AD伺服器 Exchange Server 還原 備份 演練 業務持續營運

Active Directory事關重大 DC全機保護不可少

實戰AD備份還原演練 防範網域控制站主機故障

2020-06-22
以Active Directory整合Exchange Server,可以讓IT管理工作更輕鬆,但是當網域控制站的主機不幸發生故障時,包括Exchange Server在內的所有相關聯的系統全都會無法正常運行。因此,除了備份Exchange Server之外,確實做好Active Directory的備份、還原以及演練才是最重要的管理事項。

 

凡是部署於企業內網的微軟解決方案,幾乎都是相依在Active Directory的基礎架構上運行,其中最典型的就是Exchange Server。這樣的架構優勢在於,可以簡化IT部門集中管理帳號、密碼、信箱、通訊錄、主機、資料夾共享、印表機共享以及安全性配置等需求。不過,相對的風險則是一旦網域控制站(DC)的主機發生故障,包括Exchange Server在內的所有相關聯的系統通通都會出現無法正常運行的問題。因此,可別只顧著備份Exchange Server,確實做好Active Directory的備份、還原以及演練才是首要的任務。

Active Directory的架構優勢

是否需要讓組織的E化架構在Active Directory的運行基礎之上,一直以來,都是IT人員熱門的討論話題。就筆者二十多年來的實務觀點而言,採用Active Directory為IT運行基礎的根本原因,在於帳戶與密碼的集中管理,其他則都是屬於附加的價值。因為對一個擁有75台用戶端與2台伺服器主機的小型企業來說,通常只會配置一位全職的IT人員負責管理。此人員除了要面臨每天處理不完的用戶端軟硬體問題外,若還要管理所有電腦中的帳號與密碼的新增、刪除以及修改等需求,IT救火的生涯肯定會埋沒此人員在公司的價值。

為此,IT人員才需要部署一個Active Directory的架構環境,讓所有的人員都只要一組帳號與密碼,就可以依據權限配置的不同來存取公司網路內的所有資源,包括共享資料夾、印表機、網站、應用程式等等。如此一來,不只提升了IT人員的管理效率,更大幅簡化了人員的使用經驗。

上述僅僅說明了採用Active Directory架構的基本效益,如果進一步讓它與Microsoft其他應用系統的整合,便能夠看見它更多的優勢。

Active Directory整合Exchange Server

就以Active Directory整合Exchange Server的管理而言,便可以讓管理員在現行的網域帳號中啟用信箱功能,還能夠藉由部署DAG功能來達到網域中多台Exchange Server之間信箱資料庫的熱備援機制。

除此之外,包括企業通訊錄、動態通訊錄、動態傳輸規則、Edge Server部署以及整合AD RMS郵件加密、整合Skype Server for Business即時訊息、整合SharePoint Server企業入口網站等等,全部都得在Active Directory架構下才能正常運行。

關於Active Directory所提供的相關功能與整合產品,當然不只於上述所介紹的,重點是任何以它為基礎所運行的應用程式,雖然都可以同時讓管理員和用戶得到好處,但必須加以防範的是,萬一用戶或群組的帳號誤刪,或是網域控制站主機損毀等狀況發生,恐怕也會同一時間危及所有相關應用程式的正常運行。以Exchange Server來說,在這種情境之下所有用戶可能連他們自己的信箱都無法連線登入,更別談其他功能的使用了。

有鑑於此,管理員必須預先為Active Directory施打兩支預防針。第一支就是在同一個站台(Site)的網域內,部署兩部以上的網域控制站;第二支則是定期備份Active Directory並實際演練災害重建。只要確實打了上述兩支預防針,就足以應付任何突如其來的天災人禍。

關於第一支預防針的準備,可參考網管人先前的文章。至於第二支預防針,就在接下來的內容中進行實戰學習。

AD資源回收筒的準備

之前曾介紹過有關於Exchange Server信箱的備份與還原,只要有確實做好備份,即便用戶已從信箱中徹底刪除郵件,仍然能夠從復原信箱資料庫(RDS)內還原整個信箱或選定的郵件。而對Active Directory中所建立的帳號、群組以及連絡人等物件,如果已刪除是否也可以進行還原呢?答案是可以的,預設只要在刪除後的180天之內,就可以從資源回收筒進行還原。不過,這裡所說的資源回收筒(Recycle Bin),可不是Windows桌面上的那個資源回收筒,而是Active Directory所提供的資源回收筒。

