管理员根据活动目录(Active Directory,AD)对用户和Windows环境中的电脑进行身份验证。AD通过各种程序帮助管理员实施和执行安全程序,如调用新的软件更新安装。由于AD是大多数IT服务的关键,因此对于管理员来说,通过备份对AD部署提供保证是一件非常重要的事情,并且确保备份可以进行快速而可靠的恢复。
该如何备份活动目录?应该使用什么备份和恢复选项?
Windows Server所提供的备份工具支持使用不同的备份方法对数据进行保护,如正常、复制、增量、微分或每日备份。然而,AD具有特定的备份需求,需要一个“标准的”备份类型。
用户需要精心策划活动目录备份,因为AD不是一个单一的文件或文件夹,而是活动目录服务器上的数据集合。这包括系统启动(启动)文件、系统注册表文件、组件对象模型类注册数据库、覆盖组策略和脚本的系统卷(SYSVol)数据,以及所有的AD数据库组件。综上所述,这些元素构成了AD域控制器的“系统状态”。
后来版本的Windows Server,如2008 R2,能够备份关键卷,将备份所有包含状态文件的卷。这包括卷与引导文件、Windows操作系统和注册表、SYSVol、AD数据库或AD日志文件。除了备份系统状态或关键卷,管理员也可以选择执行一个完整的服务器备份,其包括一个完整的图像,有便于服务器支持其他企业服务。
AD恢复有多个备选方案。最明显的选择是完全恢复——充分利用服务器备份执行域控制器裸机恢复,或使用系统状态备份恢复早期AD系统状态。管理员也可以决定恢复是否授权或非授权。对于非授权恢复,恢复的域控制器将自动查询并同步其他域控制器副本来确保恢复结果能够反映最新的AD状态。对于授权恢复,恢复的域控制器被认为是最新版本,这将恢复服务器复制到其他域控制器。
恢复过程通常需要在目录服务恢复模式下重新启动陷入困境的服务器,这会让服务器处于Windows安全模式。在这一点上,管理员可以为授权和非授权恢复选择合适的备份。选择正确的备份是因为备份媒体上可能包含来自多个域控制器的大量的备份。实际的恢复工具和流程可以依据Windows Server版本和产生修复需求的问题的性质确定,因此对具体的AD备份流程进行严格审查时至关重要的一件事情。
Windows Server 2008 R2及以后的版本还提供了活动目录回收站,保留数据对象并且允许快速恢复已删除的数据,而不需要特意从备份进行恢复。