Salah satu langkah yang paling penting dalam strategi recovery untuk domain controllers adalah untuk melakukan backup yang betul sementara sistem berfungsi dengan sempurna.
Sebagai tambahan kepada regular full backups, administrator harus melakukan regular system state backup. Restoring dari system state backup, lebih cepat daripada restoring dari full server backup.
Ketahui edisi Windows anda semasa menjalankan system state backup:
Dengan Windows Server 2008 R2 anda boleh menggunakan Windows Backup (GUI) untuk mengambil systemstatebackup. Dengan Windows Server 2008 anda mesti menggunakan wbadmin start systemstatebackup (CMD) untuk mengambil system state backup. Backup hanya boleh disimpan ke local drive (bukan drive yang sama dengan system state data), bukan ke shared folder atau disc.
Terdapat 3 jenis restoring Active Directory/AD Objects:
1. Nonauthoritative :
Nonauthoritative restoring domain controllers dan Active Directory database pada state of the time of backup. Apabila domain controller kembali online, Active Directory mereplikasi database dengan DC lain di domain. Apa-apa perubahan yang berlaku semasa backup direplikasi kepada restored domain controller. Penggunaan paling umum nonauthoritative restore adalah membawa keseluruhan DC kembali daripada failure.
2. Authoritative
Authoritative recovery digunakan untuk restore objek yang ditetapkan atau container of the object ke keadaannya pada masa backup. Fx., Jika administrator secara tidak sengaja delete OU yang mengandungi sebilangan besar user. Sekiranya anda restore server dari backup, proses default nonauthoritative tidak akan restore OU yang delete kerana domain controller dikemaskini kepada current status replication partners, yang bermaksud bahawa OU telah delete.
Apabila anda melakukan authoritative restore, anda menghalang objek tertentu dari backup daripada overwritten oleh Active Directory replication. Dengan authoritative restore, Update Sequence Number (USN) semakin bertambah supaya ia lebih tinggi daripada USN sedia ada objek (deleted) dalam Active Directory replication system. Gunakan authoritative restore untuk mengembalikan objek tertentu ke dalam Active Directory.
3. Active Directory Recycle Bin
Anda boleh menggunakan Active Directory Recycle jika AD DS anda run dengan Windows Server 2008 R2 FFL/DFL. AD Recycle Bin membantu meminimumkan directory service downtime dengan meningkatkan keupayaan anda untuk preserve dan restore objek Active Directory accidentally deleted tanpa restoring data Active Directory dari backups, restarting Active Directory Domain Services (AD DS), atau rebooting domain controllers.
Kaedah berikut adalah langkah langkah bagaimana untuk melakukan domain controller restore.
Dcpromo:
Jika server boot up tetapi Active Directory rosak, anda boleh menggunakan dcpromo
Run dcpromo untuk mengalihkan Active Directory dari domain controllers (Server akan menjadi member server)
Run dcpromo sekali lagi untuk install Active Directory. Data AD akan copy dari DC lain pada network
Run dcpromo / forceremoval jika anda tidak dapat remove Active Directory
Kelemahan menggunakan dcpromo adalah keseluruhan database Active Directory mesti direplikasi merentasi network dari domain controllers yang lain. Bagaimanapun, anda boleh menggunakan pilihan Install from Media untuk copy database dari media untuk mengurangkan network trafik.
Restore system state :
Sekiranya server boot tetapi Active Directory corrupt, anda boleh restore system state data dari backup baru-baru ini. Setelah backup itu restore, replikasi Active Directory hanya akan copy data yang diubah kepada domain controllers yang restored. Untuk menggunakan kaedah ini untuk restore domain controller :
Reboot dalam server Directory Services Restore Mode (DSRM). Gunakan salah satu kaedah berikut:
Reboot server. Berikutan skrin BIOS, tekan F8. Pilih Directory Services Restore Mode (DSRM)
Pada command prompt, taip:
bcdedit/set safeboot disrepair
shutdown -t 0 –r
Dari Command Prompt (Run as Administrator) run wbadmin start systemstaterecovery to restore system state data
Restart server dalam mod biasa. Jika anda menggunakan bcdedit untuk memulakan server dalam DSRM, taip command berikut pada command prompt :
bcdedit /deletevalue safeboot
shutdown -t 0 -r
Critical volume atau full server restore :
Jika anda tidak dapat reboot server, anda perlu melakukan critical volume atau full server restore. Restore ini rebuilds keseluruhan server, bersama dengan database Active Directory. Gunakan wbadmin start recovery untuk memulakan restoring. Full server restore bukan sahaja restore Active Directory, tetapi data pada semua volume lain juga.
Untuk enter DSRM, anda mesti supply recover mode password. Anda perlu menetapkan kata laluan ini semasa installation domain controller. Sekiranya anda perlu menetapkan sesuatu atau menukar kata laluan, gunakan langkah berikut:
Buka command prompt dengan klik Start, kemudian right-klik Command-Prompt dan pilih Run as Administrator
Type ntdsutil
Type set dsrm password
Type reset password on server <dcname>
Masukkan password
Sahkan password
Type quit, kemudian quit lagi