記得在Windows Server尚未提供Active Directory的資源回收筒功能以前,萬一發生IT人員誤刪使用者帳戶的情況,就必須透過ntdsutil命令或LDP介面工具,以較為複雜的操作方式進行還原。如今,只要透過GUI操作介面或PowerShell命令,便可以輕易地查詢與還原已刪除的物件。

在開始操作Active Directory的資源回收筒功能之前,必須先確定目前的樹系等級至少是Windows Server 2012以上版本,關於這部分,如圖1所示,可以從「Get-ADForest lab04.com」命令的執行結果,來查看「ForestMode」欄位設定值。在此範例中,顯示了目前的樹系等級已是Windows Server 2016,因此是符合系統需求的。

圖1  查詢AD樹系等級。

如果發現查詢的結果是顯示Windows 2008R2Forest或更舊的版本,則可以考慮將它升級。升級的命令參數可以參考以下範例:

Set-ADForestMode -Identity lab04. com -ForestMode Windows2012Forest

必須注意的是,樹系的等級是否能夠升級,還得根據網域中是否有相對應的Windows Server網域控制站版本,並且一旦完成升級就無法降級。

確認樹系的等級沒有問題之後,到「Server Manager」介面中,在「Tools」選單下開啟「Active Directory Administrative Center」。選取想要啟用Active Directory資源回收筒功能的網域後,如圖2所示,即可點選「Tasks」窗格內的「Enable Recycle Bin」功能。必須留意的是,此項功能在所選取的網域啟用後就無法停用。

圖2  Active Directory管理中心。

除了可以經由「Active Directory Administrative Center」介面來啟用ctive Directory資源回收筒功能外,若是所在的網域控制站是建立在Server Core作業模式之下,也可以改為執行以下的PowerShell命令參數來完成,如圖3所示:

Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'lab04.com' -Server DC01

圖3  啟用AD資源回收筒功能。

無論是經由圖形操作介面,還是命令介面來完成啟用,對於現行已開啟的「Active Directory Administrative Center」介面都必須重新整理,才能夠看到相關的功能選項。此外,若是將Active Directory資源回收筒功能啟用在整個樹系(Forest),則其下的所有網域控制站必須在完成複寫後,才能開始使用此項功能的操作。

使用AD資源回收筒

成功啟用Active Directory資源回收筒功能後,接下來就能夠在「Active Directory Administrative Center」介面中,如圖4所示,嘗試透過滑鼠右鍵選單來刪除(Delete)一個網域帳號或是群組。當然,同樣的操作方式也可以在「Active Directory Users and Computers」介面中進行。

圖4  使用右鍵功能來管理帳號。

如果想要以PowerShell命令來完成相同操作,執行Remove-ADObject命令搭配相關參數,即可刪除網域內任何可允許刪除的物件。此外,若想要直接刪除選定類型的物件,例如帳號、群組或是組織容器等等,改成執行相對應的命令,例如Remove-ADUser、Remove-ADGroup、Remove-ADOrganizationalUnit等等,在命令參數設定上會更加簡單。例如,要刪除一個名為「HRAdmin」的帳號時,只要執行「Remove-ADUser -I HRAdmin」命令即可完成。

對於那一些已經刪除的Active Directory物件,只要在PowerShell命令視窗中執行「Get-Adobject –Includedeletedobjects」命令參數就能夠呈列出來。若想要篩選特定條件的物件,建議參考如圖5所示的以下命令範例,透過結合-Filter參數設定來篩選物件,常見的篩選設定值有Displayname、Title、Department、Manager:

Get-Adobject -Filter {Displayname-eq "HRAdmin"} –Includedeletedobjects

圖5  查看已刪除的帳號。

除此之外,在「Active Directory Administrative Center」介面中,如圖6所示展開至「Deleted Objects」頁面,就能夠查看到所有已刪除的物件。可以選定任何已刪除的物件,再點選「Tasks」窗格中的「Restore」功能來完成還原。一旦還原之後,便會出現在此物件原有的容器位置。

