通过BE11D在线备份和恢复AD中的颗粒度

★ Backup Exec 11d活动目录恢复代理

Symantec Backup Exec 11d在以前的版本上增加了许多新功能，活动目录恢复代理（Active Directory Recovery Agent，以下简称ADRA）就是这些新功能之一。Backup Exec 11d中引入了名为“粒度恢复（Granular Recovery Technology）”的技术，有了这项技术，我们可以通过ADRA快速、方便地恢复活动目录中的资源（GRT技术也应用于SQL Server, Exchange Server和SharePoint Portal Server，本文不涉及这些内容）。

        ADRA是什么，它有哪些功能？我们先来看一个场景：AD管理员意外地删除了所有属于财会部门的员工的AD账号，这一删除操作已经同步到所有的DC，怎样才能恢复这些被意外删除的对象呢？传统的方式是采用AD的权威性恢复，其过程如下：
        1，重新启动DC，按F8进入目录服务恢复模式；
        2，恢复系统状态数据；
        3，使用ntdsutil工具提升欲恢复的被删除对象；
        4，重新启动DC，等待AD同步完成。
        上述的恢复过程费时费力，需要恢复整个系统状态数据，需要两次重新启动DC，管理员要掌握ntdsutil工具的用法。
        在Backup Exec 11d以前的版本中，AD是作为系统状态数据的一部分来保护的，它只能作为一个整体来进行备份和恢复。ADRA在原有的AD保护功能之上增加了粒度恢复的部分，管理员可以有选择地恢复AD中的单个对象或属性，而且不需要重新启动DC。

        备份过程

让我们来看看这个诱人的功能是如何实现的。备份AD时，安装在DC上的代理程序读取存储在系统状态文件系统上的AD数据，传递给介质服务器，介质服务器将数据备份到磁带或磁盘设备。如果是备份到磁盘，目标文件不再是.bkf文件，而是以永久磁盘镜像（PDI）的方式存储。被保护的数据文件采用与数据源相同的方式存储在磁盘上，可以直接访问，以实现粒度恢复。如果是备份到磁带，整个备份过程将分为两个部分来完成：首先将AD数据备份到磁带，然后从AD中收集用于粒度恢复的编录信息，一并写入磁带。要实现粒度恢复的功能，我们需要在备份作业的属性中选择“启用从活动目录备份中恢复单独的对象”选项，如图ADRA Backup所示。



恢复过程

如果你从AD中删除一个对象，为了同步这一删除操作到整个AD，AD并不会立刻删除该对象，而是将其置于一个专门存放被删除对象的容器，同时该对象被设置墓碑标记，AD会定期清理这些对象，缺省的墓碑对象生命期是60天，也就是说，真正的删除操作发生60天之后。一旦该对象被真正的删除，Backup Exec将无法恢复该对象，但ADRA可以帮你重建该对象，按照AD的规定，新对象将无法使用与原对象相同的SID和GUID。如果备份集存储在磁盘之上，恢复过程非常简单，ADRA可以直接读取NTDS.DIT文件，用户可以在恢复窗口中看到备份集中所包含的所有AD对象和它们的属性，在用户选定了要恢复的对象或属性并提交恢复作业之后，相应的数据将被恢复到AD之中。如果备份集存储在磁带上，恢复过程要分两步执行：因为磁带设备不是随机访问设备，首先必须把备份集中的全部数据从磁带复制到磁盘缓存，然后才能够执行粒度恢复。要重建那些已经被清除的墓碑对象，你需要在恢复作业中选择“重新创建不能从Active Directory Deleted Objects容器恢复的已删除对象”选项，如图ADRA Restore所示。



使用ADRA的一些限制条件：

1，ADRA不支持32位的Windows XP专业版（支持64位的Windows XP专业版）；
2，不能在32位的介质服务器上通过ADRA保护64位的DC。
3，如果备份到磁带，ADRA将在数据备份完成后从DC上收集编录信息，因为时间点的差别，编录信息可能与备份集中的AD数据不完全一致。因此建议你选择磁盘作为ADRA的备份目标设备。
4，要使用重建已删除对象的功能，域中必须至少存在一台Windows Server 2003 DC。且备份操作必须通过Windows Server 2003 DC完成。
5，ADRA只能恢复那些在Windows Server 2003之上删除的AD对象。从Windows 2000 Server DC上删除的对象并不保存在已删除对象容器中。
-----------

测试了一下，没有实现颗粒度备份。还需要进一步的测试。