在Windows Server 2008中新增一个特性:AD数据库装载工具,此工具用来在不重启DC情况下创建或查看ADDS或ADLDS服务的数据库内容的快照,此快照基于AD数据库所在的卷使用VSS进行创建。AD数据库装载工具(dsamain.exe)通过比较不同时间所做的AD数据库快照来提高企业AD数据库恢复的过程,这样我们可以更好的决定使用哪个备份进行恢复那些丢失的数据,而不用通过分别恢复多个不同的AD数据库备份去决定使用哪个备份恢复AD数据库最合适。
使用AD数据库装载工具的场景如下:
简化林恢复过程
在以前的操作系统如Windows Server 2003 AD数据库的恢复过程中,我们要决定采取哪个备份来进行还原,如果采用最近的备份则可能会恢复更加多的有效数据,但是这也有可能会增加风险,所以我们经常要通过恢复不同时间的备份查看里面的数据后再决定采用哪个备份进行还原,所以我们需要不断的重启DC进行恢复数据,大大增加了宕机时间,如果使用AD数据库装载工具则这一恢复过程将得到改善。
审核修改与删除的对象
Dsamain.exe能够有助于我们进行检查AD数据库发生的变化。例如,如果有个对象突然被修改了,可以使用此工具来检查最近AD数据库所做的快照,通过比较发生对象的变化,并有助于决定在需要的时候进行进行恢复此变化。
默认情况下,出于安全起见,只有Domain Admins组与Enterprise Admins组的成员才允许访问AD DS数据库快照中的内容。
一、在命令行下使用ntdsutil创建AD DS数据库快照步并装载它,当然如果有AD数据库备份可以省略这一步,如下图所示:
二、使用AD数据库装载工具dsamain.exe进行加载上面的数据库快照或指定的数据库备份,默认情况下只有Domain Admins组与Enterprise Admins组的成员才有权限进行此操作,如果此数据库快照的DC已经不存在了,可以使用参数/allowNonAdminAccess允许非管理员进行此操作。在使用此命令行时需要指定四个端口号,ldap端口号不要使用与当前DC相冲突,其他三个端口依次类推即可,如下图所示:
三、使用LDP工具进行查看AD数据库快照的内容,选择“连接”输入localhost,端口号对应上面命令行输入的端口号,在此例中为50000,再选择bind,使用默认值,接下来选择查看菜单下面的树,并选择对应的目录分区,如域目录分区,如下图所示:
