷史記錄文件

而所謂系統(tǒng)狀態(tài)內(nèi)容則包 括 了 登 錄 檔（Registry）、COM+類別注冊數(shù)據(jù)庫、啟動文件、Active Directory憑證服務(wù)數(shù)據(jù)庫、Active Directory網(wǎng)域服務(wù)數(shù)據(jù)庫、SYSVOL文件夾、叢集服務(wù)信息、IIS網(wǎng)站的Meta數(shù)據(jù)以及Windows資源保護的相關(guān)文件。

實戰(zhàn)講解

想要對于域控制器針對整個扇區(qū)進行重大備份操作，可以選擇采用Windows Server Backup圖形界面或是Wbadmin.exe命令工具。首先讓我們先看看有關(guān)于前者的操作方式。

圖1 選取備份項目

請在“系統(tǒng)管理工具”下拉選單中選擇開啟“Windows Server Backup”，緊接著在界面中的“動作”窗格內(nèi)選擇“單次備份”的鏈接，接著系統(tǒng)將會開啟單次備份精靈界面，由于筆者是第一次執(zhí)行此備份工具，并且先前從未執(zhí)行過任何計劃備份操作，因此在這個頁面中也僅有“不同選項”的設(shè)定可以選取，選擇“下一步”繼續(xù)。

請注意！在您選擇“下一步”的同時，可能會出現(xiàn)一個警告信息窗口，內(nèi)容中主要告訴我們?nèi)绻?jīng)有執(zhí)行過備份操作，您將需要先完成類別數(shù)據(jù)（Catalog）的還原，否則可能會造成這部份的信息的遺失，如果是第一次執(zhí)行那當(dāng)然就可以忽略掉此警示，并且點“是”按鈕繼續(xù)。

接著在“選取備份設(shè)定”的頁面中，可以依照實際需求選擇“完整服務(wù)器”備份或是“自定義”備份，一般來說如果此服務(wù)器中包含其它重要的應(yīng)用程序，或是同時擔(dān)任文件服務(wù)器的使用時，便會選擇“完整服務(wù)器”來進行備份，如果只是單純的域控制器角色，或是只想要備份特定磁盤分區(qū)中的數(shù)據(jù)時則可以選擇“自定義”即可。選擇“下一步”繼續(xù)。

接著在“選取備份項目”的頁面中，便是可以選擇所要備份的扇區(qū)來源，如圖1所示其中系統(tǒng)磁盤是無法取消選取的，并且也請務(wù)必勾選“啟用系統(tǒng)修復(fù)”項目，此外如果備份儲存文件位置也在本機計算機的其它磁盤中，則理所當(dāng)然這個磁盤在此是不可以選取的。選擇“下一步”繼續(xù)。

由于所執(zhí)行的是單次備份操作，因此接著在“指定目的地類型”的頁面中，將可以選擇是要備份到“本機磁盤”還是網(wǎng)絡(luò)中的其它計算機的共享路徑中，如果是選擇后者，那么必須確認此計算機目前是可以正常聯(lián)機的，并且確認有足夠權(quán)限可以寫入備份數(shù)據(jù)到此位置中。選擇“下一步”繼續(xù)。

接著在“選取備份目的地”的頁面中，在此除了必須所選取的磁盤剩余容量大于備份項目大小許多之外，當(dāng)然您也可以選擇備份至可刻錄的DVD或CD驅(qū)動器中，只是在備份的過程中可能需要更換多次的新刻錄盤片。選擇“下一步”繼續(xù)。在“指定進階選項”的頁面中，請記得選擇“VSS復(fù)制備份”選項，選擇“下一步”繼續(xù)。在“確認”的頁面中，可以讓我們對于前面的所有設(shè)定值做最后的確認動作，一旦確認沒有問題之后請選擇“備份”按鈕，開始進行備份操作。

在“備份進度”的頁面中，便會開始顯示整個備份的進度與說明，基本上它會從建立磁盤卷影復(fù)制的程序開始，等確認成功建立無誤之后才會開始進行相關(guān)數(shù)據(jù)的備份，在備份的過程中您可以選擇“關(guān)閉”按鈕，因為它仍然會在后臺中持續(xù)完成備份的操作。如果您在前面關(guān)閉了備份進度的窗口，那么在回到了Windows Server Backup的主窗口之后，是仍然可以看到備份進度的信息顯示，最后便是成功完成了整個備份操作的顯示信息。

