如何从备份恢复 Active Directory？

在本文中，我们将展示如何从之前创建的系统状态备份还原 Active Directory 域控制器（请参阅 Active Directory 备份一文），并讨论 AD DC 恢复的类型和原理。

假设您的 AD 域控制器出现故障，并且您想要从备份副本中恢复它。在开始恢复 DC 之前，您必须了解要使用的场景。这取决于网络中是否有其他域控制器以及它们上的 Active Directory 数据库的运行状况。

如何使用复制恢复域控制器？

通过标准 AD 复制进行 DC 恢复并不完全是从备份恢复 DC。如果您的企业网络中有多个域控制器，并且所有域控制器都可运行，则可以使用此方案。此方案涉及新服务器安装，并进一步升级到同一站点上的新 ADDS 域控制器。旧的 DC 只是从 AD 中删除。

这是最简单的方法，与任何不可逆的 AD 更改无关。在这种情况下，ntds.dit 数据库、GPO 文件和 SYSVOL 文件夹的内容将自动从保持在线状态的 DC 复制到新的域控制器。

如果 ADDS 数据库较小，并且可以通过高速网络链接使用另一个 DC，则上述方法比从备份副本恢复 DC 更快。

Active Directory 还原类型：权威和非权威

从备份进行 Active Directory DC 还原有两种类型，在尝试执行此操作之前您必须清楚地了解这两种类型：

• 权威还原 - 还原 AD 对象后，将从还原的 DC 到所有其他域控制器执行复制。此还原类型适用于单个 DC 或所有 DC 同时发生故障（例如，勒索软件或病毒攻击后）或跨域复制损坏的 NTDS.DIT 数据库的情况。在此模式下，所有恢复的 AD 对象的 USN（更新序列号）值都会增加 100,000。因此，DC 会将所有恢复的对象视为较新的对象，并且它们将在域中复制。请务必谨慎使用权威恢复！！！

  在权威还原中，您将丢失创建备份后所做的大部分 AD 更改（AD 组成员身份、Exchange 属性等）。

• 非权威恢复 - 恢复 AD 数据库后，控制器通知其他 DC 它已从备份恢复并需要最新的 AD 更改（为 DC 创建新的 DSA 调用 ID）。当很难通过慢速 WAN 通道快速复制大型 AD 数据库或者服务器上有一些重要数据或应用程序时，您可以在远程站点上使用此恢复方法。

从系统状态备份还原 Active Directory 域控制器

假设您的域中只有一个 DC。由于某种原因，它所运行的物理服务器出现故障。

您的域控制器具有相对较新的系统状态，并且希望使用权威还原在全新的服务器上还原 Active Directory。

要启动 DC 还原，您必须安装与故障 DC 上相同的 Windows Server 版本。在刚刚安装的 Windows Server 中安装 ADDS 角色（不要配置）和 Windows Server Backup 功能。

为了恢复您的Active Directory，您必须在DSRM（目录服务恢复模式）下启动服务器。为此，请运行 msconfig 并在启动选项卡中选择选项安全启动 -> Active Directory 修复。

重新启动您的服务器。它将在 DSRM 中启动。运行 Windows Server 备份 (

wbadmin

），然后在右侧菜单中选择恢复。

在恢复向导中，选中“存储在其他位置的备份”。

然后选择存储旧AD域控制器备份的磁盘或指定其UNC路径。

要使 WSB 看到磁盘上的备份，请将包含备份的 WindowsImageBackup 目录放置到根驱动器文件夹中。您可以使用以下命令确保驱动器上有备份：

wbadmin get versions -backupTarget:D:

选择用于恢复的备份日期。

检查系统状态以将其恢复。

选择原始位置并选中执行 Active Directory 文件的权威还原。

系统将显示警告，指出这是另一台服务器备份，如果在另一台服务器上恢复，则可能无法工作。单击“确定”。

还同意另一个警告：

Windows Server Backup
Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.

然后，新服务器上的 AD 域控制器恢复过程将开始。结束后，服务器将需要重新启动（新服务器的名称将更改为备份中的 DC 主机名）。

以正常模式启动服务器（使用 msconfig 禁用 DSRM）。

使用具有域管理员权限的帐户登录服务器。

当我第一次运行 Active Directory 用户和计算机 (ADUC) 控制台时，出现以下错误：

Active Directory Domain Services
Naming information cannot be located for the following reason:
The server is not operational.

还原的域控制器上没有 SYSVOL 和 NETLOGON 文件夹要修复此错误：

1. 运行regedit.exe；

2. 转到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters；

3. 将SysvolReady值从0更改为1；

   

4. 然后重新启动NetLogon服务：

   net stop netlogon & net start netlogon

   

尝试再次打开 ADUC。您将看到您的域结构。

至此，您已经通过权威恢复模式成功恢复了您的AD域控制器。然后Active Directory中的所有对象将自动复制到其他域控制器。

如果您只剩下唯一的 DC，请确保它拥有所有 5 个 FSMO 角色，并在需要时夺取它们。

如何从备份中恢复单独的 AD 对象？

如果您想要恢复特定的 AD 对象，请使用Active Directory 回收站。如果逻辑删除生命周期已过期或未启用 Active Directory 回收站，您可以使用权威还原模式恢复单独的 AD 对象。

简而言之，该过程有以下步骤：

1. DC以DSRM模式启动；

2. 显示可用备份的列表：

   wbadmin get versions

3. 开始恢复所选备份：

   wbadmin start systemstaterecovery -version:[your_version]

4. 确认DC恢复（非权威模式下）

5. 重启后，运行

   ntdsutil

6. activate instance ntds

7. authoritative restore

指定要恢复的对象的完整 LDAPl 路径。您可以恢复整个 OU：

restore subtree ″OU=Users,DC=a-d,DC=com″

或者单个 AD 对象：

restore object “cn=Test,OU=Users,DC=a-d,DC=com”

此命令将拒绝从其他域控制器复制指定对象（路径），并将对象 USN 增加 100,000。

退出 ntdsutil：

quit

以正常模式启动DC并确保对象已恢复。