Active Directory的備份和還原

1. 權威還原(Authoritative Restore)

。用途: 當 AD物件或 OU被誤刪、誤修改時, 需要讓備份中的版本成為正確資料並覆蓋其他 DC的複寫內容

。原理: 使用 ntdsutil 工具, 將特定物件或 OU標記為權威版本, 讓它在複寫時優先於其他 DC的資料

。重點: 只有被標記為權威的物件才會覆蓋其他 DC的資料, 其餘部分仍然是非權威方式還原

2. 非權威(/正常)還原(Non-authoritative / Normal Restore)

。用途: 最常用的還原方式w-studio.idv.tw

。原理: 還原後 AD會啟動並透過複寫自動與其他網域控制站同步最新資料

。重點: 不會覆蓋其他 DC的資料, 僅用於修復該 DC本身

3. 完整伺服器還原(Full Server Restore)

。用途: 當整個 DC作業系統或伺服器損毀, 需要將伺服器完整復原

。原理: 透過 Windows Server Backup或其他工具, 將作業系統、應用程式、設定、ADDS資料庫、SYSVOL、登錄檔等全部還原

。重點: 還原後伺服器會回到備份時的完整狀態, 而不僅是 AD相關資料

4. 替代位置還原(Restore to an Alternate Location)

。用途: 將 AD資料庫(NTDS.dit)或相關檔案還原到不同的資料夾或磁碟區

。原理: 不會直接覆蓋目前正在使用的 AD資料, 而是將備份檔案取出, 方便管理員檢查或匯出需要的物件

。重點: 不影響現有 AD環境, 適合資料比對或測試用途

Windows Server常見的備份與復原工具

1. Windows Server Backup

Windows Server內建的免費備份工具, 提供基本的備份與復原功能, 適合中小型環境或單一伺服器

備份功能:

。支援完整伺服器備份、選定磁碟區、特定資料夾/檔案, 以及系統狀態

。可排程備份, 支援 VSS(Volume Shadow Copy Service)快照

。備份目的地可為本機磁碟, 網路共享資料夾, 或外接磁碟

復原功能:

。可以還原檔案/資料夾、磁碟區、應用程式(如 AD、Exchange、SQL Server)、或整個伺服器

。系統崩潰時可透過 Windows安裝媒體進行復原w-studio.idv.tw

適用情境:

。中小型企業伺服器

。單台伺服器的基本保護, 不需額外授權成本

設定AD資源回收筒及刪除與還原AD物件

1. 開啟 AD網域和信任, 然後於網域上按右鍵選擇提高網域功能等級

2. 確認網域等級w-studio.idv.tw

ADDS刪除與還原物件及AD資源回收筒

ADDS中刪除物件

在 AD中物件(例如使用者、群組、電腦、OU)刪除後並不是立刻從資料庫消失, 而是進入刪除物件狀態(Deleted Objects)

1. 刪除後的狀態流程:

。Deleted Object(已刪除物件): 物件會標記為已刪除並移動到 Deleted Objects容器, 保留一段刪除生命週期(tombstone lifetime), 預設大約 180天

。Garbage Collection(垃圾收集): 刪除生命週期結束後, 物件會被 AD徹底清除

2. 刪除物件的影響:

。使用者無法登入、電腦無法加入網域、OU結構消失

。沒有資源回收筒的環境下, 只能用 Authoritative Restore(權威性還原)來復原

ADDS中還原物件

還原方式取決於是否有啟用 AD Recycle Bin(AD資源回收筒)

1. 未啟用資源回收筒:

Authoritative Restore(權威性還原):

。需要將網域控制站開機進入 Directory Services Restore Mode(DSRM)

。使用 ntdsutil指令還原指定物件或 OU w-studio.idv.tw

。適合在「沒有啟用資源回收筒」或「需要還原很久之前刪除的物件」的情況

。缺點: 作業複雜, 需要從備份還原並會影響複寫

2. 已啟用資源回收筒

。物件刪除後會進入 Deleted Object狀態, 但在生命週期內可以直接完整還原(含屬性與群組成員資格)

。優點: 不需要進入 DSRM, 不需從備份回復, 完整保留物件關聯性

AD資源回收筒(Recycle Bin)

1. 啟用條件

。網域功能層級(Domain Functional Level, DFL)必須至少為 Windows Server 2008 R2

。一旦啟用無法停用

2. 還原方式

透過 ADAC → Deleted Objects → 右鍵 → 還原/還原到特定位置, 或用 PowerShell 的 Restore-ADObject

管理Active Directory快照

為什麼要建立 AD快照(ADDS Snapshot)

Active Directory快照是使用 NTDSUTIL工具產生的唯讀資料庫副本, 建立快照的主要目的有:

1. 調查與疑難排解

當發生目錄物件誤刪或設定異常時, 可以透過快照還原來比對找出差異

2. 歷史資料查詢

管理員可以掛載快照, 透過 dsamain.exe將其作為唯讀目錄來存取, 查詢過去的資料而不影響現行的 ADDS

3. 避免還原過程的風險

一般從備份還原 AD資料庫會影響整個網域控制站運作, 使用快照則不會中斷服務, 因為快照僅供查詢不會影響現行 ADw-studio.idv.tw

4. 稽核與合規需求

有些組織需要保留一段時間內的目錄狀態紀錄以便稽核或符合法規

試作 Active Directory快照:

1. 開啟命令提示字元, 依序輸入指令 ntdsutil, snapshot, activate instance ntds, create, 並記下生成的快照{GUID}, 之後退出

w-studio.idv.tw

2. 開啟 AD使用者和電腦, 隨選一個使用者並刪除

ADDS停止與啟動

在一般企業日常營運中不建議隨便停止 ADDS, 因為網域控制站一旦停掉 ADDS, 該伺服器就暫時失去身為 DC的功能, 無法處理驗證與目錄服務需求, 但是在以下情況下可能需要停止:

。進行維護或疑難排解

。進入目錄服務修復模式(DSRM)

。系統測試或升級

停止或啟動 ADDS的方式:

1. 使用服務管理工具(services.msc)w-studio.idv.tw

2. 使用命令提示字元:

。停止: net stop ntds

。啟動: net start ntds

3.使用 Windows PowerShell:

。停止: Stop-Service ntds

。啟動: Start-Service ntds

4. 透過系統重新開機進入 DSRM: 在開機時按 F8, 選擇 Directory Services Restore Mode (目錄服務還原模式)

NtdsUtil

w-studio.idv.tw

Ntdsutil.exe是 Windows Server內建的一個命令列工具, 主要用來管理 ADDS與 ADLDS的進階維護工作, 它不適合日常管理(例如新增使用者、群組), 而是用於進階維護、修復、疑難排解的情況

功能用途:

1. AD資料庫管理:

。壓縮、修復 AD資料庫(ntds.dit)

。檢查資料庫完整性w-studio.idv.tw

。移動 AD資料庫與記錄檔到其他磁碟區

2. FSMO角色管理

。搶占(Seize)或轉移(Transfer)FSMO角色

。當原 FSMO持有人故障無法恢復時強制接管角色

3. 目錄服務修復模式(DSRM)密碼管理

。重設 DSRM管理員帳號密碼

4. Metadata Cleanup(清理中斷的 DC資訊)

。移除失效或無法連線的網域控制站殘留資料

。在強制移除 DC後很常用

5. 通用類別目錄(Global Catalog)與信任(Trusts)設定

。可用來調整或修復某些信任關係設定