采用Wbadmin.exe命令工具的備份方法

接下來讓我們來看看如何通過Wbadmin.exe命令工具來進行重大備份操作的執(zhí)行。您可以輸入wbadmin start backup -allCritical-backuptarget:磁盤代號:-quiet的命令格式來開始備份，而整個備份過程的進度也將可以由此窗口來檢視到。

圖2 啟動目錄服務(wù)恢復(fù)模式

然而無論是通過圖形界面或命令工具的備份方式，在執(zhí)行備份的過程中也是仍然有可能會發(fā)生錯誤的。舉例來說，如果磁盤卷影復(fù)制的功能（VSS）無法正常被執(zhí)行時，將會出現(xiàn)錯誤信息而導(dǎo)致備份過程被迫中止。

無論如何，若想要完整得知備份的過程為何會發(fā)生失敗，以及找出相對應(yīng)的解決方法，我們都可以通過事件查看器來查詢即可，在事件查看器中的“Windows記錄”“應(yīng)用程序”項目來查看錯誤事件的內(nèi)容說明，想要查看更進一步的信息可以選擇“事件日志聯(lián)機幫助”鏈接，以及“詳細數(shù)據(jù)”頁面來查看即可。

域控制器服務(wù)器的還原

一旦成功完成了域控制器重大數(shù)據(jù)的備份操作之后，如果目前您是在一個測試性的環(huán)境中，那么首先您便可以嘗試將一些Active Directory中的對象進行刪除，例如自定義的組織容器、計算機對象或是用戶賬戶等等，然后再來進行域控制器目錄數(shù)據(jù)庫的還原。

想要進行目錄服務(wù)數(shù)據(jù)庫的相關(guān)數(shù)據(jù)還原，一般我們都會在剛開機之后立即按下鍵盤上的“F8”按鍵，此刻系統(tǒng)便會開啟如圖2所示的“進階開機選項”頁面，請在此頁面中選取“目錄服務(wù)恢復(fù)模式”項目，然后再按下鍵盤上的“Enter”按鍵繼續(xù)。

請注意！您除了可以使用重新啟動的方式，使用“F8”按鍵選擇進入“目錄還原恢復(fù)模式” 之外，也可以在重新啟動之前在命令提示列輸 入bcdedit /set safeboot dsrepair命令參數(shù)，來讓系統(tǒng)自動重新啟動進入到此模式之中。

當(dāng)成功完成了開機到了登入頁面的時候，您是無法以域管理員的身份來登入的，而是必須改用其他賬戶來登入，然后輸入.Administrator為用戶賬戶名稱，以及輸入當(dāng)時在建立升級成域控制器時所輸入的目錄服務(wù)恢復(fù)模式的密碼來登入才可以喔！關(guān)于這一點要特別留意。

在成功完成登入到目錄服務(wù)恢復(fù)模式之后，請先開啟命令提示列窗口，然后依 次 輸 入：wbadmin get versions -backuptarget::-m a c h i n e:命令格式先來查看各時間點的備份記錄，其中-machine的參數(shù)并非是一定要輸入的，除非您所儲存?zhèn)浞菸募奈恢迷诰W(wǎng)絡(luò)中的其它計算機磁盤中才需要。

圖3 針對指定時間點的還原

一旦得知了所要還原的備份數(shù)據(jù)時間點信息之后，便可以如圖3所示輸入wbadmin start systemstaterecovery-v e r s i o n:-b a c k u p t a r g e t::-m a c h i n e: -quiet命令格式，來針對指定的時間點備份數(shù)據(jù)進行還原了。

整個還原過程中的片段畫面，過程中系統(tǒng)將會先一一確認與處理所備份的數(shù)據(jù)，最后在完成備份文件中數(shù)據(jù)恢復(fù)操作。在整個目錄服務(wù)系統(tǒng)狀態(tài)成功還原后，請立即完成重新啟動的操作即可。

完成了在目錄還原恢復(fù)模式的域控制器臺資料的還原之后，建議您可以直接下達bcdedit /deletevalue safeboot命令參數(shù)，讓系統(tǒng)自動以正常啟動的模式完成開機操作，至于在立即重新啟動的指令部份，則可以輸入shutdown -t 0 -r。

在完成了目錄服務(wù)系統(tǒng)狀態(tài)的還原與重新啟動之后，成功完成了目錄服務(wù)系統(tǒng)狀態(tài)的還原操作了。

關(guān)于Wbadmin.exe命令的使用方法，您可以在命令提示列中輸入/?參數(shù)，來得知基本可用的命令有哪一些。至于如果想針對特定命令參數(shù)的用法進一步了解，例如系統(tǒng)狀態(tài)的還原方法，則可以輸入wbadmin start systemstaterecovery /?來查看即可。

