AD 樹系復原 - 常見問題

雖然復原速度不是本指南的主要目標，但您可以透過下列方式達到較短的復原時間：

• 建立詳細的樹系復原計畫、定期更新，並至少每年一次在合理規模的模擬測試環境中練習。
• 執行 Windows Server Backup 完整備份，以用於裸機復原 (BMR) 或系統狀態復原。
• 使用虛擬網域控制站 (DC) 複製。 虛擬 DC 複製可加速程序，以部署額外的網域控制站來還原網域服務的原始頻寬。 DC 會在每一個網域中的一個 DC 從備份中還原之後執行，由於這是非授權還原，因此 PDC 模擬器也必須在複製作業期間可供使用。 您可以複製額外的虛擬 DC，而不是等待可能費時很久的 AD DS 安裝完成，以及等待安裝之後的非關鍵複寫完成。 如果樹系的虛擬 DC 裝載於相對較少且連線良好的資料中心，則可能可受益於復原期間的複製。 不過，在相同 Hypervisor 主機上共置相同網域的多個虛擬 DC 的環境都應該會受益。
• 使用從媒體安裝 IFM 來減少完成複寫所需的時間，因為只會複寫差異，所以可減少複寫流量。 這也可讓您快速安裝多個 DC。
• 如果使用複雜的遠端網站案例 (罕見)：-**在中樞或預備網站中的一或多部伺服器上安裝 AD DS**，然後將其寄送至遠端網站。
  • 為連線能力不佳/間歇性中斷的 DC 實作備份/還原程序 (除了在主要資料中心位置中將 DC 指定為主要備份和災害復原 (BDR) 系統之外)。 您必須新增步驟，讓其他位置中已還原的 DC 與主要資料中心 DC 同步。 若要這樣做，請將一個 DC 指定為電腦帳戶參考，而且只在那讓 KDCSVC 執行。 在您還原的其他 DC 上，遵循使用 Netdom.exe 重設網域控制站密碼中的步驟
• 部署唯讀網域控制站 (RODC) RODC 可以在復原程序期間供應商務持續性，因為其不必像可寫入 DC 一樣與網路中斷連線。 RODC 不會執行輸出複寫。 因此不會存在相同風險，也就是可寫入 DC 會將破壞性資料複寫回已復原的環境。

影響樹系復原程序持續時間的其他因素包括：

• 當網域控制站是虛擬機器時，您可以利用快照集還原，將 DC 回復為已知的良好狀態。 這不是建議的方法，因為用於備份的快照集伴隨許多注意事項，例如 VM 伺服器上必須有用於快照集的磁碟空間，才可具備可用的備份歷程記錄。 強烈建議使用一般備份作為復原的主要方法。 VM 快照集可能有助於在敏感性變更之後從問題中復原，例如網域重新命名或大型結構描述更新等全樹系更新。 注意：您必須視需要手動將 SYSVOL 標示為 DFSR 的授權。 如需虛擬網域控制站的詳細資訊，請參閱虛擬網域控制站架構。

• 從備份還原 DC 時，您需要時間來找出和擷取實體備份媒體 (例如磁帶)、根據復原案例重新安裝作業系統，以及從備份媒體還原資料。

  注意

  您可以執行 BMR 復原，而不是系統狀態還原，以減少重新安裝作業系統和從備份中還原資料所需的時間。 因為裸機復原是以二進位為基礎，所以完成速度比系統狀態還原快得多。 不過，如果伺服器包含從系統狀態資料中排除的資料，也就是您不想還原的資料，則裸機復原可能不是系統狀態還原的可行替代方案。 請考慮執行完整伺服器復原的優點，而不是特別針對伺服器執行系統狀態還原，並藉由執行您計畫稍後還原的適當備份類型來進行相應準備。 一般最佳做法是建議執行完整備份，此作法可供 BMR 或系統狀態還原類型使用。

  • 透過複寫重建 DC 時，您需要時間來複寫以網路為基礎的升級資料。 您可以將新的網域控制站放在與待升級合作夥伴相同的子網路中，以減少還原 DC 所需的時間。 這會將網路往返和輸送量所造成的延遲降到最低。

• 藉由下列方式縮短擷取備份媒體的時間：

  • 使用 Active Directory 資料庫掛接工具 (Dsamain.exe) 來識別用於還原作業的最佳備份。 如需如何使用 Active Directory 資料庫掛接工具的詳細資訊，請參閱 Active Directory 資料庫掛接工具逐步指南。
  • 以方便、安全且允許快速擷取的位置，清楚標記備份媒體，並以有條理的方式儲存媒體。 請確定您有適用於備份的有效認證。

• 強制從 DC 移除 AD DS，而不是重新安裝作業系統。 如果已找到全樹系失敗的原因純粹在 AD DS 的範圍內，您就不需要在 DC 上重新安裝作業系統。 如需強制從 DC 移除 AD DS 的詳細資訊，請參閱強制移除 Windows Server 2008 網域控制站 (https://go.microsoft.com/fwlink/?LinkId=132627)。

• 使用更快的磁帶裝置或磁碟備份，以縮短還原作業所需的時間。 其服務等級協定 (SLA) 更積極的企業可能會考慮改變樹系復原程序以加快復原速度。

由於樹系復原程序的複雜性和關鍵性本質，目前沒有端對端自動化功能。 比起程序自動化的技術問題，樹系復原程序在復原商務持續性的後勤和組織上更具挑戰。 因此，管理環境的個別人員應該建立該環境專屬的樹系復原計畫，然後自動執行可成功自動化的區段。

您可以使用命令列工具來執行大部分的樹系復原步驟。 因此，大部分的步驟都是可編寫指令碼的。 例如，Ntdsutil.exe 是樹系復原程序中最常使用的工具之一。

雖然指令碼可以加速復原，但在實際環境中套用這些指令碼之前，您必須先徹底測試這些指令碼。 此外，您必須根據 Active Directory 環境中的變更來加以更新，例如新增網域或 DC，或是新版本的 Active Directory。

下一步

• AD 樹系復原 - 先決條件
• AD 樹系復原 - 設計自訂樹系復原計畫
• AD 樹系復原 - 用來還原樹系的步驟
• AD 樹系復原 - 識別問題
• AD 樹系復原 - 決定如何復原
• AD 樹系復原 - 執行初始復原
• AD 樹系復原 - 程序
• AD 樹系復原 - 常見問題集 (FAQ)
• AD 樹系復原 - 復原多網域樹系內的單一網域
• AD 樹系復原 - 重新部署其餘 DC
• AD 樹系復原 - 虛擬化
• AD 樹系復原 - 清除