如果將Windows Server 2008內建但是預設未安裝的Windows Server Backup工具程式,安裝在Windows Server 2008的網域控制站主機上,將可以作為備份網域控制站的最佳工具,並且可以依照需求選用專屬的圖形管理介面或是Wbadmin.exe命令工具來管理。
在Windows Server 2008的網域控制站備份還原管理中,並沒有像前一版的Windows 2000 Server或Windows Server 2003一樣提供可以只針對系統狀態(System State Data)進行備份與還原的功能。究其原因,是因為Windows Server 2008所要備份的資料,不再只是針對系統狀態資料就可以達成後續還原的目的,而必須針對整個磁區進行重大備份(Critical Volumes)才行。以下將針對整個磁區的重大備份所涵蓋的項目重點做說明:
開機檔案和相關開機設定資料(Boot Configuration Data,BCD)
包括Windows作業系統和登錄檔資料
而所謂的系統狀態內容,則包括登錄檔(Registry)、COM+類別註冊資料庫、開機檔案、Active Directory憑證服務資料庫、Active Directory網域服務資料庫、SYSVOL資料夾、叢集服務資訊、IIS網站的Meta資料以及Windows資源保護的相關檔案。
想要針對網域控制站的整個磁區進行重大備份作業,可以採用Windows Server Backup圖形介面或是Wbadmin.exe命令工具。先來看看前者的相關操作方式。
在「系統管理工具」下拉選單中點選開啟「Windows Server Backup」,緊接著在介面中的「動作」窗格內點選「單次備份」連結,隨後系統將會開啟單次備份精靈介面。由於是第一次執行此備份工具,並且先前從未執行過任何排程備份作業,因此在這個頁面中也僅有一個「不同選項」設定可以選取,此時直接按下〔下一步〕繼續。
請注意!按下〔下一步〕的同時,可能會出現一個警告訊息視窗,告知使用者如果曾經執行過備份作業,必須先還原類別資料(Catalog),否則可能會遺失這部分的資訊。如果是第一次執行,當然就可以忽略掉此警示,按下〔是〕按鈕繼續。
接著,在「選取備份設定」頁面中依照實際需求選擇「完整伺服器」備份或「自訂」備份。一般來說,如果此伺服器中包含其他重要的應用程式,或是同時擔任檔案伺服器,便會選擇「完整伺服器」進行備份,如果只是單純的網域控制站角色,或是只想要備份特定磁碟分割區中的資料時,則可以點選「自訂」。決定何種備份之後再按下〔下一步〕按鈕。
 |
| ▲選取備份項目 |
接著在「選取備份項目」頁面中選擇所要備份的磁區來源,如上圖所示其中的系統磁碟無法取消選取,請務必勾選「啟用系統修復」項目。此外,如果備份儲存檔的位置也在本機電腦的其他磁碟中,理所當然地,這個磁碟是不可以選取的。隨後按下〔下一步〕繼續下面的設定。
由於所執行的是單次備份作業,因此在接下來的「指定目的地類型」頁面中,可以選擇備份到「本機磁碟機」或是網路中其他電腦的共用路徑。如果選擇後者,就必須確認此電腦目前可以正常連線,並且有足夠的權限可以將備份資料寫入到此位置中。設定好了之後按下〔下一步〕繼續。
接著來到「選取備份目的地」頁面,在此除了所選取的磁碟剩餘容量必須大於備份項目之外,也可以選擇備份至可燒錄的DVD或CD磁碟機中,只是在備份過程中可能需要用掉好幾片空白片。按下〔下一步〕繼續切換到「指定進階選項」頁面內,選擇「VSS複製備份」選項再按下〔下一步〕按鈕。
在「確認」頁面中,可針對前面所有的設定值做最後的確認,確認沒有問題之後,再按下〔備份〕按鈕開始備份。在「備份進度」頁面中會顯示整個備份的進度與說明,一般會從建立磁碟陰影複製的程序開始,等確認建立無誤之後才會備份相關資料。
在備份的過程中可以按下〔關閉〕按鈕,因為系統仍然會在背景中持續完成備份的作業。如果在前面關閉了備份進度視窗,那麼在回到Windows Server Backup主視窗之後,仍然可以看到備份進度的訊息顯示。
採用Wbadmin.exe命令工具進行備份
接下來看看如何透過Wbadmin.exe命令工具執行重大備份作業。如下頁圖所示可以輸入「wbadmin start backup -allCritical -backuptarget:磁碟代號: -quiet」命令格式開始備份,而整個備份過程的進度也會在此視窗內顯示。