Active Directory 數(shù)據(jù)庫掛載工具使用方法

Active Directory 數(shù)據(jù)庫掛載工具（Active Directory Database Mounting Tool）是Windows Server 2008繼過去Ntdsutil命令工具之后，一支全新改良設(shè)計的新Active Directory 數(shù)據(jù)庫維護工具，通過這一個工具的簡易使用，可以讓管理員去針對儲存在Active Directory Domain Services（AD DS）或 Active Directory Lightweight Directory Services（AD LDS）中的數(shù)據(jù)，去進行快照（snapshots）的建立或檢視，而不需要去重新啟動域控制器或是AD LDS服務(wù)器。然而有關(guān)于這一項針對Active Directory數(shù)據(jù)庫快照功能的使用，則是結(jié)合Windows Server 2008本所內(nèi)建的扇區(qū)卷影復(fù)制服務(wù)功能（Volume Shadow Copy Service）來完成的。

通過這支Active Directory 數(shù)據(jù)庫掛載工具（Dsamain.exe）的使用，對于網(wǎng)管人員在平日的域數(shù)據(jù)庫維護上有什么幫助呢？對于有經(jīng)驗的IT人員來說，想必一定會聯(lián)想到有關(guān)于在網(wǎng)域數(shù)據(jù)庫的還原處理上會更加方便許多，更進一步的說法則是應(yīng)該是說在數(shù)據(jù)庫的還原之前，起碼可以針對現(xiàn)有運作中的數(shù)據(jù)與快照備份的數(shù)據(jù)進行新舊版本比對之后，再來決定是否要進行所遺失數(shù)據(jù)的還原操作。

在接下來的內(nèi)容中，將說明如何通過Active Directory數(shù)據(jù)庫掛載工具，來進行數(shù)據(jù)庫快照列表的建立以及數(shù)據(jù)庫的掛載與數(shù)據(jù)庫內(nèi)容的檢視。

任 何Windows Server 2008只要已經(jīng)安裝了Active Directory Domain Services（AD DS）或Active Directory Lightweight Directory Services（AD LDS）服務(wù)器角色，便可以使用以下幾個內(nèi)建的管理工具：

新Ntdsutil snapshot工具：這個新增的snapshot操作選項，可以讓管理員進行快照的建立、快照列表的顯示、掛載或卸除AD DS與AD LDS數(shù)據(jù)庫。

Dsamain.exe：通過此工具可以將指定的快照數(shù)據(jù)庫，連接成為一個自定義通訊端口的LDAP服務(wù)器。

Ldp.exe命令工具與“Active Directory用戶與計算機”管理工具：這兩個工具都可以用來檢視只讀并且已經(jīng)掛載的AD DS與AD LDS數(shù)據(jù)庫內(nèi)容，讓管理員來進行不同快照備份的內(nèi)容比較。

請注意！在預(yù)設(shè)的狀態(tài)下只有Domain Admins與Enterprise Admins群 組的成員，才能夠?qū)τ贏ctive Directory快照數(shù)據(jù)進行檢視，因為這里頭包含了許多足以影響整個IT基礎(chǔ)營運的敏感數(shù)據(jù)（AD DS），然而如果您想要從一個已經(jīng)刪除的舊網(wǎng)域或樹系中檢視快照數(shù)據(jù)，則您便可以在執(zhí)行Dsamain.exe命令工具時，來設(shè)定允許非系統(tǒng)管理員的用戶存取快照數(shù)據(jù)。

圖4 掛載或卸除指定的快照

以手動建立快照備份

快照數(shù)據(jù)的建立可以采用單一次的手動執(zhí)行方式或計劃設(shè)定的方式來定時建立。接下來讓我們先來看看有關(guān)于手動建立Active Directory數(shù)據(jù)快照的方法。請在“開始”“命令提示列”項目上按下鼠標右鍵，然后選擇“以系統(tǒng)管理員身份執(zhí)行”。

接下來將會開啟以系統(tǒng)管理員身份為主的命令提示字符窗口，請輸入ntdsutil并且按下“Enter”按鍵，然后在“ntdsutil:”的提示字符下輸入snapshot并且按下“Enter”按鍵，此刻提示字符將會變成“快照：”，請緊接著輸入activate instance ntds并且按下“Enter”按鍵，最后再輸入create命令并且按下“Enter”按鍵便可以完成快照的建立，如圖4。

