對於域環境來說,備份AD的重要性,也許每個系統管理員都很清楚,更甚者很多朋友都曾經爲AD數據庫的恢復大傷腦筋。爲什麼會這樣呢?我有備份了,恢復就是了,這有什麼可傷腦筋的?!
好,我來舉個例子,比如在我們企業有3臺DC,單域環境,你作爲一個企業管理員,首先你很清楚,AD數據庫要經常備份,並且你也做了相應的備份計劃,或者你會在每次對AD做重要修改後手動備份。比如有一天,你刪除了一些用戶,爲了安全在刪除之前你做了備份,又過了幾天,你又刪除了個OU和幾個用戶,爲了安全你又在刪除之前做了備份,這樣的工作可能經常做,但突然有一天,你想要恢復某個刪除的用戶,試問,你如何來確定這個被刪除的用戶究竟存在於哪個備份裏面?當然你是不是想找到該用戶被刪除前的最後一個備份吧?!如果知道了,就可以利用授權還原方式來還原該用戶。但也許遺憾的是,面對這麼多備份,哪個是呢?如果你有好的備註習慣,找到也許容易些。如果你沒有,這下就麻煩大了,你可能會嘗試恢復某個時間點的備份,如果沒有,還得嘗試恢復其它時間點的備份,這樣折騰來折騰去,也許你頭都大了,也不一定能找到。那有沒有比較快捷的方法,不用去還原,先看一下哪個備份是我們所需要的,然後找到後再還原呢?!那我們今天講的快照和DMT就可以幫你解決這個難題。
一、快照:簡言之就是把當前的系統狀態照下來,我們只探討AD,因此,利用此功能就可以把某個時間點AD的狀態保存下來。當需要時我們就可以利用DMT把這個快照掛載,從而來查看AD數據庫的狀態。
二、DMT(DataBase Mounting Tools):就是利用dsamain.exe這個命令把上述的快照進行掛載,從而利用ADUC或LDP工具查看此快照中數據庫的狀態。
實際應用的時候,我們可以在每次做完成AD備份就做一次快照,當然我們也可以利用“計劃任務”創建計劃快照。接下來我們就分三個步驟來完成這個工作。
步驟一:利用“計劃任務”完成計劃快照
步驟二:利用ntdsutil完成快照的查看和mounted工作
步驟三:利用dsamain.exe完成快照的掛載
步驟四:利用ADUC或LDP查看掛載後快照中裝據庫內容
實驗環境:一臺2008R2DC,計算機名n1,域名:net.com。
步驟一:利用“計劃任務”完成計劃快照
1. 開始---管理工具--任務計劃程序,單擊打開後如下圖:
2.如下圖,右擊選擇“創建任務”,你也可以選擇“創建基本任務”根據嚮導完成。
3. 單擊後,在下圖所示中完成任務計劃的創建工作:
再選擇觸發器,單擊“新建”,設置什麼時間開始做快照,如下面幾張圖示。
如上圖,單擊確定後,如下圖所示:
選擇“操作”,指定操作命令:如下圖
在添加參數裏:snap "act ins ntds" creat quit quit 這實際上是在ntdsutil命令對話裏的多條命令的連續執行。
最後單擊“確定”,如下:
再次單擊“確定”,最後完成的任務計劃如下:
注:如果看不到,可以單擊“刷新”。對於此任務,你可以右擊選“運行”來測試。如下:
會立即彈出如下命令窗口,稍等片刻即完成快快照的創建工作。
步驟二:利用ntdsutil完成快照的查看和mounted工作
以管理員方式打開cmd窗口,運行ntdsutil,如下輸入命令:
如上圖,通過list all我們看到總共創建了兩個快照,其中第二個快照便是我們剛剛創建的。我們利用mount 3或mount 4或mount { } 括號內是GUID,均可實現mount操作。
注:如果要刪除掛載,可以運行unmount 1 或unmount 2或能unmount { }
打開“計算機”可以查看掛載後的快照內容:
注意:$SNAP_200912211409_VOLUMEC$含義指明是在2009.12.21日14:09創建的快照,位於C盤。
打開後,如下所示:
注:實際上把整個C盤的狀態都照下來了。怎麼樣,夠強大吧~~
步驟三:利用dsamain.exe完成快照的掛載
以管理員的身份打開一個新的CMD窗口,如下所示:
注:上述這條命令就把AD數據庫掛載上了,但如果你要訪問該AD庫,必須通過LDAP的12345端口來連接。命令行中的彩選的夾恰恰就是我上面所提到的夾,所以路徑一定要寫對。
該窗口不要關閉,除非你結束了步驟四。
步驟四:利用ADUC或LDP查看掛載後快照中裝據庫內容
兩種方法連接該數據庫。我們利用ADUC先打開現在的AD庫,把test用戶刪除,其實快照裏有test用戶。來測試不同點。
刪除test用戶後,如下所示:
(一)利用ADUC來連接快照裝據庫:
如下圖所示,用戶確實存在於快照數據庫中。
(二)利用LDP查看:
開始--搜索中輸入ldp,如下所示:
單擊確定後,再次單擊“連接”菜單,選擇綁定(用戶身份,可以當前管理員身份)。
如下繼續:
至此,我們已經成功的查看了快照數據庫的內容。實驗結束。
後記:當我們通過該方式查到了在哪個AD備份中存在我們要還原對象,就可以進入到DSRM下進行AD的授權還原了。此部分內容,各位可以關注我的“活動目錄系列文章”,此處略。
小結:上述不過給各位一個解決問題的方案,快照和DMT是2008添加的新功能,利用它爲我們解決AD的恢復確實提供了很好的幫助,如果我們願意,我們也可以啓用AD的回收站功能,在DS不離線狀態下,實現AD對象的恢復。當然這個功能的前提必須域環境全部是2008R2作DC,且林功能級別必須是Windows 2008R2方可。這部分內容,各位可以參考ccfxny 的http://ccfxny.blog.51cto.com/350339/201840。