AD粒度恢复前提
AD粒度恢复需要在如下前提下进行:
- 配置NetBackup客户端服务的登录帐户
- 安装和配置用于Active Directory粒度恢复的网络文件系统 (NFS),AD安装NFS之后,禁用并停用“Server of NFS”服务;Master安装NFS之后,禁用并停用“Client of NFS”服务。
- 创建允许Active Directory 还原的策略
创建备份策略
按照如下步骤创建允许AD颗粒恢复的系统状态备份策略。
- 在master管理服务器上面打开Netbackup管理控制台,展开:Netbackup管理——策略;
- 选择策略类型“MS-Windows”,在策略存储处选择可用的存储,然后确认勾选“启用粒度恢复”;
- 为备份策略制定一个策略执行的日程表;
- 指定需要备份的目标域控作为客户端;
- 备份类型选择“System State”。
还原AD账号
按如下步骤还原AD账号。
- 在master管理服务器上面打开“backup,archive,and restore”;
- 依次选择“文件”、“指定Netbackup计算机和策略类型”;
- 选择“用于还原的源客户端”和“用于还原的目标客户端”,并指定“用于还原的策略类型(MS-Windows)”;
- 如果下拉列表中没有需要的客户端对象,可以单击“编辑客户端列表”,进行客户端的添加;
- 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”;
- 随即会为我们打开域控的备份记录,备份记录按时间进行排列,选择在误删除操作之前最近一次的系统状态备份;
- 依次展开System state——Active Directory,然后选择需要还原的对象;
- 点击“开始还原标记的文件”;
- 在弹出的“还原标记的文件”对话框中勾选“重新创建无法从Active以删除对象容器中还原的已删除对象”,点击“开始还原”;
- 提示“还原已成功启动”,询问是否需要查看还原进展,选择“是”;
- 在“查看状态”对话框中可以看到还原已经正常开始(in progress);
- 当还原完成后,状态显示“成功(successfull)”,至此master服务器上的还原工作已经完成;
- 登陆域控上查看,可能会发现用户账号当前为禁用状态;
- 右键选择启用账号时,会提示不能启用对象,原因是需要去更新账号的密码;
- 更改账号密码后,即可正常启用恢复的账号了;
- 查看域内所有域控,检查账号是否都已正常恢复;
- 至此,AD账号的粒度还原工作已经完成。
还原AD组织单位
AD组织单位的恢复操作与AD账号的恢复操作类似:
- 在master管理服务器上面打开“backup,archive,and restore”;
- 依次选择“文件”、“指定Netbackup计算机和策略类型”;
- 选择“用于还原的源客户端”和“用于还原的目标客户端”,并指定“用于还原的策略类型(MS-Windows)”;
- 如果下拉列表中没有需要的客户端对象,可以单击“编辑客户端列表”,进行客户端的添加;
- 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”;
- 随即会为我们打开域控的备份记录,备份记录按时间进行排列,选择在误删除操作之前最近一次的系统状态备份;
- 依次展开System state——Active Directory,然后选择需要还原的对象;
- 点击“开始还原标记的文件”;
- 在弹出的“还原标记的文件”对话框中勾选“重新创建无法从Active以删除对象容器中还原的已删除对象”,点击“开始还原”;
- 提示“还原已成功启动”,询问是否需要查看还原进展,选择“是”;
- 在“查看状态”对话框中可以看到还原已经正常开始(in progress);
- 当还原完成后,状态显示“成功(successfull)”,至此master服务器上的还原工作已经完成;
- 登陆域控上查看,可能会发现用户账号和计算机账号当前为禁用状态;
- 启用组织单位下所有的计算机账号和用户账号(需要先充值密码);
- 查看域内所有域控,检查对象、账号是否都已正常恢复;
- 至此,AD组织单位的粒度还原工作已经完成。
AD系统状态还原
AD系统状态的还原需要进入到目录服务还原模式下进行,如果域内有其他域控,则需要在结合AD授权还原方可完成AD系统状态的还原。
目录服务还原模式下使用Netbackup
先使用Netbackup的备份进行系统状态的还原:
- 重启域控服务器,开机时按“F8”,使用上下键选择“目录服务还原模式”;
- 使用目录服务还原模式密码登陆,进入目录服务还原模式;
- 运行“services.msc”进入到service控制台,查看“Netbackup Client service”服务是否已正常启动,如未正常启动则手动启动该服务;
- 在域控上打开“backup,archive,and restore”;
- 依次选择“文件”、“指定Netbackup计算机和策略类型”;
- 选择“用于还原的源客户端”和“用于还原的目标客户端”,并指定“用于还原的策略类型(MS-Windows)”,由于是系统状态的还原,只能目标客户端选择源客户度;
- 如果下拉列表中没有需要的客户端对象,可以单击“编辑客户端列表”,进行客户端的添加;
- 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”;
- 随即会为我们打开域控的备份记录,备份记录按时间进行排列,选择在误删除操作之前最近一次的系统状态备份;
- 选择“System State”,点击“开始还原标记的文件”;
- 在弹出的“还原标记的文件”对话框“常规选项卡”中勾选“Overwrite existing files”,点击“开始还原”;
- 提示“还原已成功启动”,询问是否需要查看还原进展,选择“是”;
- 在“查看状态”对话框中可以看到还原已经正常开始;
- 同时也可以在master服务器上查看到restore的工作在进行;
- 当还原完成后,状态显示“成功”;
- Netbackup还原工作完成后,不要立即重启服务器,后面还需要通过ntdsutil工具进行授权还原。
目录服务还原模式下授权还原
在使用Netbackup还原系统状态之后,如果立即重启AD域控制器,从系统状态还原回来的AD数据会被同步修改,从而导致系统状态还原失败,所以在进行Netbackup系统状态还原之后,需要进行AD的授权还原。
如下步骤进行AD授权还原:
- 在“目录服务还原模式”下,“开始”——“运行”——输入“cmd”——在命令提示符窗口输入“ntdsutil”,启动ntdsutil.exe程序;
- 在“ntdsutil”提示符下,输入“Authoritative restore”来授权还原AD数据库;
- 在“Authoritative restore”提示符下,输入“restore subtree DC=CONTOSO,DC=COM”进行整个AD域的授权还原;
- 分别在“Authoritative restore:”和“ntdsutil:”提示符下输入quit退出授权还原,授权还原完成;
- 重启域控后进入正常启动模式,等待域控间完成同步;
- 至此,系统状态还原工作完成。