对于域环境来说,备份AD的重要性,也许每个系统管理员都很清楚,更甚者很多朋友都曾经为AD数据库的恢复大伤脑筋。为什么会这样呢?我有备份了,恢复就是了,这有什么可伤脑筋的?!
好,我来举个例子,比如在我们企业有3台DC,单域环境,你作为一个企业管理员,首先你很清楚,AD数据库要经常备份,并且你也做了相应的备份计划,或者你会在每次对AD做重要修改后手动备份。比如有一天,你删除了一些用户,为了安全在删除之前你做了备份,又过了几天,你又删除了个OU和几个用户,为了安全你又在删除之前做了备份,这样的工作可能经常做,但突然有一天,你想要恢复某个删除的用户,试问,你如何来确定这个被删除的用户究竟存在于哪个备份里面?当然你是不是想找到该用户被删除前的最后一个备份吧?!如果知道了,就可以利用授权还原方式来还原该用户。但也许遗憾的是,面对这么多备份,哪个是呢?如果你有好的备注习惯,找到也许容易些。如果你没有,这下就麻烦大了,你可能会尝试恢复某个时间点的备份,如果没有,还得尝试恢复其它时间点的备份,这样折腾来折腾去,也许你头都大了,也不一定能找到。那有没有比较快捷的方法,不用去还原,先看一下哪个备份是我们所需要的,然后找到后再还原呢?!那我们今天讲的快照和DMT就可以帮你解决这个难题。
一、快照:简言之就是把当前的系统状态照下来,我们只探讨AD,因此,利用此功能就可以把某个时间点AD的状态保存下来。当需要时我们就可以利用DMT把这个快照挂载,从而来查看AD数据库的状态。
二、DMT(DataBase Mounting Tools):就是利用dsamain.exe这个命令把上述的快照进行挂载,从而利用ADUC或LDP工具查看此快照中数据库的状态。
实际应用的时候,我们可以在每次做完成AD备份就做一次快照,当然我们也可以利用“计划任务”创建计划快照。接下来我们就分三个步骤来完成这个工作。
步骤一:利用“计划任务”完成计划快照
步骤二:利用ntdsutil完成快照的查看和mounted工作
步骤三:利用dsamain.exe完成快照的挂载
步骤四:利用ADUC或LDP查看挂载后快照中装据库内容
实验环境:一台2008R2DC,计算机名n1,域名:net.com。
步骤一:利用“计划任务”完成计划快照
1. 开始---管理工具--任务计划程序,单击打开后如下图:
2.如下图,右击选择“创建任务”,你也可以选择“创建基本任务”根据向导完成。
3. 单击后,在下图所示中完成任务计划的创建工作:
再选择触发器,单击“新建”,设置什么时间开始做快照,如下面几张图示。
如上图,单击确定后,如下图所示:
选择“操作”,指定操作命令:如下图
在添加参数里:snap "act ins ntds" creat quit quit 这实际上是在ntdsutil命令对话里的多条命令的连续执行。
最后单击“确定”,如下:
再次单击“确定”,最后完成的任务计划如下:
注:如果看不到,可以单击“刷新”。对于此任务,你可以右击选“运行”来测试。如下:
会立即弹出如下命令窗口,稍等片刻即完成快快照的创建工作。
步骤二:利用ntdsutil完成快照的查看和mounted工作
以管理员方式打开cmd窗口,运行ntdsutil,如下输入命令:
如上图,通过list all我们看到总共创建了两个快照,其中第二个快照便是我们刚刚创建的。我们利用mount 3或mount 4或mount { } 括号内是GUID,均可实现mount操作。
注:如果要删除挂载,可以运行unmount 1 或unmount 2或能unmount { }
打开“计算机”可以查看挂载后的快照内容:
注意:$SNAP_200912211409_VOLUMEC$含义指明是在2009.12.21日14:09创建的快照,位于C盘。
打开后,如下所示:
注:实际上把整个C盘的状态都照下来了。怎么样,够强大吧~~
步骤三:利用dsamain.exe完成快照的挂载
以管理员的身份打开一个新的CMD窗口,如下所示:
注:上述这条命令就把AD数据库挂载上了,但如果你要访问该AD库,必须通过LDAP的12345端口来连接。命令行中的彩选的夹恰恰就是我上面所提到的夹,所以路径一定要写对。
该窗口不要关闭,除非你结束了步骤四。
步骤四:利用ADUC或LDP查看挂载后快照中装据库内容
两种方法连接该数据库。我们利用ADUC先打开现在的AD库,把test用户删除,其实快照里有test用户。来测试不同点。
删除test用户后,如下所示:
(一)利用ADUC来连接快照装据库:
如下图所示,用户确实存在于快照数据库中。
(二)利用LDP查看:
开始--搜索中输入ldp,如下所示:
单击确定后,再次单击“连接”菜单,选择绑定(用户身份,可以当前管理员身份)。
如下继续:
至此,我们已经成功的查看了快照数据库的内容。实验结束。
后记:当我们通过该方式查到了在哪个AD备份中存在我们要还原对象,就可以进入到DSRM下进行AD的授权还原了。此部分内容,各位可以关注我的“活动目录系列文章”,此处略。
小结:上述不过给各位一个解决问题的方案,快照和DMT是2008添加的新功能,利用它为我们解决AD的恢复确实提供了很好的帮助,如果我们愿意,我们也可以启用AD的回收站功能,在DS不离线状态下,实现AD对象的恢复。当然这个功能的前提必须域环境全部是2008R2作DC,且林功能级别必须是Windows 2008R2方可。这部分内容,各位可以参考ccfxny 的
http://ccfxny.blog.51cto.com/350339/201840。
本文转自 jary3000 51CTO博客,原文链接:http://blog.51cto.com/jary3000/247240,如需转载请自行联系原作者