Duke的隨手札記

2015/03/26

備份、還原 AD、DC

Filed under: Windows Server — jj8113 @ 12:24:29

閱讀本篇前,請先瞭解一件事,那就是最保護 AD 資料庫安全的作法,應該是要有第二部 DC 來複寫第一部 DC 的資料庫(GC、DNS),兩部互相備援。如果第一部 DC (或是擔任五大角色的 DC) 掛點導致無法開機,由於 DC2 保有 DC1 的資料庫的關係,我們應該要立即在正常的環境(不是目錄還原模式)下登入 DC2 (或備援的 DC) 去奪取 AD 五大角色。然後以命令刪除 DC1 的相關資料。此時,DC1 無論用任何方式復原成功後都絕對不能再上線了 (DC1 若上線會以為自己還保有五大角色,進而導致衝突。讓 AD 環境錯亂,甚至 AD 資料庫損毀)。只能將 DC1 格式化重新安裝,然後加入網域,才是最安全的做法。

上面提到的是正常情況下,同時有兩部 DC 可以相互備援的正規作法。但如果現在經費拮据,只有一部 DC,也是可以在深夜大家下班時間用 Windows Server Backup 做單機備份(第一次須完整備份,第二次可設為增量備份)整個系統及 AD 資料庫的方式來進行。以下介紹為備份整個磁區及所有設定,並不僅限於備份在 AD 所建議的網域使用者而已。當然,AD 的資料庫、記錄檔、SYSVOL 的內容存放在哪邊,也必須要先查清楚,才不會沒備份到。

另外,如果 AD 主機硬體升級或是新購了一台硬體配置較高的主機,以筆者的備份方式,也可以讓整部 AD 主機無痛轉移。只是缺點是這部 AD 可能需要停機一個小時左右就是了… 當然,如果只是日常的系統、資料備份,那大可以設定排程備份,在深夜的時候自動執行就好了。

其實不光是 AD,DC、Exchange 等,只要是 Winodws Server 都可以用這種方式來做復原。簡單的來說,要管理得好、運作穩定,就是只能勤於備份了。

1.首先我們看到網域的使用者帳戶共有 TEST1、TEST2 兩個網域帳戶:

2.接著我們開始做整個磁區的備份動作,建議是備份到如 NAS 上。如果公司沒有 NAS,那就備份到另一個槽或是存到其他硬碟裡吧:

3.備份完成後,我們來測試一下。這邊筆者又另外加入了 TEST3、TEST4 兩個網域帳戶。也就是現在已經變成了 TEST1、TEST2、TEST3、TEST4 四個網域帳戶:

4.開始還原:

5.還原完成後又變回只有 TEST1、TEST2 兩個網域帳戶:

上述以網域使用者的方式來表現,只是為了可以呈現確保 AD 主機的設定可以被完整備份及還原而已。更重要的是購入新主機的時候也可以無痛轉移,是挺好的備份方式。購入新主機的並需要做轉移的時候,絕對是需要手動操作的,所以停機可能在所難免…

回首頁 回首頁

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表評論

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

你正使用 WordPress.com 帳號留言。 登出 / 變更 )

Twitter picture

你正使用 Twitter 帳號留言。 登出 / 變更 )

Facebook照片

你正使用 Facebook 帳號留言。 登出 / 變更 )

Google+ photo

你正使用 Google+ 帳號留言。 登出 / 變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: