Windows Server 2012 AD非授权还原

在正常还原操作中，备份操作是在非授权还原模式下执行的。换而言之，包括 Active Directory 对象在内的所有还原数据将使用其原始更新序列号。Active Directory 复制系统使用该编号在本组织的服务器中检测并复制Active Directory 的更改。因此，所有非授权还原的数据都将在 Active Directory 复制系统中出现，即便这些数据是旧的，也是如此。这意味着，这些数据不会复制到其他服务器。但是，如果其他服务器中出现较新的数据，Active Directory 复制系统将使用这些数据来更新已还原的数据。

上一文中介绍了裸机还原方式，可以对整个系统(包含AD数据)进行快速还原，这也是非授权还原的一种。此文将介绍非授权还原的另一种方式：在现有服务器上进行非授权还原。当只是服务器上的AD数据库损坏或故障时，就可以使用这种方式进行还原。

实验环境：

DC01：Lab.com域控制器，并安装有Windows Server Backup。

Client：域内客户端，用于还原后验证客户端登陆是否正常。

一、系统状态备份

系统状态数据一般包括：注册表、COM+类注册数据库、引导文件，系统文件、活动目录域服务、SYSVOL目录等。

1.在SRV01中，打开Windows Server Backup，右击“本地备份”选择“一次性备份”。由于这是实验演示所以选择一次性备份，生产环境建议使用备份计划进行备份。

2.在备份向导中，由于是一次性备份所有只能选择“其他选项”，在选择备份配置页面中，选择“自定义”然后“下一步”。

3.在选择要备份的项页面中，勾选“系统状态”。操作方法如图：

4.选择“本地驱动器”为备份的存储位置。这个可以根据实际需求选择备份存储位置。

5.选择备份存放的目标分区，“下一步”后直接点“备份”。

5.等待备份成功完成，可以看到生成了一个大概7.6G的备份文件(这个文件大小视AD数据库大小而定)。

二、模拟故障

这一步的操作过程只是为了实验演示的故障模拟，没有实际意义，生产环境也不会这么做，所以跳过也可以。

1.模拟AD数据丢失或损坏。使用管理员运行CMD，输入：net stop ndts，停止Active Directory Domain Services服务，然后把C:\Windows\NTDS目录下的AD数据库文件删除。

2.使用net start ntds，Active Directory Domain Services服务已经无法启动。

三、执行非授权还原

当活动目录出现上面的故障，Active Directory Domain Services意外停止而有无法启动、AD数据库损坏或丢失等故障时则可以使用这种方式进行还原。

1.重启该服务器，在启动时按F8，选择“目录服务修复模式”。

2.由于是目录还原模式，所以是不能登录到域的。需要登录到本地，使用：计算机名\administrator格式，密码是当初提升域控制器时设定的目录还原模式密码。

3.打开Windows Server Backup，右击“本地备份”后选择“恢复”。

4.由于备份就存储在该服务器上，所以选择“此服务器”。在选择备份日期页面，直接“下一步”。

5.选择恢复“系统状态”。

6.选择“原始位置”。如果环境中有多台DC请慎重选择“对Active Directory文件执行授权还原”，勾选此项，会将所有数据标记别授权还原，还原后的数据将会同步到其他DC，会覆盖现有数据。

7.勾选“自动重启”，点击“恢复”，在弹出的警告中选择“是”。

8.等待还原换成并重启后，登陆后提示已经成功完成系统状态恢复。

9.检查AD管理工具、GPMC、DNS等是否正常工作，并查看事件日志和是用dcdiag查看AD的状态是否正常。还可以在AD中新建一个用户，在客户端测试是否能够正常登录。

总结：当AD出现致命错误，而操作系统是没问题情况下，用这中方式能够快速对服务器进行故障恢复。还是强烈建议在生产环境下一定好做好AD的备份。如果是需要还原被删除的对象，而环境中又有多台DC情况下，则需要使用授权还原，因为使用非授权还原的方式还原，跟其他DC同步后还是会将还原的对象删除。