活動目錄快照和DMT的終極使用---Windows2008 R2 新功能系列之九

    對於域環境來講，備份AD的重要性，也許每一個系統管理員都很清楚，更甚者不少朋友都曾經爲AD數據庫的恢復大傷腦筋。爲何會這樣呢？我有備份了，恢復就是了，這有什麼可傷腦筋的？！

    好，我來舉個例子，好比在咱們企業有3臺DC，單域環境，你做爲一個企業管理員，首先你很清楚，AD數據庫要常常備份，而且你也作了相應的備份計劃，或者你會在每次對AD作重要修改後手動備份。好比有一天，你刪除了一些用戶，爲了安全在刪除以前你作了備份，又過了幾天，你又刪除了個OU和幾個用戶，爲了安全你又在刪除以前作了備份，這樣的工做可能常常作，但忽然有一天，你想要恢復某個刪除的用戶，試問，你如何來肯定這個被刪除的用戶究竟存在於哪一個備份裏面？固然你是否是想找到該用戶被刪除前的最後一個備份吧？！若是知道了，就能夠利用受權還原方式來還原該用戶。但也許遺憾的是，面對這麼多備份，哪一個是呢？若是你有好的備註習慣，找到也許容易些。若是你沒有，這下就麻煩大了，你可能會嘗試恢復某個時間點的備份，若是沒有，還得嘗試恢復其它時間點的備份，這樣折騰來折騰去，也許你頭都大了，也不必定能找到。那有沒有比較快捷的方法，不用去還原，先看一下哪一個備份是咱們所須要的，而後找到後再還原呢？！那咱們今天講的快照和DMT就能夠幫你解決這個難題。

1、快照：簡言之就是把當前的系統狀態照下來，咱們只探討AD，所以，利用此功能就能夠把某個時間點AD的狀態保存下來。當須要時咱們就能夠利用DMT把這個快照掛載，從而來查看AD數據庫的狀態。

2、DMT（DataBase Mounting Tools）：就是利用dsamain.exe這個命令把上述的快照進行掛載，從而利用ADUC或LDP工具查看此快照中數據庫的狀態。

實際應用的時候，咱們能夠在每次作完成AD備份就作一次快照，固然咱們也能夠利用「計劃任務」建立計劃快照。接下來咱們就分三個步驟來完成這個工做。

步驟一：利用「計劃任務」完成計劃快照

步驟二：利用ntdsutil完成快照的查看和mounted工做

步驟三：利用dsamain.exe完成快照的掛載

步驟四：利用ADUC或LDP查看掛載後快照中裝據庫內容

實驗環境：一臺2008R2DC，計算機名n1，域名：net.com。

步驟一：利用「計劃任務」完成計劃快照

1. 開始---管理工具--任務計劃程序，單擊打開後以下圖：

2.以下圖，右擊選擇「建立任務」，你也能夠選擇「建立基本任務」根據嚮導完成。

3. 單擊後，在下圖所示中完成任務計劃的建立工做：

再選擇觸發器，單擊「新建」，設置什麼時間開始作快照，以下面幾張圖示。

如上圖，單擊肯定後，以下圖所示：

選擇「操做」，指定操做命令：以下圖

在添加參數裏：snap "act ins ntds" creat quit quit 這其實是在ntdsutil命令對話裏的多條命令的連續執行。

最後單擊「肯定」，以下：

再次單擊「肯定」，最後完成的任務計劃以下：

注：若是看不到，能夠單擊「刷新」。對於此任務，你能夠右擊選「運行」來測試。以下：

會當即彈出以下命令窗口，稍等片刻即完成快快照的建立工做。

步驟二：利用ntdsutil完成快照的查看和mounted工做

以管理員方式打開cmd窗口，運行ntdsutil，以下輸入命令：

如上圖，經過list all咱們看到總共建立了兩個快照，其中第二個快照即是咱們剛剛建立的。咱們利用mount 3或mount 4或mount { } 括號內是GUID，都可實現mount操做。

注：若是要刪除掛載，能夠運行unmount 1 或unmount 2或能unmount { }

打開「計算機」能夠查看掛載後的快照內容：

注意：$SNAP_200912211409_VOLUMEC$含義指明是在2009.12.21日14:09建立的快照，位於C盤。

打開後，以下所示：

注：實際上把整個C盤的狀態都照下來了。怎麼樣，夠強大吧~~

步驟三：利用dsamain.exe完成快照的掛載

以管理員的身份打開一個新的CMD窗口，以下所示：

注：上述這條命令就把AD數據庫掛載上了，但若是你要訪問該AD庫，必須經過LDAP的12345端口來鏈接。命令行中的彩選的夾偏偏就是我上面所提到的夾，因此路徑必定要寫對。

該窗口不要關閉，除非你結束了步驟四。

步驟四：利用ADUC或LDP查看掛載後快照中裝據庫內容

兩種方法鏈接該數據庫。咱們利用ADUC先打開如今的AD庫，把test用戶刪除，其實快照裏有test用戶。來測試不一樣點。

刪除test用戶後，以下所示：

（一）利用ADUC來鏈接快照裝據庫：

以下圖所示，用戶確實存在於快照數據庫中。

（二）利用LDP查看：

開始--搜索中輸入ldp，以下所示：

單擊肯定後，再次單擊「鏈接」菜單，選擇綁定（用戶身份，能夠當前管理員身份）。

以下繼續：

至此，咱們已經成功的查看了快照數據庫的內容。實驗結束。

後記：當咱們經過該方式查到了在哪一個AD備份中存在咱們要還原對象，就能夠進入到DSRM下進行AD的受權還原了。此部份內容，各位能夠關注個人「活動目錄系列文章」，此處略。

小結：上述不過給各位一個解決問題的方案，快照和DMT是2008添加的新功能，利用它爲咱們解決AD的恢復確實提供了很好的幫助，若是咱們願意，咱們也能夠啓用AD的回收站功能，在DS不離線狀態下，實現AD對象的恢復。固然這個功能的前提必須域環境所有是2008R2做DC，且林功能級別必須是Windows 2008R2方可。這部份內容，各位能夠參考ccfxny 的 http://ccfxny.blog.51cto.com/350339/201840。