在成功完成了每一個時間點的快照建立時，請注意它都會有一個專屬的快照序號的惟一標識符，至于后續(xù)如果想要通過LDP命令工具或Active Directory用戶與計算機的工具來存取它之前，首先便需要如圖4所示的第一行命令一樣，通過mount命令搭配指定快照的序號來將此快照的數(shù)據(jù)庫完成掛載的動作，而如果想要得知目前已經(jīng)掛載的快照資料有哪一些，則可以輸入list mounted命令來查看即可，如果想要卸除某一指定的快照數(shù)據(jù)庫項目，則只要輸入unmount命令搭配此快照的序號即可。

關(guān)于快照命令提示字符下的指令用法，您可以如圖4所示直接輸入?，然后按下“Enter”按鍵即可得知，范例中筆者便是緊接著輸入了List all來查看目前所有的快照項目的信息，您也可以通過Delete指令來刪除特定的快照數(shù)據(jù)項。

請注意！在快照的數(shù)據(jù)項清單中，我們可以看到在每一個數(shù)據(jù)快照項目中都有兩組不同的序號（快照索引編號與GUID），關(guān)于這兩組不同的序號都可以用來作為快照項目掛載與卸除時的參數(shù)值。

完成了特定快照數(shù)據(jù)庫的掛載之后，緊接著便可以通過執(zhí)行Dsamain.exe命令工具，來將所連接的快照數(shù)據(jù)庫變成一個獨立的LDAP服務(wù)器執(zhí)行各體。我們可以通過dsamain/dbpath /ldapport 命令格式來完成這一向操作。

然而在執(zhí)行Dsamain.exe命令工具時，可能會出現(xiàn)錯誤信息。而通?？赡艿膯栴}原因是您所指定的快照數(shù)據(jù)庫尚未掛載，或是所輸入的掛載數(shù)據(jù)路徑不符合，以至于最后會出現(xiàn)File not found的錯誤信息，這時候建議您可以回到前面的步驟中使用List Mounted來查看正確的信息即可。

結(jié)合計劃建立快照(Snapshot)備份

在上述有關(guān)于Active Directory數(shù)據(jù)庫的快照建立方式，都是通過我們以手動輸入命令的方式來建立，如果您希望它可以定時來建立快照，那么便需要結(jié)合系統(tǒng)內(nèi)建的“計劃任務(wù)”來使用才可以達到。請在“開始”“附屬應(yīng)用程序”的下拉選單中開啟“計劃任務(wù)”。在Windows Server 2008內(nèi)建的計劃任務(wù)工具操作界面中，請在 “動作”窗格中選擇“建立計劃”連結(jié)繼續(xù)。

緊接著將會開啟“建立計劃”的窗口，在“一般”的頁面中請輸入一個唯一的識別名稱，然后您可以在“安全性選項”中自行決定此工作的執(zhí)行，所要使用的賬戶以及是否需要在使用者有在本機登入時才執(zhí)行等組態(tài)。

接下來請選擇切換到“觸發(fā)程序”的頁面中，在這個頁面中請選擇“新增”按鈕來開啟“新增觸發(fā)程序”頁面，在此頁面中首先請在“開始工作”的字段中選擇“在計劃上”，然后緊接著便可以根據(jù)實際計劃備份需求，來設(shè)定每天、每周或是每月的定時快照備份的建立時間點，而在下方的進階設(shè)定區(qū)域中，則可以進一步設(shè)定重復(fù)工作執(zhí)行的間隔時間、工作運行時間超過多久時將自動停止以及此工作計劃執(zhí)行的到期日期與時間等等。

在完成觸發(fā)程序新增后的頁面中，可以清楚在狀態(tài)的字段中看到已啟用的字眼，這表示目前這個工作所設(shè)定的計劃會如期執(zhí)行，后續(xù)如果需要去修改剛剛所設(shè)定的工作計劃，只要在選取程序項目之后接著選擇“編輯”按鈕即可。

接下來請切換到“動作”的頁面中，在此請同樣新增一個執(zhí)行動作，選擇之后將會開啟“新的執(zhí)行動作”頁面，在此首先請在“執(zhí)行”的下拉選單中選擇“啟動程序”，接著請選擇“瀏覽”按鈕瀏覽至默認C:WindowsSystem32 tdsutil.exe文件，并且在“新增自變量”的字段中輸入"activate instance ntds" snapshot create quit quit即可，然后選擇“確定”完成新增動作的操作。