然而,無論是透過圖形介面或是採用命令工具來備份,在備份過程中仍然可能出現錯誤。舉例來說,如果磁碟陰影複製功能(VSS)無法正常被執行時,將會出現錯誤訊息而導致備份過程被迫中止。
 |
| ▲採用命令工具執行重大備份 |
若想要完整得知備份的過程為何會發生失敗,並找出相對應的解決方法,可以透過事件檢視器來查詢。可在事件檢視器中的「Windows記錄」→「應用程式」項目內查看錯誤事件的內容說明,想要查看更詳細的資訊,可以點選「事件日誌線上說明」連結,以及透過「詳細資料」頁面來進行了解。
網域控制站主機的還原
完成網域控制站重大資料的備份作業之後,如果目前是在一個測試性的環境中,那麼便可以嘗試刪除一些Active Directory中的物件,例如自訂的組織容器、電腦物件或是使用者帳戶等等,然後再還原網域控制站目錄資料庫。
 |
| ▲啟動目錄服務還原模式 |
想要還原目錄服務資料庫的相關資料,通常都會在剛開機之後立即按下鍵盤上的按鍵,此刻系統便會開啟如左下圖所示的「進階開機選項」頁面,請在此頁面中選取「目錄服務還原模式」項目,然後再按下Enter按鍵繼續。
| TIPS |
| 除了可以重新開機按下F8按鍵選擇進入「目錄復原還原模式」之外,也可以在重新開機之前,在命令提示列輸入「bcdedit/set safeboot dsrepair」命令參數,讓系統自動重新開機進入此模式。 |
完成開機進入登入頁面時,將無法以網域管理員的身分來登入,而必須改用其他帳戶來登入,所以輸入「.\Administrator」為使用者帳戶名稱,並鍵入當時在建立升級成網域控制站時所輸入的目錄服務還原模式的密碼來登入,關於這一點讀者需要特別留意。
 |
| ▲先查看備份的歷程記錄 |
成功登入到目錄服務還原模式之後,先開啟命令提示列視窗,然後如上圖所示輸入「wbadmin get versions -backuptarget:
: -machine:」命令格式先查看各時間點的備份紀錄,其中「-machine」參數不一定要輸入,除非儲存備份檔案的位置在網路中其他電腦的磁碟內,才需要鍵入參數。
得知所要還原的備份資料時間點資訊之後,可以如下圖所示輸入「wbadmin start systemstaterecovery -version: -backuptarget:: -machine: -quiet」命令格式,針對指定的時間點備份資料進行還原。
 |
| ▲針對指定時間點的還原 |
整個還原過程中,系統會先確認和處理備份資料,最後再執行備份檔案中資料回復作業。在成功還原整個目錄服務系統狀態之後,立即重新開機。
| TIPS |
| 還原目錄復原還原模式的網域控制站台資料之後,建議直接下達「bcdedit /deletevalue safeboot」命令參數,讓系統自動以正常啟動的模式完成開機作業。至於在立即重新開機的指令部分,則可以輸入「shutdown -t 0 -r」。 |
還原目錄服務系統狀態並重新開機之後,就完成了目錄服務系統狀態的還原作業,請按下按鍵繼續。關於Wbadmin.exe命令的使用方法,在命令提示列中輸入「/?」參數,就能得知有那些可用的基本命令。如果想進一步了解特定命令參數的用法,例如系統狀態的復原方法,輸入命令「wbadmin start systemstaterecovery /?」即可得知。
使用Active Directory資料庫掛載工具
Active Directory 資料庫掛載工具(Active Directory Database Mounting Tool)是Windows Server 2008繼Ntdsutil命令工具之後,所推出的全新Active Directory 資料庫維護工具。
藉由這一個工具,管理員可以針對儲存在Active Directory Domain Services(AD DS)或Active Directory Lightweight Directory Services(AD LDS)中的資料,進行快照(Snapshots)的建立或檢視,而不需要重新啟動網域控制站或是AD LDS伺服器。
然而,有關於這一項針對Active Directory資料庫快照功能的使用,則是結合Windows Server 2008內建的磁區陰影複製服務功能(Volume Shadow Copy Service)來完成。
