在沒有完全 AD 還原的情況下備份和還原 Active Directory 使用者和電腦
在開始之前,我將首先承認你們中的許多人這個問題源於未能遵循與 AD 伺服器的部署和災難恢復有關的最佳實踐。從這件事中學到了很多東西,但現在我只是在重新建立最佳實踐之前嘗試進行損害控制。
目前我有一個 WS2016 域控制器(不幸的是,在我的問題發生之前我未能創建第二個域控制器)。我嚴重搞砸了一些 DNS 修改,我需要回滾到我在設置 AD/DNS/DHCP 角色後不久創建的快照。我的問題是,在這與糟糕的 DNS 問題之間,我沒有任何備份/保存狀態。
我希望單獨備份和恢復不同的組件(例如 GPO、DHCP 配置、系統資料庫和 AD 數據庫(尤其是使用者和電腦)),而不恢復整個保存狀態或伺服器。由於我沒有任何完整備份或保存狀態,包括此問題之前的使用者和電腦,我不相信恢復我擁有的伺服器狀態備份會解決我的問題。
我已經為 GPO、DHCP 配置和系統資料庫創建了單獨的備份。但是,我正在努力弄清楚如何備份和恢復使用者和電腦組件。
我寧願不完全重新開始使用新的 AD,因為遷移使用者會致癌。如果沒有備份和恢復使用者和電腦的方法,我也會對允許我以與恢復的 GPO 兼容的方式手動重新創建每個使用者和電腦的解決方案感到滿意。此外,如果有一種方法可以備份整個 AD 數據庫而不需要完整的伺服器還原,那也是可以接受的。
解決此問題後,我的計劃是設置適當的輔助 DC,安排定期備份,並在每次嘗試修改伺服器之前都需要快照。但是,我需要先處理這個有針對性的恢復。
編輯:原來我的 DNS 問題比我想像的更容易解決。在嘗試載入幾個與 AD 相關的管理單元(例如 DNS 或 Active Directory 管理服務)時,我被拒絕訪問。此外,將新電腦加入域會導致錯誤。這是解決方案:https: //support.microsoft.com/en-us/help/2751452/dns-zones-do-not-load-event-4000-4007
由於此修復,我不再有此備份問題,但我已將 Massimo 的回答標記為對我原來的問題的正確答案,因為很高興知道 AD 的部分/單獨備份是不可能的,並且 DNS 已綁定到 AD 數據庫. 非常注意採取更正常的狀態和完整的伺服器備份!
您不能導出或導入 Active Directory 數據庫的內容;AD 備份只能通過域控制器的系統狀態備份來執行,並且不支持從中提取 AD 數據的方法。
此外,如果您使用 AD 集成的 DNS 區域,則 DNS 數據儲存在 Active Directory 數據庫中;因此,AD 備份還將包括您的“拙劣”DNS 數據,並且恢復它也會恢復它們。