圖6  查看已刪除的帳號。

針對Active Directory已刪除物件的還原,一樣可以透過PowerShell命令來進行。如圖7所示,便是還原名為「HRAdmin」的帳號,並查詢是否已經成功還原:

Get-Adobject -Filter {Displayname -eq "HRAdmin"} -Include deletedob jects | Restore-ADObject Get-Adobject -Filter {Displayname -eq "HRAdmin"}

圖7  以命令還原已刪除的帳號。

自訂AD物件保存期限

在Active Directory系統預設的狀態下,任何已刪除物件的保存期限皆為180天(包括帳號、群組、連絡人等等),只要在期限內,都可以還原選定的物件。若希望延長或縮減期限,在Windows PowerShell的「Active Directory模組」介面中,修改並執行下列命令範例即可。此PowerShell命令參數是針對lab04.com的網域,設定了90天的已刪除物件的保存期限:

Set-ADObject -Identity "CN= Directory Service,CN=Windows NT,C N=Services,CN=Configuration,DC=lab 04,DC=com" -Partition "CN=Configur ation,DC=lab04,DC=com" -Replace: @{"TombstoneLifeTime"=90}

想要查詢選定網域對於已刪除物件的保留天數設定,如圖8所示,可參考以下命令參數:

Get-ADObject -Identity "CN= Directory Service,CN=Windows NT ,CN=Services,CN=Configuration,D C=lab04,DC=com" -Partition "CN =Configuration,DC=lab04,DC=com" -Properties TombstoneLifeTime

圖8  查詢已刪除物件保留天數。

備份前的準備

基本上,備份網域控制站主機的方式有兩種,若是部署在Hyper-V虛擬化平台內,可以選擇直接備份該虛擬機器。但如果是部署在實體主機中,則可選擇備份整個系統。無論採用哪一種部署方式,都能夠使用Windows Server 2019內建的Windows Server Backup功能,進行相關檔案的備份與還原。

接著,示範如何透過Windows Server Backup功能進行網域控制站主機系統的備份與還原。

開始之前,必須先準備用來存放備份檔案的位置,可以選擇本機磁碟、外接磁碟(USB或IEEE 1394)或是網路共享位置等等。其中,本機磁碟又可區分為專用磁碟,或是與其他應用程式共同存取的磁碟。

選用本機專用磁碟的好處在於,不會影響到其他應用程式的運行效能,因為正在執行中的備份任務會大幅度影響磁碟的I/O效能,因此強烈建議準備一顆本機專用磁碟,至於磁碟的容量大小,必須依目前現行已使用的磁碟大小,以及預計每日要保存的備份數量來評估。

如圖9所示,在「Disk Management」工具範例中,已準備好一顆「Disk 1」磁碟,原則上不需要將它格式化以及設定磁碟代號,而是只要將其設定為上線即可。準備好本機備份專用磁碟之後,開啟「Server Manager」介面,並且在選定的Exchange Server主機上按下滑鼠右鍵,然後點選快速選單中的【Add Roles and Features】選項,開始設定新增功能。如圖10所示,接著在「Features」頁面內可以找到「Windows Server Backup」功能選項,將其勾選後按下〔Next〕按鈕,繼續完成安裝即可。

圖9  使用磁碟管理員。
圖10  安裝Windows Server Backup。

若想透過PowerShell進行安裝,則執行「Install-WindowsFeature -Name Windows-Server-Backup」命令參數。如果要查詢是否已經有此項功能,執行「Get-WindowsFeature Windows-Server-Backup」命令參數即可。

備份網域控制站主機

如圖11所示,開啟Windows Server Backup操作介面後,可以發現後續在中間的「Local Backup」窗格內將能夠檢視到本機所有的備份記錄。在右邊的「Actions」窗格內,則可以點選備份排程、單次備份、還原以及配置效能設定。此時,在「Actions」窗格內點選「Backup Schedule Wizard」功能,並按下〔Next〕按鈕繼續。

