AD 林恢复 - 常见问题解答

虽然恢复速度不是本指南的主要目标，但你可以通过以下方式缩短恢复时间：

• 创建详细的林恢复计划，定期更新，并在大小合理的模拟测试环境中对其进行练习，每年至少一次。
• 执行 Windows Server 备份完整备份，以提供裸机恢复 (BMR) 或系统状态恢复。
• 使用虚拟化域控制器 (DC) 克隆。 虚拟化 DC 克隆可加快部署额外域控制器以还原域服务的原始带宽的过程。 从每个域中的备份还原一个 DC 后运行的 DC，由于这是非权威还原，因此 PDC 模拟器在克隆操作期间也必须可用。 可以克隆其他虚拟化 DC，而不是等待可能较长的 AD DS 安装完成，并在安装后等待非关键复制完成。 虚拟 DC 托管在相对较少的连接良好的数据中心的林可能从恢复期间的克隆中获益最大。 但是，同一个域的多个虚拟化 DC 并置在同一虚拟机监控程序主机上的任何环境都应受益。
• 使用从介质安装 IFM 可减少复制流量，从而减少完整复制所需的时间，因为仅需复制增量。 它还支持快速安装多个 DC。
• 如果使用复杂的远程站点方案（罕见情况）：在中心或暂存站点中的一台或多台服务器上安装 AD DS，然后将其发送到远程站点。
  • 为连接不佳/处于间歇性连接的 DC 实施备份/还原过程，并为在主数据中心位置指定为主备份和灾难恢复 (BDR) 系统的 DC 实施备份/还原过程。 需要添加步骤，使还原的 DC 在其他位置与主数据中心 DC 同步。 为此，请指定一个 DC 作为计算机帐户引用，并只允许 KDCSVC 运行。 在还原的其他 DC 上，按照使用 Netdom.exe 重置域控制器密码的步骤进行操作
• 部署只读域控制器 (RODC) RODC 可以在恢复过程中提供业务连续性，因为它们不必像可写 DC 那样与网络断开连接。 RODC 不执行出站复制。 因此，它们不会带来可写 DC 在将破坏性数据复制回恢复环境时所构成的风险。

影响林恢复过程持续时间的其他因素包括：

• 如果域控制器是虚拟机，则可以利用快照还原将 DC 回退到已知良好状态。 不建议使用此方法，因为用于备份的快照有许多注意事项，例如 VM 服务器上快照的磁盘空间是否可用，以具有可用的备份历史记录。 强烈建议使用定期备份作为恢复的主要手段。 VM 快照可能有助于从敏感更改（例如域重命名或大型架构更新等林范围更新）后出现的问题中恢复。 注意：需要根据需要手动将 SYSVOL 标记为 DFSR 权威。 有关虚拟化域控制器的详细信息，请参阅虚拟化域控制器疑难解答。

• 从备份还原 DC 时，需要花费一些时间来查找和检索物理备份介质（例如磁带）、重新安装操作系统（具体取决于恢复方案）以及从备份介质还原数据。

  注意

  可以通过执行 BMR 恢复而不是系统状态还原来减少重新安装操作系统和从备份还原数据所需的时间。 由于裸机恢复是基于二进制的，因此其完成速度比系统状态还原要快得多。 但是，如果服务器包含从你不想还原的系统状态数据中排除的数据，则裸机恢复可能不是系统状态还原的可行替代方法。 请考虑为服务器执行完整服务器恢复（而不是系统状态还原）的优点，并通过执行稍后计划还原的适当备份类型进行相应准备。 一般最佳做法将建议执行完整备份，该备份将针对 BMR 或系统状态还原类型提供。

  • 通过复制重新生成 DC 时，复制用于网络升级的数据需要一段时间。 可以通过将新域控制器放置在与要升级的合作伙伴相同的子网中来减少恢复 DC 所需的时间。 这样可以最大程度地减少网络往返和吞吐量导致的延迟。

• 通过以下方式缩短检索备份介质的时间：

  • 使用 Active Directory 数据库装载工具 (Dsamain.exe) 确定用于还原操作的最佳备份。 有关使用 Active Directory 数据库装载工具的详细信息，请参阅 Active Directory 数据库装载工具分步指南。
  • 清楚地标记备份介质，并在方便但安全的位置以有条理的方式存储介质，以便快速检索。 请确保拥有有效的备份凭据。

• 强制从 DC 中删除 AD DS，而不是重新安装操作系统。 如果已确定林范围的故障原因纯粹在 AD DS 范围内，则无需在 DC 上重新安装操作系统。 有关强制从 DC 中删除 AD DS 的详细信息，请参阅强制删除 Windows Server 2008 域控制器 (https://go.microsoft.com/fwlink/?LinkId=132627)。

• 使用更快的磁带设备或磁盘备份来减少还原操作所需的时间。 具有较激进的服务级别协议 (SLA) 的企业可能会考虑更改林恢复过程以加快恢复速度。

由于林恢复过程的复杂性和关键性，目前没有端到端自动化。 林恢复过程与其说是流程自动化的技术问题，不如说是恢复业务连续性的安排协调和组织挑战。 因此，管理环境的个人应创建特定于该环境的林恢复计划，然后自动执行可成功自动化的部分。

可以使用命令行工具执行大多数林恢复步骤。 因此，大多数步骤都是可编写脚本的。 例如，Ntdsutil.exe 是林恢复过程中最常用的工具之一。

尽管脚本可以加快恢复速度，但在实际环境中应用这些脚本之前，必须对其进行全面测试。 此外，必须根据 Active Directory 环境中的更改（例如添加新域或 DC 或 Active Directory 的新版本）更新它们。

后续步骤

• AD 林恢复 - 先决条件
• AD 林恢复 - 制定自定义林恢复计划
• AD 林恢复 - 还原林的步骤
• AD 林恢复 - 确定问题
• AD 林恢复 - 确定如何恢复
• AD 林恢复 - 执行初始恢复
• AD 林恢复 - 过程
• AD 林恢复 - 常见问题解答 (FAQ)
• AD 林恢复 - 恢复多域林中的单个域
• AD 林恢复 - 重新部署剩余 DC
• AD 林恢复 - 虚拟化
• AD 林恢复 - 清理