使用這個Active Directory資料庫掛載工具(Dsamain.exe),對網管人員在平日的網域資料庫維護上有什麼幫助呢?對有經驗的IT人員來說,想必會感覺到在還原處理網域資料庫時更加方便,也就是說,還原資料庫之前,起碼可以先比對現有運作中資料與快照備份資料的新舊版本,再來決定是否要還原所遺失的資料。
接下來將說明如何透過Active Directory資料庫掛載工具,建立資料庫快照清單、掛載資料庫以及檢視資料庫內容。
任何Windows Server 2008只要已經安裝好Active Directory Domain Services(AD DS)或Active Directory Lightweight Directory Services(AD LDS)伺服器角色,便可以使用以下幾個內建的管理工具:
這個新增的Snapshot操作選項,可以讓管理員建立快照、顯示快照清單、掛載或卸載AD DS與AD LDS資料庫。
透過此工具可將指定的快照資料庫,連接成為一個自訂通訊埠的LDAP伺服器。
這兩個工具都可以用來檢視唯讀並且已經掛載的AD DS與AD LDS資料庫內容,讓管理員比較不同快照備份的內容。
請注意!在預設的狀態下,只有Domain Admins與Enterprise Admins群組的成員才能夠檢視Active Directory快照資料,因為這其中包含了許多足以影響整個IT基礎營運的敏感資料(AD DS),然而如果想要從一個已經刪除的舊網域或樹系中檢視快照資料,則可以在執行Dsamain.exe命令工具時,設定允許非系統管理員的使用者存取快照資料。
手動建立快照備份
建立快照資料時,可以採用單次手動執行或排程設定的方式來定時建立。接下來先介紹手動建立Active Directory資料快照的方法。
在〔開始〕→【命令提示列】上按下滑鼠右鍵,然後點選快速選單中的【以系統管理員身分執行】。接著會以系統管理員身分開啟命令提示字元視窗,輸入「ntdsutil」並按下按鍵,然後在「ntdsutil:」的提示字元下輸入「snapshot」再按下,此刻提示字元將會變成「快照:」。緊接著輸入「activate instance ntds」並按下按鍵,最後再執行「create」命令,便可以完成快照的建立。
完成每一個時間點的快照建立時,請注意它都會有專屬的快照序號的唯一識別碼,至於後續如果想要透過LDP命令工具或Active Directory使用者與電腦的工具來進行存取時,事前便需要執行如下圖所示的第一行命令,透過「mount」命令搭配「快照的序號」來掛載此快照的資料庫。若想要知道目前已經掛載哪些快照資料,輸入「list mounted」命令即可查看。想要卸載某一指定的快照資料庫項目,則輸入「unmount」命令搭配此「快照的序號」。
 |
| ▲掛載或卸載指定的快照 |
至於快照命令提示字元下的指令用法,直接輸入「?」然後按下Enter按鍵即可得知。範例中筆者接著輸入「list all」來查看目前所有快照項目的資訊。也可以透過delete指令來刪除特定的快照資料項目。
需留意的是,在快照的資料項目清單中,會看到在每一個資料快照項目中都有兩組不同的序號(快照索引編號與GUID),這兩組不同的序號都可以作為快照項目掛載與卸載時的參數值。
 |
| ▲連接快照資料庫的LDAP伺服器 |
完成掛載特定快照資料庫之後,便可以藉由執行Dsamain.exe命令工具,將所連接的快照資料庫變成一個獨立的LDAP伺服器執行個體。如上圖所示可以透過「dsamain /dbpath /ldapport 」命令格式來完成這項操作。
在執行Dsamain.exe命令工具時,可能會出現錯誤訊息。問題發生的原因可能是所指定的快照資料庫尚未掛載,或是輸入的掛載資料路徑不符合,以至於最後會出現「File not found」的錯誤訊息,此時建議回到前面的步驟中使用「list mounted」來查看正確的資訊。
結合排程建立快照備份
上述介紹的Active Directory資料庫的快照建立方式,都是透過手動輸入命令的方式來建立,如果想要定時建立快照,便需要結合系統內建的「工作排程器」才行。
點選桌面上的〔開始〕→【附屬應用程式】,然後在子選單中開啟「工作排程器」。隨後在Windows Server 2008內建的工作排程器工具操作介面中,點選「動作」窗格內的「建立工作」連結。
