Windows

AD DS 備份和恢復的最佳做法?

  • June 13, 2017

所以微軟聲稱“你不能使用網路共享文件夾作為系統狀態備份的備份目標”,但我看到很多文章表明他們可以使用 wbadmin 從命令提示符處執行此操作。

我的最終目標:

我不關心備份我們的任何域控制器,因為如果一個域控制器死了,我將啟動一個新的域控制器並讓剩餘的域控制器複製到它。然而,我擔心至少要確保我有 AD 的備份,以防我們的整個 AD 基礎設施被淹沒並需要從備份中恢復。

到目前為止,這是我為實現目標所做的工作:

從我的 PDCe 中,我使用以下命令成功備份到網路共享:

wbadmin start systemstatebackup -backuptarget:\srv-backup\b$\srv-dc1

然後我創建了一個這樣的計劃備份:

wbadmin enable backup -addtarget:\srv-backup\b$\srv-dc1 -systemstate -schedule:03:00

第二天,我驗證了計劃的備份已成功完成。

所以這裡有新的問題:

  1. 如何正確備份 AD?我現在的方法正確嗎?
  2. 如果我目前的備份方法在任何給定時間只會產生一個備份(因為它正在備份到網路共享並且每晚都會覆蓋以前的備份),我是否應該考慮讓本地儲存將備份推送到(所以我可以有多個備份),或者我應該以相同的方式備份我的其他兩個 DC;到網路共享(當然要錯開時間表 - 然後我至少會有一個或多個我可以依賴的每日備份)?
  3. 我在社區的另一個執行緒中讀到有人說“從 C:\Windows 備份 NTDS 文件夾”,但我認為這是不必要的,因為它在系統狀態備份期間被備份 - 對嗎?

所以微軟聲稱“你不能使用網路共享文件夾作為系統狀態備份的備份目標”

這是(或曾經是)對舊版作業系統(Vista RTM 和 Server 2008 RTM - 這可能已或未在這些作業系統的服務包或更新中解決)的原始版本的 Windows 備份的限制。Windows 7+/Server 2008 R2+ 可以很好地處理系統狀態備份到網路文件夾。

  1. 如何正確備份 AD?我現在的方法正確嗎?

不可以。備份一個域控制器與備份 Active Directory 不同。 如果一切順利,那麼可以肯定的是,您可能能夠僥倖逃脫。當然,備份僅在一切不順利時才存在,因此在製定備份策略時,您應該始終考慮可能出現的問題。在這種情況下,我看到了兩個主要問題。

  1. 您只備份一個域控制器。如果/當複制中斷到/從該域控制器,或者域控制器是迫使您從備份中恢復的損壞源時,您將不再有實際 Active Directory 的備份。
  2. 一個備份的保留期非常無用。當您意識到自己有問題時,您可能已經用包含問題的副本覆蓋了您的備份。因此,這需要修復,幸運的是,這並不難 - 將備份儲存在以拍攝日期命名的文件夾中。您可能還需要考慮進行增量備份以節省空間。每週完整,每日增量是一種非常常見的策略,可以在磁碟空間和備份恢復的速度/易用性之間取得很好的平衡。
  1. 如果我目前的備份方法在任何給定時間只會產生一個備份(因為它正在備份到網路共享並且每晚都會覆蓋以前的備份),我是否應該考慮讓本地儲存將備份推送到(所以我可以有多個備份),或者我應該以相同的方式備份我的其他兩個 DC;到網路共享(當然要錯開時間表 - 然後我至少會有一個或多個我可以依賴的每日備份)?

如上所述/暗示,您應該每天備份*所有域控制器。*如上所述,將備份放在以日期命名的文件夾中,以防止備份被覆蓋,並考慮增量和/或差異備份以節省空間。

  1. 我在社區的另一個執行緒中讀到有人說“從 C:\Windows 備份 NTDS 文件夾”,但我認為這是不必要的,因為它在系統狀態備份期間被備份 - 對嗎?

你是對的。NTDS(NT 目錄服務)文件夾包含本質上是您的 Active Directory 域的數據庫。系統狀態備份應獲取該文件夾和其中的數據庫。(當然,在您的備份上驗證這一點不會有什麼壞處。)俗話說,未經恢復測試的備份並不是真正的備份。

引用自:https://serverfault.com/questions/769096