Windows Server 2008 R2 AD备份与恢复实战

本文档详细介绍了在Windows Server 2008 R2环境中如何执行Active Directory (AD)的备份与恢复操作。主要内容包括了非授权还原和授权还原两种方法，以及如何更改TombstoneLifeTime时间以恢复更久远的AD数据库记录。 在Windows Server 2008 R2中，AD的备份可以通过内置的Windows Server Backup工具来实现系统状态的备份。然而，恢复AD通常更为复杂，特别是在生产环境中，当Domain Controller (DC)因硬件故障等原因崩溃时。在这种情况下，可以选择系统重建或裸机恢复。系统重建是指在域内存在正常DC的情况下，重新安装Windows Server 2008并提升其为AD，通过复制操作使DC恢复正常。裸机恢复则依赖于预先进行的系统备份。 非授权还原是使用Windows Server Backup直接进行的恢复操作，恢复后的DC对象序列号回滚至备份时的状态。重启后，DC会从其他DC复制更新的数据。而授权还原则需要结合NTdsUTIL工具，在非授权还原之后，服务器重启前运行Ntdsutil，设置对象的序列号高于域中所有对象的序列号，以防止数据冲突，确保数据正确复制到其他DC。 此外，文档还提到了利用Windows Server 2008 R2的“活动目录回收站”功能，可以更加灵活地恢复被删除的对象。实验环境是在名为Win2008R2CNDC的DC上进行，实验要求包括使用Wbadmin工具进行备份和还原，以及调整TombstoneLifeTime设置。 实验步骤详细列出了如何执行这些操作，包括使用Wbadmin进行系统状态备份，通过F8启动目录还原模式，使用wbadmingetversions获取备份版本标识，然后使用wbadminstartsystemstaterecovery进行非授权还原。接着，使用Ntdsutil进行授权还原，指定要恢复的对象。最后，通过ADsiedit.msc修改TombstoneLifeTime，以恢复更旧的AD记录，因为默认情况下，只有在180天内的记录才能被恢复。 总结起来，此文档提供了关于Windows Server 2008 R2环境下AD备份和恢复的实用指南，涵盖了备份策略、恢复方法以及高级恢复技巧，对于管理员在处理DC故障和数据保护方面具有重要的参考价值。