還原虛擬網域控制站
您必須定期備份系統狀態,才能在災害還原案例期間還原實體或虛擬網域控制站 (DC)。 系統狀態包括 Active Directory 資料和記錄檔案、登錄、系統磁碟區以及作業系統的各種元素。 與 Active Directory 相容的備份應用程式可確保在還原程序後,本地資料庫和複寫的 Active Directory 資料庫一致,包括通知複寫夥伴叫用識別碼重設。 虛擬裝載環境和磁碟或 OS 映像應用程式,可讓系統管理員略過 DC 系統狀態還原期間發生的標準檢查和驗證。
如果您的 DC 虛擬機器 (VM) 失敗,但您看不到更新序號 (USN) 復原的跡象,則有兩種方式可以還原 VM:
如果您的系統在失敗前具有有效的系統狀態資料備份,您可以使用您在標記存留期內用來建立備份的 Active Directory 相容備份公用程式來還原它。 預設的標記存留期為 180 天,您應該定期備份 DC,且至少每 90 天備份一次。 如需有關決定標記存留期的詳細資訊,請參閱 [決定樹系的標記存留期]。
如果您有虛擬硬碟 (VHD) 檔案的工作複本,但沒有系統狀態備份,您可以使用先前的 VHD 複本來移除現有的 VM 並加以還原。 請務必在 DSRM 中啟動 VM,然後設定登錄屬性,如還原系統狀態備份中所述。 在此之後,在標準模式中重新啟動 DC。
決定備份 DC 的最佳方式
有數種方式可以備份您的 DC,但哪種方式最適合您的部署取決於多個因素。
如果您在 DC 上沒有重要資料,或在 DC 關閉之前沒有備份:
強制從 DC 移除 AD DS 角色。
移除失敗的網域控制站之電腦帳戶。
如有必要,請在成為下一個 DC 的取代伺服器上安裝 AD DS 角色。
如果您有系統狀態備份,請遵循還原系統狀態備份中的指示來還原 DC。
如果您在 VHD 檔案上有舊版 DC,請遵循使用 VHD 檔案還原虛擬 DC 中的指示。
如果舊版在支援 VM-GenerationID 參數的 Hyper-V 上執行 Windows Server 2012,則針對新的 VM 部署 VHD,然後以一般模式重新啟動 VM。
如果舊版執行不同版本的 Windows Server,您是否已在一般模式中啟動它?
如果沒有,請在 DSRM 中啟動 DC,將從備份登錄值還原的資料庫設定為 1,然後以正常模式重新啟動它。
如果是,請中斷虛擬 DC 與網路的連線,在 VM 的不同複本上還原並儲存任何必要的唯一資料,然後不要再次使用網路上的原始 DC。 此外,請從原始 DC 移除 AD DS 角色,或重新安裝 OS,然後將角色安裝至新版 DC。
如果您嘗試還原 RODC:
如果原始 DC 失敗之前有系統狀態資料備份,請使用它來還原 DC。
如果您沒有系統狀態備份,但您有舊版 DC 的 VHD 檔案,請移除失敗的 DC,然後使用 VHD 檔案中的備份來建立和啟動新的 VM。
如果您沒有其中一個備份,請執行下列命令,從網域控制站移除 AD DS 角色:
dcpromo /forceremoval執行命令之後,請在取代伺服器上安裝 AD DS 角色,使其成為 RODC。
還原系統狀態備份
如果 DC VM 存在有效的系統狀態備份,您可以遵循您用來備份 VHD 檔案的備份工具的還原程序,安全地還原備份。
重要
若要正確還原 DC,您必須在 DSRM (而不是正常模式) 下啟動 DC。 如果您在系統啟動期間錯過進入 DSRM 的機會,請先關閉 DC 的 VM,然後才能在標準模式中完全啟動它。 務必在 DSRM 中啟動 DC,因為在標準模式中啟動 DC 會遞增 USN,即使 DC 已與網路中斷連線也一樣。 如需 USN 復原的詳細資訊,請參閱 [USN 和 USN 復原]。
還原虛擬 DC 的系統狀態備份
若要還原虛擬 DC 的系統狀態資料備份:
啟動 DC 的 VM,然後按 F5 鍵以存取 Windows 開機管理程式。
如果提示您輸入連線認證,請遵循下列步驟:
立即選取 VM 上的 [暫停] 按鈕以暫停該程序。
輸入您的連線認證。
選取 VM 上的 [播放] 按鈕。
在 VM 視窗內選取,然後按 F5 鍵。
如果 Windows 開機管理程式未開啟,且 DC 開始在標準模式中啟動,請關閉 VM 以暫停該程序。 視需要重複此步驟多次,直到您能夠存取 Windows 開機管理程式為止。 您無法從 Windows 錯誤復原功能表存取 DSRM。 因此,關閉 VM,並在 Windows 錯誤復原功能表出現時再試一次。