圖11  Windows Server Backup管理介面。

接著,將開啟「Select Backup Configuration」頁面。如圖12所示,分別有備份整台伺服器(Full Server)以及自訂(Custom)兩個選項可以選取。若選擇前者,系統會立即估算出備份整台主機全部資料的所需大小,如果選擇後者,則可以自行挑選需要備份的磁碟和檔案。本例選取後者,然後按下〔Next〕按鈕。

圖12  選擇備份類型。

如果在上一個步驟中選擇了「Custom」,則會來到「Select Item for Backup」頁面,在此可以按下〔Add Items〕按鈕開啟如圖13所示的「Select Items」頁面,新增所要備份的裸機還原選項、系統狀態(System state)、磁碟、資料夾以及檔案。此外,採用這種備份方式,建議再回到上一個頁面中按下〔Advanced Settings〕按鈕,將「VSS Settings」頁面的設定改為「VSS full Backup」,以表示目前並沒有其他的備份軟體 正同時進行備份。

圖13  自訂備份選項。

來到「Specify Backup Time」頁面後,如圖14所示,可以選擇一天一次(Once a day)的選定時間進行備份,或是選擇一天多次時間的備份計畫。無論如何,建議最好選擇在半夜或是中午的離峰時間執行備份,以免影響到網域控制站的運行效能,而且每天備份一次即可。按下〔Next〕按鈕,繼續後面的設定。

圖14  設定備份時間。

如圖15所示,在「Specify Destination Type」頁面中,可以選擇採用專用的硬碟、現行使用中的磁碟或是網路共享資料夾,作為存放備份檔案的目的地。無論選擇哪一種備份目的地,最好預先準備好專用的SSD硬碟,否則當備份的資料量非常龐大時,以備份到本機的現有磁碟而言,將會影響到本機硬碟的I/O效能,並且間接影響到系統的運行效能。若是選擇備份至網路共享資料夾,恐怕還會影響到網路的頻寬,並且延長整個備份作業執行的時間,因此最好能夠有專屬連接的網路。在此選取了「Backup up to a hard disk that is dedicated for backups」選項,然後按下〔Next〕按鈕。

圖15  選定備份類型。

進入到「Select Destination Disk」頁面後,如圖16所示,系統會先偵測是否有經由USB或IEEE 1394所連接的外部磁碟。如果沒有上述外接的磁碟類型,就必須按下〔Show All Available Disks〕按鈕來選定目前可用的內接磁碟。設定完畢,按下〔Next〕按鈕。

圖16  選定備份磁碟。

請注意!所選定的磁碟將會被作為Windows Server Backup的專用磁碟,因此現行磁碟中的所有檔案將會被清除。

如圖17所示,在「Confirmation」頁面中可以再次確認備份時間、排除的檔案設定、進階設定、備份存放的位置,以及備份來源項目有哪些。確認上述設定皆正確後,按下〔Finish〕按鈕即可。

圖17  備份確認。

關於備份所需花費時間的長短,除了取決於檔案的多寡以及總體大小外,還關係到主機硬體、儲存設備或是網路連接的效能。

完成備份任務後,如果想查看備份檔案,以本例來說,可以到磁碟管理員的操作介面中設定備份磁碟的代號。完成設定,就能在該磁碟的「WindowsImageBackup」資料夾中,開啟以備份來源主機命名的資料夾,如圖18所示,其中以Backup加上年月日流水號命名的資料夾,裡面便是存放著主要備份的來源檔案。

圖18  查看備份檔案。

使用其他備份功能

備份任務的執行方式,除了可以經由Windows Server Backup視窗介面操作來完成外,如圖19所示,也可以透過執行以下的Wbadmin命令參數進行網域控制站的關鍵備份任務:

圖19  以PowerShell執行備份命令。

Wbadmin Start Backup -allCritical -Backuptarget:Y: -Quiet

這裡所說的關鍵備份檔案(Critical)是指開機檔案以及相關開機設定(BCD)、Windows作業系統和登錄檔案、SYSVOL相關檔案、Active Directory資料庫與交易記錄等檔案。整個備份過程的進度,也可以經由命令視窗進行檢視,至於詳細結果,則可以查看任務執行完成後所產生的記錄檔案。如果需要進行備份問題的排除,可結合Windows事件檢視器中的「Windows記錄」→「應用程式」來查看相關錯誤事件。