接著開啟「建立工作」的視窗,在「一般」頁面中輸入一個唯一的識別名稱,然後在「安全性選項」中自行決定此工作的執行、所要使用的帳戶,以及是否需要在使用者本機登入時才執行等組態。
 |
| ▲工作排程設定 |
接下來切換到「觸發程序」頁面中,點選其中的〔新增〕按鈕,開啟如左下圖所示的「新增觸發程序」頁面,將「開始工作」欄位中點選為【在排程上】,然後根據實際排程備份需求來設定每天、每週或是每月的定時快照備份的建立時間點。而在下方的進階設定區域內,則可以進一步設定重複工作執行的間隔時間、工作執行時間超過多久時自動停止,以及此工作排程執行的到期日與時間等等。
在完成新增觸發程序後的頁面中,可以清楚看到狀態欄位中已啟用的提示,表示目前這個工作所設定的排程會如期執行,後續如果需要修改剛剛所設定的工作排程,只要在選取程序項目之後按下〔編輯〕按鈕即可。
 |
| ▲設定NTDSUTIL啟動命令參數 |
接下來切換到「動作」頁面內,同樣新增一個執行動作,點選之後將開啟如上圖所示的頁面。先在「執行」下拉選單中點選【啟動程式】,接著按下〔瀏覽〕按鈕找出預設的「C:\Windows\System32\ntdsutil.exe」檔案,並且在「新增引數」欄位內輸入「"activate instance ntds" snapshot create quit quit」,最後按下〔確定〕就完成新增的動作。
然後繼續切換到「條件」頁面中,這裡可以設定執行此工作的時機為何,可以設定只有當電腦閒置到指定的時間之後才執行,或是只有在指定的網路能夠連線時才執行等等。最後繼續切換到「設定」頁面內,針對工作的執行設定一些進階的處理動作,例如當工作執行失敗時每隔多久自動重新啟動、若工作執行時間大於以下值即停止等等。
完成上述幾個針對於排程工作的設定之後,便可以針對這個工作項目,在「動作」窗格中點選〔內容〕來修改前面的設定,或是點選〔執行〕讓此工作立即執行(通常第一次完成工作排程設定時,會先執行一次來測試是否能夠正常運作)。必要的話,還可以點選〔停用〕讓此工作排程的執行暫停。至於此工作目前的執行詳細狀態與執行過的歷史記錄,則可以切換到〔歷史記錄〕活頁標籤內查看。
使用Ldp.exe命令工具 存取快照資料庫
完成快照資料掛載Active Directory資料庫之後,接下來先說明如何透過LDP.exe這個內建的命令工具的連線,來檢視快照的Active Directory資料庫內容。在桌面上依序點選〔開始〕→【執行】,然後在「開啟」欄位內輸入「LDP」並按下〔確定〕按鈕。接著會開啟LDP專屬的圖形操作介面,在「連線」下拉選單中點選【連線】。
開啟「連線」設定視窗後,在「伺服器」欄位內輸入「localhost」或是本機的電腦名稱,並於「連接埠」欄位中輸入之前透過dsamain所自訂的通訊埠號碼(例如51389),再按下〔確定〕按鈕。隨後,確定與LDAP執行個體成功連線後,在「連線」下拉選單中點選【繫結】選項。
開啟「繫結」設定頁面之後,繫結類型的設定可以選擇採用預設的「以目前登入使用者身分繫結」或「利用認證繫結」來進行繫結,設定完成之後按下〔確定〕。完成繫結動作之後,接下來點選「檢視」下拉選單中的【樹狀目錄】,準備瀏覽快照的Active Directory資料庫內容。
執行樹狀檢視之後將會開啟一個新頁面,請在基準DN欄位中輸入以LDAP格式的路徑表示法,例如「msft.com」就輸入「dc=msft,dc=com」。完成輸入之後按下〔確定〕。
成功連線到指定的快照樹系名稱之後,就可以在此樹狀目錄中展開各節點來瀏覽相關容器與物件的詳細資訊內容了。
以Active Directory使用者與電腦開啟快照資料庫
系統管理員除了能夠利用LDP的簡易圖形介面來瀏覽快照的資料庫內容之外,也可以透過平日最常使用的「Active Directory使用者與電腦」連線這個暫時的LDAP伺服器。從系統管理工具中開啟Active Directory使用者與電腦介面之後,請在最上層的節點上按下滑鼠右鍵,然後點選快速選單中的【變更網域控制站】。
執行「變更網域控制站」選項之後將會開啟「變更目錄伺服器」頁面,選取「這個網域控制站或AD LDS執行個體」設定,之後在下方的名稱欄位中輸入本機的電腦名稱與通訊埠號碼(如Server:51389),然後按下〔確定〕按鈕。請記得,在這個唯讀的操作介面中,只能夠瀏覽其中的各項容器與物件屬性內容,而無法新增、刪除或修改。