AD 林恢复 - 常见问题解答

尽管恢复速度不是本指南的主要目标，但可以通过以下方法实现更短的恢复时间：

• 创建详细的林恢复计划，定期更新它，并在至少一年一次的模拟测试环境中练习它。
• 执行 Windows Server 备份 FULL 备份 ，该备份提供裸机恢复（BMR）或系统状态恢复。
• 使用虚拟化域控制器 （DC） 克隆。 虚拟化 DC 克隆加快了获取部署其他域控制器以还原域服务的原始带宽的过程。 从每个域中的备份还原一个 DC 后运行的 DC，因为它是非授权还原，PDC 模拟器还必须在克隆作期间可用。 可以克隆其他虚拟化 DC，而不是等待可能较长的 AD DS 安装完成，并在安装后完成非关键复制。 虚拟 DC 托管在相对较少的连接良好的数据中心的林中，在恢复期间可能会从克隆中获益最大。 但是，在同一虚拟机监控程序主机上共置多个虚拟化 DC 的环境都应受益。
• 使用“从媒体安装 IFM ”，通过减少复制流量来缩短完成复制所需的时间，因为只会复制增量。 它还支持快速安装多个 DC。
• 如果使用复杂的远程站点方案（罕见）：-** 在中心或过渡站点中的一个或多个服务器上安装 AD DS，然后将其寄送到远程站点。
  • 除了主要数据中心位置中指定为主备份和灾难恢复 （BDR） 系统的 DC 之外，还对连接不佳/间歇性连接的 DC 实施备份/还原过程。 需要添加步骤，使还原的 DC 在其他位置与主数据中心 DC 同步。 为此，请指定一个 DC 作为计算机帐户引用，并且只允许 KDCSVC 运行。 在还原的其他 DC 上，使用 Netdom.exe按照重置域控制器密码中的步骤作
• 部署只读域控制器（RODC） RODC 可以在恢复过程中提供业务连续性，因为它们不必像可写 DC 那样与网络断开连接。 RODC 不执行出站复制。 因此，它们不会带来可写 DC 将破坏性数据复制回恢复环境所构成的风险。

影响林恢复过程持续时间的其他因素包括：

• 当域控制器是虚拟机时，可以利用快照还原将 DC 回滚到已知良好状态。 不建议使用此方法，因为用于备份的快照附带许多注意事项，例如 VM 服务器上快照的磁盘空间的可用性，以便具有可用的备份历史记录。 强烈建议使用常规备份作为恢复的主要手段。 VM 快照可能有助于在发生敏感更改后从问题恢复，例如域重命名或大型架构更新等林范围更新。 注意： 需要时，需要手动将 SYSVOL 标记为 DFSR 的权威。 有关虚拟化域控制器的详细信息，请参阅 虚拟化域控制器体系结构。

• 从备份还原 DC 时，查找和检索物理备份介质（例如磁带）需要一些时间，根据恢复方案重新安装作系统，以及从备份介质还原数据。

  Note

  可以通过执行 BMR 恢复而不是系统状态还原来减少重新安装作系统和从备份还原数据所需的时间。 由于裸机恢复是基于二进制的，因此它比系统状态还原快得多。 但是，如果服务器包含从不想还原的系统状态数据中排除的数据，则裸机恢复可能不是系统状态还原的可行替代方法。 请考虑执行完整服务器恢复而不是专门为服务器执行系统状态还原的优势，并通过执行稍后计划还原的相应备份类型进行相应准备。 一般最佳做法建议执行完整备份，该备份将为 BMR 或系统状态还原类型提供。

  • 通过复制重新生成 DC 时，复制数据需要一段时间才能进行基于网络的升级。 可以通过将新域控制器放置在合作伙伴提升的同一子网中来减少还原 DC 所需的时间。 这样可以最大程度地减少网络往返和吞吐量导致的延迟。

• 通过以下方式缩短检索备份介质的时间：

  • 使用 Active Directory 数据库装载工具（Dsamain.exe） 确定用于还原作的最佳备份。 有关使用 Active Directory 数据库装载工具的详细信息，请参阅 Active Directory 数据库装载工具分步指南。
  • 明确标记备份介质 ，以组织的方式将介质存储在方便但安全的位置，以便快速检索。 请确保根据备份拥有有效的凭据。

• 强制从 DC 中删除 AD DS ，而不是重新安装作系统。 如果已确定林范围故障的原因纯粹在 AD DS 范围内，则无需在 DC 上重新安装作系统。 有关强制从 DC 中删除 AD DS 的详细信息，请参阅 强制删除 Windows Server 2008 域控制器 （https://go.microsoft.com/fwlink/?LinkId=132627）。

• 使用更快的磁带设备或磁盘备份 来减少还原作所需的时间。 具有更激进的服务级别协议（SLA）的企业可能会考虑改变森林恢复程序以加快恢复速度。

由于林恢复过程的复杂性和关键性，目前没有端到端自动化。 林恢复过程更是恢复业务连续性的后勤和组织挑战，而不是流程自动化的技术问题。 因此，管理环境的个体应创建特定于该环境的林恢复计划，然后自动执行可成功自动执行的一部分。

可以使用命令行工具执行大部分林恢复步骤。 因此，大多数步骤都是可编写脚本的。 例如， Ntdsutil.exe 是林恢复过程中最常用的工具之一。

尽管脚本可以加快恢复速度，但在实际环境中应用这些脚本之前，必须对其进行彻底测试。 此外，必须根据 Active Directory 环境中的更改更新它们，例如添加新域或 DC 或新版本的 Active Directory。

Next steps

• AD 林恢复 - 先决条件
• AD 林恢复 - 设计自定义林恢复计划
• AD 林恢复 - 还原林的步骤
• AD 林恢复 - 确定问题
• AD 森林恢复 - 确定恢复方法
• AD 森林恢复 - 进行初始恢复
• AD 森林恢复 - 操作步骤
• AD 林恢复 - 常见问题解答
• AD 林恢复 - 恢复多域林中的单个域
• AD 林恢复 - 重新部署剩余 DC
• AD 林恢复 - 虚拟化
• AD 林恢复 - 清理