無論採用何種Windows Server Backup的備份操作方式,都可以在如圖20所示的介面中查看到本機備份的相關訊息,包括最新一次、下一次以及所有備份的詳細資訊。舉例來說,如果點選「All Backups」區域內的「View details」超連結,就能夠查看目前所有已備份的清單,以及它們各自所完成的備份時間、磁碟分區、備份的檔案類型等資訊。

圖20  查看到本機備份的相關訊息

對於已經完成的備份排程設定,不一定非得等到排程的時間到來時才讓它執行,而是可以隨時點選「Actions」窗格中的「Backup Once」功能,讓它立即執行備份任務。如圖21所示,可以在其所開啟的「Backup Options」頁面中,採用已設定好的排程備份設定(Scheduled backup options)或選擇不同的設定(Different options)進行單次備份。

圖21  手動執行排程備份。

由於Windows Server Backup只是一個系統內建的極簡版備份工具,因此無法像其他付費的備份工具,讓管理員建立多個排程備份設定,而是僅能修改已建立的排程備份設定。怎麼做呢?很簡單!只要再點選一次「Backup Schedule」,便可以開啟如圖22所示的頁面,進行備份排程設定的修改(Modify backup)或停止備份排程任務(Stop backup)。

圖22  修改排程備份設定。

還原網域控制站主機

在什麼情境下,需要還原網域控制站的備份呢?答案不外乎是網域控制站的服務無法啟動、網域控制站之間的複寫無法成功、Exchange Server始終無法連接Active Directory等等。不過,以上的各種情境都還只是軟體方面的問題,如果是硬體方面的問題(例如系統磁碟故障),那麼處理的方法也將有所不同,因為在這類的情境之下表示作業系統已經完全無法啟動了。接下來,先示範如何針對軟體方問題的Active Directory進行還原。

首先,在網域控制站可正常開機與登入的情況下,準備重新開機進入目錄服務還原模式,以便進行Active Directory的備份還原任務。在此可以選擇執行「shutdown -o -r」命令,讓系統在重新開機後停留在「Advanced Boot Options」選單,然後自行選擇「Directory Services Repair Mode」進行啟動,或者執行「bcdedit /set safeboot dsrepair」命令,讓系統自動重新開機並進入目錄服務還原模式(Restore Mode)。

如圖23所示,來到目錄服務還原模式的登入頁面後,將無法以網域的帳號進行登入,原因是在這種模式之下網路是無法連線的,因此必須改以本機的管理員帳號進行登入。

圖23  登入目錄服務還原模式。

在成功以本機管理員帳號登入目錄服務還原模式下的網域控制站之後,以Administrator身分開啟Windows PowerShell命令視窗。接著,如圖24所示依序執行「Wbadmin Get Versions -Backuptarget:Y:」及「Wbadmin Get Versions -Backuptarget:X:」兩個命令參數,以取得儲存在目前這兩個磁碟中的備份資訊。其中的「Version identifier」欄位資訊便是此時所需要的。

圖24  查詢備份資訊。

取得了準備要進行還原的「Version identifier」欄位資訊之後,便可以參考如圖25所示的以下命令參數,來還原選定版本以及磁碟的網域控制站備份。執行之後,整個還原的進度也都可以在命令視窗中查看到:

wbadmin start systemstaterecovery -version:12/20/2019-07:41 -back uptarget:Y: -machine:DC01 -quiet

圖25  執行備份還原。

確認網域控制站成功完成還原後,執行「bcdedit /deletevalue safeboot」命令參數,設定以正常模式啟動作業系統。接著執行「shutdown -t 0 -r」命令,立即進行重新開機。如圖26所示,便是在重新開機與登入之後系統會自動出現的命令視窗提示訊息。重新開機並登入完成後,立即檢查原有網域控制站的各項問題是否已經恢復正常,例如用戶端的登入、Exchange Server的連線與同步、網域控制站之間的複寫等等。