接下來您可以繼續(xù)切換到“條件”的頁面中，在此主要可以讓我們設(shè)定執(zhí)行此工作的時機為何，您可以設(shè)定只有在計算機閑置到指定的時間之后才執(zhí)行，或是只有在指定的網(wǎng)絡(luò)可以聯(lián)機時才執(zhí)行等等。最后您可以繼續(xù)切換到“設(shè)定”的頁面中，這里主要是可以針對工作的執(zhí)行設(shè)定一些進階的處理動作，這包括了如果工作執(zhí)行失敗時要自動每隔多久重新啟動、如果工作運行時間大于以下值即停止等等。

完成上述幾個針對于計劃工作的設(shè)定之后，我們便可以針對這個工作項目，在“動作”窗格中選擇“內(nèi)容”來修改前面的設(shè)定，或是選擇“執(zhí)行”來讓此工作立即執(zhí)行（通常在第一次完成工作計劃設(shè)定時，會先執(zhí)行一次來測試是否可正常運作），當(dāng)然啦！必要的話您還可以選擇“停用”來讓此工作計劃的執(zhí)行暫停。至于針對此工作目前的執(zhí)行詳細狀態(tài)與執(zhí)行過的歷史記錄，您則可以切換到“歷史記錄”的頁簽中來查看即可。

使用Ldp.exe命令工具存取快照數(shù)據(jù)庫

對于已經(jīng)完成了快照數(shù)據(jù)掛載的Active Directory數(shù)據(jù)庫來說，接下來我們優(yōu)先說明如何通過LDP.exe這支內(nèi)建的命令工具的聯(lián)機，來檢視快照的Active Directory數(shù)據(jù)庫內(nèi)容。請在“開始”“執(zhí)行”的開啟字段中輸入LDP，然后選擇“確定”按鈕繼續(xù)。接下來將會開啟LDP專屬的圖形操作界面，首先請在“聯(lián)機”下拉選單中選擇“聯(lián)機”繼續(xù)。緊接著將會開啟“聯(lián)機”設(shè)定的窗口，請在服務(wù)器字段中輸入localhost或是本機的計算機名稱，以及在端口的字段中輸入前面我們通過dsamain所自定義的通訊端口號碼（例如51389），請選擇“確定”按鈕繼續(xù)。確定成功完成與LDAP實例的聯(lián)機之后，接下來請在“聯(lián)機”的下拉選單中，選擇“系結(jié)”選項繼續(xù)。

在開啟了系結(jié)設(shè)定的頁面之后，在系結(jié)類型的設(shè)定中您可以選擇采用預(yù)設(shè)的“以目前登入使用者身份系結(jié)”或是“利用認證系結(jié)”來進行系結(jié)的動作，完成設(shè)定之后請選擇“確定”。一旦成功完成了系結(jié)的動作之后，接下來我們便可以選擇位在“檢視”下拉選單中的“樹狀目錄”，來準備瀏覽快照的Active Directory數(shù)據(jù)庫內(nèi)容了。執(zhí)行樹視圖之后將會開啟頁面，請在基準DN的字段中輸入以LDAP格式的路徑表示法（例如：msft.com就必須輸入 dc=msft,dc=com），完成輸入之后選擇“確定”。一旦成功聯(lián)機了指定的快照樹系名稱之后，您將可以在此樹狀目錄中展開各節(jié)點來瀏覽相關(guān)容器與對象的詳細信息內(nèi)容了。

通過Windows Server內(nèi)建工具開啟快照數(shù)據(jù)庫

身為系統(tǒng)管理員的您，除了可以通過LDP的簡易圖形界面來瀏覽快照的數(shù)據(jù)庫內(nèi)容之外，也可以通過我們平日最常使用的“Active Directory用戶與計算機”在聯(lián)機這個暫時的LDAP服務(wù)器喔！在您從系統(tǒng)管理工具中開啟了Active Directory用戶與計算機的界面之后，請在最上層的節(jié)點上按下鼠標右鍵之后選擇“變更域控制器”項目繼續(xù)。

在執(zhí)行了“變更域控制器”項目之后將會開啟“變更目錄服務(wù)器”頁面，請在選取了“這個域控制器或AD LDS實例”設(shè)定之后，在下方的名稱字段中輸入本機的計算機名稱與通訊端口號碼（例如：Server:51389），然后選擇“確定”按鈕即可。

當(dāng)您成功完成指定快照數(shù)據(jù)庫的LDAP實例聯(lián)機之后，在這個只讀的操作界面中，請永遠記得！您唯一只能夠瀏覽其中的各項容器與對象屬性內(nèi)容，是無法進行新增、刪除或修改的。