在 Windows 開機管理程式中,按 F8 鍵以存取進階開機選項。
在 [進階開機選項] 底下,選取 [目錄服務還原模式],然後按 Eneter 鍵以在 DSRM 中啟動 DC。
針對您用來建立系統狀態備份的工具,使用適當的還原方法。 如果您使用 Windows Server Backup,請遵循執行 AD DS 的非權威還原指示。
使用 VHD 檔案還原虛擬 DC
如果沒有早於 VM 失敗的系統狀態資料備份,您可以使用 VHD 檔案來還原在 VM 上執行的 DC。 開始之前,請務必建立 VHD 檔案的複本。 這樣的話,如果您在程序期間遇到問題或錯過步驟,您可以使用複製的 VHD 再試一次。
警告
您不應使用此程序來替代定期規劃和排程備份。 Microsoft 不支援使用此程序執行的還原。 只有在沒有替代方案時,才使用此程序。
如果任何 VM 已啟動計畫在正常模式下用於還原的 VHD 複本,請不要使用此程序。
若要使用 VHD 檔案還原虛擬 DC:
使用先前的 VHD,在 DSRM 中啟動虛擬 DC。
- 不要在正常模式下啟動 DC。 如果您錯過 Windows 開機管理程式畫面,且 DC 開始在標準模式中啟動,請關閉 VM 以防止它啟動。
選取 [開始],然後輸入
regedit.exe並選取 [登錄編輯程式],以開啟登錄編輯程式。如果 [使用者帳戶控制] 對話方塊顯示,請確認顯示的動作如預期,然後選取 [是]。
在 [登錄編輯程式] 中,展開路徑
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters。尋找名為 DSA 上一個還原計數的值。 如果值存在,請記下設定。 否則,該設定的值會是預設值 (0)。 如果未顯示任何值,請勿手動設定值。
以滑鼠右鍵按一下 [參數] 索引鍵,選取 [新增],然後選取 [DWORD (32 位元) 值]。
輸入新名稱 [從備份還原的資料庫],然後按 Enter 鍵。
按兩下您剛才建立的值,以開啟 [編輯 DWORD (32 位元) 值] 對話方塊,然後在 [值資料] 欄位輸入 1。
在標準模式重新啟動 DC。
當 DC 重新啟動時,按兩下 [開始],然後選取 [事件檢視器],以開啟事件檢視器。
展開 [應用程式和服務記錄],然後選取 [目錄服務] 記錄。 確保事件會出現在詳細資料窗格中。
以滑鼠右鍵按一下 [目錄服務] 記錄,然後選取 [尋找]。
在 [尋找目標] 欄位中輸入 1109,然後選取 [找下一個]。
您應該會看到至少一個事件識別碼 1109 項目。 如果您沒有看到此項目,請繼續進行下一個步驟。 否則,按兩下該項目,然後檢閱文字。 確認文字顯示已對 InvocationID 進行更新,如以下範例輸出所示:
Active Directory has been restored from backup media, or has been configured to host an application partition. The invocationID attribute for this directory server has been changed. The highest update sequence number at the time the backup was created is <time> InvocationID attribute (old value):<Previous InvocationID value> InvocationID attribute (new value):<New InvocationID value> Update sequence number:<USN> The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.關閉 [事件檢視器]。
使用 [登錄編輯程式] 來驗證 DSA 上一個還原計數設定的值等於先前的值加一。 如果未顯示正確的值,而且在事件檢視器中找不到事件識別碼 1109 的項目,請驗證 DC 的 Service Pack 是最新的。
注意
您無法在相同 VHD 上再次嘗試此程序。 您可以使用 VHD 的複本或尚未在標準模式中啟動的不同 VHD,從步驟 1 開始再次嘗試。
關閉 [登錄編輯程式]。
其他內容
有關虛擬化 DC 的詳細資訊,請參閱 [使用 Hyper-V 虛擬化網域控制站]。