阅读完整系列：备份域控制器第2章-如何恢复域控制器Ch.3-重新激活Active Directory逻辑删除对象Ch.4-利用Active Directory回收站 Microsoft Active Directory是需要身份验证和集中用户管理的企业环境中的标准。如果这项技术不存在，几乎无法想象系统管理员如何能够有效地完成他们的工作。Active Directory不仅是一种强大的力量，而且也是一种巨大的责任，它需要花费大量的时间来使用它，以便最大限度地发挥其功能。本系列的目的是帮助您成功地使用Veeam备份和恢复Active Directory域服务，为您提供无痛广告保护的所有密钥。在阅读本文之前，您可能想看看我们不久前发布的广告管理最佳实践系列。实际系列将讨论Veeam如何保护Active Directory数据-保留域控制器（DC）或单个AD对象，并在需要时恢复它们。今天，我将讨论Veeam为物理和虚拟域控制器提供的备份选项，以及在执行此操作时要记住的备份注意事项。备份域控制器注意事项由于activedirectory域服务的设计具有一定的冗余性，因此常用的备份规则和策略可以得到缓解并适应这一级别。在这里对SQL或Exchange server应用相同的备份策略是不对的。以下是一些我认为可能有助于创建自己的Active Directory策略的注意事项：了解哪些域控制器在您的环境中具有灵活的单主机操作（FSMO）角色。提示：一个简单的命令可以通过命令行进行检查：>netdom query fsmo执行完整域恢复时，您可能希望从具有大多数FSMO角色的DC开始，通常是具有PDC仿真器角色的DC。否则，您必须在使用ntdsutil seize命令恢复后手动传输角色。在计划备份时，请注意这一点，并相应地对域控制器进行优先级排序。有关FSMO角色的详细信息，请参阅Active Directory基础白皮书。如果站点有多个域控制器，并且您正在寻找单个对象保护，则无需备份所有DC，对于项目级恢复，则无需备份Active Directory数据库的一个副本(ntds.dit公司)就足够了有些东西总是可以降低意外/故意删除/更改广告对象的风险。考虑管理操作的授权，设置对提升组的受限访问，并维护"滞后"站点通常建议每次备份一个域控制器，而不是干扰DFS复制—即使现代备份应用程序（例如Veeam backup&Replication v7及更高版本）知道如何处理此问题如果您有一个VMware虚拟环境，并且无法通过网络连接到域控制器（例如，它可以在DMZ中）。在这种情况下，Veeam将故障转移到VIX，并且应该能够处理您的DC。如何备份虚拟域控制器Microsoft的Active Directory服务组织并保存有关林中各个对象的信息，并将其存储到关系数据库中(ntds.dit公司)，由域控制器托管。域控制器的备份以前是一个令人厌烦的过程，包括备份服务器的系统状态。众所周知，activedirectory服务不会消耗系统的大量资源，因此域控制器似乎是环境中第一个总是虚拟化的服务器。如果你碰巧也有"仅限物理DCs"的旧观念，请参阅本帖。虚拟化后，它们很容易由域/系统管理员管理，并且可以使用Veeam备份和复制轻松地进行备份。至于详细信息，您应该已经安装并配置了Veeam备份和复制。系统要求（版本9.0）如下：虚拟平台：VMware vSphere 4.1及更高版本；Microsoft Hyper-V 2008 R2 SP1及更高版本Veeam服务器：Windows server 2008 SP2及更高版本；Windows 7 SP1及更高版本，64位操作系统域控制器虚拟机（VM）：Windows Server 2003 SP1及更高版本，是Windows 2003支持的最低林功能级别权限：目标Active Directory的管理权限。企业管理员或域管理员的帐户。本文不打算介绍Veeam备份和复制的安装和配置过程，因为它已经定义了几次了。但是，如果您需要帮助，请参阅以下由Veeam系统工程师录制的视频。我假设你一切正常。现在您要为虚拟域控制器配置备份任务。配置过程相当简单（参见下面的图1）：1启动备份作业创建向导2向任务添加所需的域控制器三。