圖26  重新登入網域控制站。

如何執行裸機還原

當網域控制站主機的作業系統因故障而無法正常開機,或是主機的系統磁碟因損毀而更換了新硬碟,這一些狀況由於都已經無法以正常的開機方式來自由選擇所要採用的啟動模式,因此肯定無法經由前面所介紹過的目錄服務還原模式來修復Active Directory,而是必須改用裸機還原法來做修復。只要在所執行的備份設定中已採用完整備份,或是在自訂備份的設定中有勾選「Bare metal recovery」,便可以在接下來的實作講解中實踐裸機還原。

首先,在網域控制站的主機中,放入可開機的Windows Server 2019 USB磁碟或DVD進行啟動。在完成語言、時間以及鍵盤輸入法的設定後,按下〔Next〕按鈕,來到如圖27所示的頁面中,點選「Repair your computer」連結繼續。

圖27  啟動Windows Server安裝媒體。

隨後,在「Choose an option」頁面內點選「Troubleshoot」選項,將開啟「Advanced options」頁面。如圖28所示,在此點選「System Image Recovery」功能,表示將以備份的映像來還原整個網域控制站。

圖28  開機進階選項。

在「Select a system image backup」頁面中,可以自行選擇使用最新版本的備份映像進行接下來的還原任務,或是選取「Select a system image」自己手動挑選備份映像的所在位置,如圖29所示。決定好了之後,按下〔Next〕按鈕繼續。

圖29  選取系統映像備份。

如圖30所示,來到「Select the location of the backup for the computer you want to restore」頁面後,便是手動選擇備份映像的存放磁碟。若是備份映像並沒有存放在目前所列舉的磁碟清單內,則按下〔Advanced〕按鈕,進行網路中其他共享位置的搜尋,以及其他已連接儲存裝置驅動程式的載入。其中,若選擇了搜尋網路中的其他共享位置,可能必須面對的風險便是惡意程式感染問題,因為在目前的狀態下沒有任何安全防護,因此選擇連接存取網路資源時,務必特別小心謹慎。設定完畢,再按下〔Next〕按鈕。

圖30  選取備份位置。

當所選取的磁碟或網路共享位置,發現了Windows Server Backup的備份映像時,就可以從「Select the date and time of system image to restore」清單中查看到目前所有備份映像的日期、時間以及備份的內容。選取準備進行還原的映像後,再按下〔Next〕按鈕。

在「Choose additional restore options」頁面中,如圖31所示,如果要還原的主機已安裝了全新的硬碟,可以考慮勾選「Format and repartition disks」選項,讓系統在還原的過程中自動完成分割區的重建以及格式化。如果需要排除掉某些磁碟,可按下〔Exclude disks〕按鈕來做設定。

圖31  還原選項設定。

此外,萬一發生所連接的磁碟沒有被系統偵測到,極可能是磁碟控制卡的驅動程式問題,在這種情境下,可以在此按下〔Install drivers〕按鈕,嘗試載入預先準備好的原廠相容驅動程式。

接著,按下〔Advanced〕按鈕,決定是否要在還原映像完成後,自動重新啟動主機,以及自動檢查與更新磁碟錯誤資訊,然後按下〔Next〕按鈕繼續。

最後,可以查看到即將執行還原任務的日期、時間、主機名稱以及磁碟相關資訊,確認無誤後按下〔Finish〕按鈕。

執行之後,將會出現如圖32所示的警示訊息,告知磁碟中所有的檔案資料都會在完成還原任務後清除。確認沒問題,就按下〔Yes〕按鈕開始進行還原。

圖32  確認進行還原。

活用快照功能

在準備進行Active Directory的還原任務之前,可能希望先進行現行資料庫與備份資料庫的內容比對。此時,就可以善用Active Directory資料庫快照管理功能,將過去曾經以Windows Server Backup所建立的網域控制站備份,進行快照資料庫清單的查詢、掛載以及連接,當然也可以透過這項工具來快速建立快照。

其實不一定非得是採用最新的Windows Server 2019所建立的網域控制站才行,只要是Windows Server 2008以上的版本,並且已經安裝Active Directory Domain Services(AD DS)或Active Directory Lightweight Directory Services(AD LDS)伺服器角色,便可以使用以下幾個內建的管理工具,分別進行Active Directory資料庫快照(Snapshot)的建立、掛載(Mount)、查詢、連接以及內容檢視:

