NBU备份恢复AD操作指引​

AD粒度恢复前提

AD粒度恢复需要在如下前提下进行：

1. 配置NetBackup客户端服务的登录帐户

2. 安装和配置用于Active Directory粒度恢复的网络文件系统 (NFS)，AD安装NFS之后，禁用并停用“Server of NFS”服务；Master安装NFS之后，禁用并停用“Client of NFS”服务。

1. 创建允许Active Directory 还原的策略

创建备份策略

按照如下步骤创建允许AD颗粒恢复的系统状态备份策略。

1. 在master管理服务器上面打开Netbackup管理控制台，展开：Netbackup管理——策略；

2. 选择策略类型“MS-Windows”，在策略存储处选择可用的存储，然后确认勾选“启用粒度恢复”；
3. 为备份策略制定一个策略执行的日程表；
4. 指定需要备份的目标域控作为客户端；
5. 备份类型选择“System State”。

还原AD账号

按如下步骤还原AD账号。

1. 在master管理服务器上面打开“backup,archive,and restore”；
2. 依次选择“文件”、“指定Netbackup计算机和策略类型”；
3. 选择“用于还原的源客户端”和“用于还原的目标客户端”，并指定“用于还原的策略类型（MS-Windows）”；
4. 如果下拉列表中没有需要的客户端对象，可以单击“编辑客户端列表”，进行客户端的添加；
5. 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”；
6. 随即会为我们打开域控的备份记录，备份记录按时间进行排列，选择在误删除操作之前最近一次的系统状态备份；
7. 依次展开System state——Active Directory，然后选择需要还原的对象；

8. 点击“开始还原标记的文件”；
9. 在弹出的“还原标记的文件”对话框中勾选“重新创建无法从Active以删除对象容器中还原的已删除对象”，点击“开始还原”；

10. 提示“还原已成功启动”，询问是否需要查看还原进展，选择“是”；
11. 在“查看状态”对话框中可以看到还原已经正常开始（in progress）；
12. 当还原完成后，状态显示“成功（successfull）”，至此master服务器上的还原工作已经完成；

13. 登陆域控上查看，可能会发现用户账号当前为禁用状态；
14. 右键选择启用账号时，会提示不能启用对象，原因是需要去更新账号的密码；
15. 更改账号密码后，即可正常启用恢复的账号了；
16. 查看域内所有域控，检查账号是否都已正常恢复；

17. 至此，AD账号的粒度还原工作已经完成。

还原AD组织单位

AD组织单位的恢复操作与AD账号的恢复操作类似：

1. 在master管理服务器上面打开“backup,archive,and restore”；
2. 依次选择“文件”、“指定Netbackup计算机和策略类型”；
3. 选择“用于还原的源客户端”和“用于还原的目标客户端”，并指定“用于还原的策略类型（MS-Windows）”；
4. 如果下拉列表中没有需要的客户端对象，可以单击“编辑客户端列表”，进行客户端的添加；
5. 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”；
6. 随即会为我们打开域控的备份记录，备份记录按时间进行排列，选择在误删除操作之前最近一次的系统状态备份；
7. 依次展开System state——Active Directory，然后选择需要还原的对象；

8. 点击“开始还原标记的文件”；
9. 在弹出的“还原标记的文件”对话框中勾选“重新创建无法从Active以删除对象容器中还原的已删除对象”，点击“开始还原”；
10. 提示“还原已成功启动”，询问是否需要查看还原进展，选择“是”；
11. 在“查看状态”对话框中可以看到还原已经正常开始（in progress）；
12. 当还原完成后，状态显示“成功（successfull）”，至此master服务器上的还原工作已经完成；
13. 登陆域控上查看，可能会发现用户账号和计算机账号当前为禁用状态；

14. 启用组织单位下所有的计算机账号和用户账号（需要先充值密码）；
15. 查看域内所有域控，检查对象、账号是否都已正常恢复；
16. 至此，AD组织单位的粒度还原工作已经完成。

AD系统状态还原

AD系统状态的还原需要进入到目录服务还原模式下进行，如果域内有其他域控，则需要在结合AD授权还原方可完成AD系统状态的还原。

目录服务还原模式下使用Netbackup

先使用Netbackup的备份进行系统状态的还原：

1. 重启域控服务器，开机时按“F8”，使用上下键选择“目录服务还原模式”；

2. 使用目录服务还原模式密码登陆，进入目录服务还原模式；
3. 运行“services.msc”进入到service控制台，查看“Netbackup Client service”服务是否已正常启动，如未正常启动则手动启动该服务；

4. 在域控上打开“backup,archive,and restore”；
5. 依次选择“文件”、“指定Netbackup计算机和策略类型”；
6. 选择“用于还原的源客户端”和“用于还原的目标客户端”，并指定“用于还原的策略类型（MS-Windows）”，由于是系统状态的还原，只能目标客户端选择源客户度；
7. 如果下拉列表中没有需要的客户端对象，可以单击“编辑客户端列表”，进行客户端的添加；
8. 依次选择“文件”、“选择要还原的文件和文件夹”和“正常备份”；
9. 随即会为我们打开域控的备份记录，备份记录按时间进行排列，选择在误删除操作之前最近一次的系统状态备份；
10. 选择“System State”，点击“开始还原标记的文件”；

11. 在弹出的“还原标记的文件”对话框“常规选项卡”中勾选“Overwrite existing files”，点击“开始还原”；

12. 提示“还原已成功启动”，询问是否需要查看还原进展，选择“是”；
13. 在“查看状态”对话框中可以看到还原已经正常开始；
14. 同时也可以在master服务器上查看到restore的工作在进行；
15. 当还原完成后，状态显示“成功”；

1. Netbackup还原工作完成后，不要立即重启服务器，后面还需要通过ntdsutil工具进行授权还原。

目录服务还原模式下授权还原

在使用Netbackup还原系统状态之后，如果立即重启AD域控制器，从系统状态还原回来的AD数据会被同步修改，从而导致系统状态还原失败，所以在进行Netbackup系统状态还原之后，需要进行AD的授权还原。

如下步骤进行AD授权还原：

1. 在“目录服务还原模式”下，“开始”——“运行”——输入“cmd”——在命令提示符窗口输入“ntdsutil”，启动ntdsutil.exe程序；
2. 在“ntdsutil”提示符下，输入“Authoritative restore”来授权还原AD数据库；
3. 在“Authoritative restore”提示符下，输入“restore subtree DC=CONTOSO,DC=COM”进行整个AD域的授权还原；
4. 分别在“Authoritative restore：”和“ntdsutil：”提示符下输入quit退出授权还原，授权还原完成；

1. 重启域控后进入正常启动模式，等待域控间完成同步；
2. 至此，系统状态还原工作完成。