指定备份链的保留策略4确保启用应用程序感知映像处理（AAIP）以确保在VM上运行的操作系统和应用程序（包括Active Directory数据库和SYSVOL目录）的事务一致性注意：AAIP是一种Veeam技术，允许软件以支持应用程序的方式备份vm。这包括检测来宾操作系统的应用程序并收集其元数据，使用相应的Microsoft VSS写入程序使其停止运行，准备在还原的虚拟机首次启动时执行的特定于应用程序的VSS还原过程，以及在备份任务成功时截断应用程序的事务日志。有关详细信息，请参阅AAIP文档。不启用AAIP将不会触发域控制器来宾操作系统意识到它已被备份和保护。因此，稍后，您可能会注意到服务器日志中的内部警告—event 2089，指出"备份延迟间隔"天内没有备份。图1。编辑备份作业：来宾处理 5计划作业或手动运行它6确保作业成功完成，没有错误或警告图2。执行DC的增量备份 7在备份存储库中找到新创建的备份文件-就这样！此外，您可以使用Veeam cloud Connect（VCC）服务提供商将备份存储在云中，或使用Veeam backup Copy jobs将备份存储在另一个备份存储库中，或者使用backup to tape job将其存档到磁带。最重要的是，备份现在是安全的，可以在需要时立即恢复。如何备份物理域控制器坦白地说，我希望你一直在更新你公司的广告服务，并且你的域控制器已经虚拟化很长时间了。如果没有，我希望你至少已经更新了你的域控制器，并且他们运行的是相对现代的Windows服务器操作系统版本，windowsserver2008r2或更高版本。（如果管理较旧的系统，请跳过下面的内容并立即转到第三篇文章）所以，你有一个或一组物理域控制器在WindowsServer2008R2或更新版本上运行，你想保护你的广告吗？了解Veeam Endpoint Backup，该实用程序旨在确保其余物理端点和服务器上的数据安全可靠。Veeam Endpoint Backup捕获所需的物理计算机数据并将其存储在备份文件中。然后，在发生灾难时，您可以执行裸机或卷级别的恢复，同时完全控制恢复过程。另外，使用Veeam Explorer for Microsoft Active Directory进行项目级恢复。要使用此工具备份物理域控制器，您应该：从本页免费下载Veeam Endpoint Backup并将其复制到您的DC启动安装向导，接受许可协议并安装程序注意：阅读以下关于在无人值守模式下安装的说明。通过选择适当的备份模式来配置备份作业。备份整个计算机是最简单也是推荐的方法。使用文件级备份模式时，请确保选择操作系统作为要备份的对象（请参见图3）。这样可以确保程序捕获裸机还原所需的所有文件，并且还将保存Active Directory数据库和SYSVOL目录。有关详细信息，请参阅产品用户指南图3。在Veeam Endpoint backup中选择要备份的对象 注意：如果您的基础结构中有Veeam备份和复制实例，并且您希望使用已配置的Veeam备份存储库来接受端点备份，请从Veeam备份和复制中重新配置它（Ctrl右键单击所需的存储库，允许访问存储库并在需要时启用备份加密，见图4）。图4。正在为备份存储库设置终结点备份权限运行备份，确保没有错误图5。Veeam Endpoint Backup FREE：备份作业统计信息喂！备份完成，您的域控制器将从现在起受到保护。转到备份目标并找到备份或备份链图6。增量备份链 注意：如果您将Veeam备份和复制存储库配置为DC备份的目标，请在"备份">"磁盘"节点中查找新创建的备份，并将其放置到"端点备份"节点。图7。Veeam备份和复制：备份磁盘结论域控制器备份有那么简单吗？是的，也不是。成功的备份对新手来说很好，但这不是你所需要的全部。就像我们在Veeam上所说的，"如果不能从备份中恢复，备份就一文不值。"本系列中的以下文章专门介绍不同的Active Directory恢复方案，包括特定域控制器的恢复，以及使用本机Microsoft实用程序和Veeam Explorer for Active Directory恢复单个已删除和更改的对象。另请参见白皮书Active Directory对象的精确恢复Veeam通信