‧Ntdsutil snapshot:這個命令新增的snapshot操作選項,可以讓管理員進行快照的建立、檢視快照清單的掛載或卸載AD DS與AD LDS資料庫。

‧Dsamain.exe:透過此工具可將指定的快照資料庫,連接成一個自訂通訊埠的LDAP伺服器。

‧Ldp.exe命令、Active Directory使用者與電腦工具:這兩個工具都可以用來檢視唯讀並且已經掛載的AD DS與AD LDS資料庫內容,讓管理員做不同快照備份的內容比較。

接下來,先使用Ntdsutil命令工具示範建立AD DS資料庫快照。如圖33所示,開啟命令視窗後依序執行「ntdsutil」、「snapshot」、「activate instance ntds」、「create」等命令。確定完成快照的建立後,先將快照的序號複製起來,再連續執行兩次「quit」命令來結束此工具的使用。

圖33  建立快照。

完成建立AD DS資料庫快照後,嘗試開啟「Active Directory Users and Computers」介面,如圖34所示,刪除一個測試用的人員帳號,以便後續拿來與快照資料庫的內容做比較。

圖34  測試刪除物件。

接著在命令視窗中依序執行「ntdsutil」、「snapshot」、「activate instance ntds」命令,然後執行「list all」,便可查看到剛剛建立的快照、過去以Windows Server Backup執行過的備份。須注意的是,在每一個資料快照中都有兩組不同的序號,分別是快照索引編號與GUID,這兩組序號都可用來作為快照掛載與卸載時的參數設定。

確認有出現剛剛所建立的快照後,就可以如圖35所示執行以下命令參數來掛載選定的快照資料庫:

mount 8ee33a37-0ce2-4811-9f56- 7ef30f7c63d1

圖35  掛載快照資料庫。

成功掛載後,連續執行兩次「quit」命令,結束此工具的使用。請注意!其中快照資料庫序號必須修改成所要掛載的序號。

成功掛載選定的快照資料庫後,緊接著如圖36所示透過以下的命令參數,建立一個自訂連接埠的LDAP伺服器,而這個伺服器所對應的資料庫路徑,便是在上一步驟中執行掛載時所顯示的路徑。至於連接埠(ldapport)設定,只要輸入任一尚未使用中的連接埠號碼即可:

dsamain /dbpath C:\$SNAP_ 202003021447_VOLUMEC$\windows\ NTDS\ntds.dit /ldapport 51389

圖36  建立LDAP伺服器。

請注意!無法在PowerShell命令視窗中執行以上的命令參數,否則會因為相關字串格式問題而導致執行失敗。

成功建立自訂的LDAP伺服器後,切勿關閉該命令視窗,否則會導致該服務中止執行。在執行的狀態下,可以開啟「Active Directory Users and Computers」介面,然後在最上層的節點上按下滑鼠右鍵,接著點選快速選單中的【Change Domain Controller】選項來開啟「Change Directory Server」頁面,如圖37所示。

圖37  變更網域控制站連接設定。

然後,選取「The Domain Controller or AD LDS instance」設定,並手動輸入此伺服器的完整名稱以及自訂的連接埠編號,即可查看到其中的「Status」欄位出現「Online」狀態。最後按下〔OK〕按鈕,完成連線。

成功連線快照資料庫的LDAP伺服器後,就可以發現剛剛快照後所刪除的人員帳號,在這個AD DS快照資料庫中仍然存在,藉此便可比較出正式資料庫與快照資料庫的不同之處。

結語

想要讓Exchange Server的備份計畫完整無缺,原則上從Active Directory資料庫、網域控制站主機到Exchange Server主機、Exchange Server資料庫的備份都是不可少的。只可惜目前官方雖然都有提供相對的工具,可以解決當前備份與還原的管理問題,但是缺乏一個IT人員所需要的集中管理工具,讓管理者可以更有效率地從單一操作介面來輕鬆完成帳號、信箱、資料庫,甚至於裸機的復原,而不是總得回想該使用的工具或命令參數是什麼。期望Microsoft在未來新版本的發行中,能夠從這方面的管理需求來強化整體的設計,讓各項維護任務操作更簡單流暢,降低Exchange Server管理人員的工作負擔。

<本文作者:顧武雄,Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!