生产活动目录不宜做快照，克隆，直接备份VMDK；

参考微软官方文档：

https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/virtualized-domain-controllers-hyper-v#usn-and-usn-rollback

 

要避免的备份和还原做法

如前所述，在虚拟机中运行的域控制器的限制不适用于在物理计算机上运行的域控制器。 在备份或还原虚拟域控制器时，某些虚拟化软件功能和做法不应使用：

• 请勿复制或克隆域控制器的 VHD 文件，而不是执行定期备份。 如果复制或克隆了 VHD 文件，则该文件将过时。 然后，如果 VHD 在正常模式下启动，则会遇到 USN 回滚。 应 Active Directory 域服务 (AD DS) （如使用 Windows Server 备份功能）执行正确的备份操作。
• 不要使用快照功能作为备份来还原配置为域控制器的虚拟机。 当你将虚拟机恢复到 Windows Server 2008 R2 及更早版本时，复制将会出现问题。 有关详细信息，请参阅 USN 和 USN 回滚。 尽管使用快照还原只读域控制器 (RODC) 不会导致复制问题，但仍不推荐这种还原方法。

还原虚拟域控制器

若要在域控制器出现故障时对其进行还原，必须定期备份系统状态。 系统状态包括 Active Directory 的数据和日志文件、注册表、系统卷 (SYSVOL 文件夹) 和操作系统的各种元素。 此要求对于物理域控制器和虚拟域控制器都是相同的。 与 Active Directory 兼容的备份应用程序执行的系统状态还原过程旨在确保还原过程后本地和复制 Active Directory 数据库的一致性，包括通知调用 ID 的复制伙伴重置。 但是，使用虚拟宿主环境和磁盘或操作系统映像应用程序，管理员可以绕过域控制器系统状态还原时通常会发生的检查和验证。

如果域控制器虚拟机出现故障，并且更新序列号 (USN) 回滚，则还原虚拟机的情况有两种：

• 如果存在早于故障的有效系统状态数据备份，则可以使用用于创建备份的备份实用程序的还原选项还原系统状态。 系统状态数据备份必须在 tombstone 生存时间（默认情况下不超过180天）内使用与 Active Directory 兼容的备份实用程序创建。 应至少每半个逻辑删除生存期备份域控制器。 有关如何确定林的特定逻辑删除生存期的说明，请参阅 确定林的逻辑删除生存期。
• 如果 VHD 文件的工作副本可用，但没有可用的系统状态备份，则可以删除现有的虚拟机。 使用 VHD 以前的副本还原现有的虚拟机，但要确保在目录服务还原模式下启动 (DSRM) 并正确配置注册表，如以下部分所述。 然后，在正常模式下重新启动域控制器。

使用下图中的过程来确定还原虚拟化域控制器的最佳方式。

对于 Rodc，还原过程和决策更为简单。

还原虚拟域控制器的系统状态备份

如果域控制器虚拟机存在有效的系统状态备份，则可以按照备份工具（用于备份 VHD 文件）所规定的还原过程来安全地还原备份。

 重要

若要正确还原域控制器，必须在 DSRM 中启动它。 不得允许域控制器在正常模式下启动。 如果在系统启动期间错过了进入 DSRM 的机会，请先关闭域控制器的虚拟机，然后才能在正常模式下将其完全启动。 必须在 DSRM 中启动域控制器，因为在正常模式下启动域控制器会递增其 Usn，即使域控制器已与网络断开连接也是如此。 有关 USN 回滚的详细信息，请参阅 USN 和 USN 回滚。

还原虚拟域控制器的系统状态备份

1. 启动域控制器的虚拟机，并按 F5 访问 Windows 启动管理器屏幕。 如果需要输入连接凭据，请立即单击虚拟机上的 " 暂停 " 按钮，使其不会继续启动。 然后，输入连接凭据，并单击虚拟机上的 " 播放 " 按钮。 在虚拟机窗口中单击，并按 F5。

   如果看不到 Windows 启动管理器屏幕，并且域控制器开始在正常模式下启动，请关闭虚拟机以防止其完成启动。 根据需要重复此步骤多次，直到可以访问 Windows 启动管理器屏幕。 不能从 Windows 错误恢复菜单访问 DSRM。 因此，请关闭虚拟机，并在出现 Windows 错误恢复菜单时重试。

2. 在 Windows 启动管理器屏幕中，按 F8 访问高级启动选项。

3. 在 " 高级启动选项 " 屏幕中，选择 " 目录服务还原模式 "，然后按 enter。 这会在 DSRM 中启动域控制器。

4. 使用用于创建系统状态备份的工具的相应还原方法。 如果使用 Windows Server 备份，请参阅 执行 AD DS 的非权威还原。

当相应的系统状态数据备份不可用时还原虚拟域控制器

如果你没有早于虚拟机失败的系统状态数据备份，则可以使用以前的 VHD 文件来还原虚拟机上运行的域控制器。 如果可以，创建 VHD 的副本，以便在过程中遇到问题或错过某个步骤时，可以使用复制的 VHD 重试。

 重要

• 不应考虑使用以下过程作为定期计划备份和计划备份的替代方法。
• 使用以下过程执行的还原不受 Microsoft 支持，只应在没有其他替代项时使用。
• 如果要还原的 VHD 副本已由任何虚拟机在正常模式下启动，则不要使用此过程。

还原以前版本的虚拟域控制器 VHD 而不进行系统状态数据备份

1. 使用以前的 VHD，如前一部分中所述，在 DSRM 中启动虚拟域控制器。 不允许域控制器在正常模式下启动。 如果错过了 Windows 启动管理器屏幕，并且域控制器开始在正常模式下启动，请关闭虚拟机以防止其完成启动。 有关输入 DSRM 的详细说明，请参阅上一节。

2. 打开注册表编辑器。 若要打开注册表编辑器，请单击 " 开始 "，再单击 " 运行 "，键入 regedit ，然后单击 "确定"。 如果出现了“用户帐户控制” 对话框，请确认其所显示的操作是你要采取的操作，然后单击“是” 。 在注册表编辑器中，展开以下路径： HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters 。 查找名为 " DSA 先前还原计数 " 的值。 如果值为，请记下该设置。 如果值不存在，则设置等于默认值0。 如果看不到任何值，请不要添加值。

3. 右键单击 Parameters 项，单击 " 新建 "，然后单击 " DWORD (32 位) 值 "。

4. 键入 " 从备份中还原 的新名称数据库"，然后按 enter。

5. 双击刚才创建的值，打开 " 编辑 DWORD (32 位) 值 " 对话框，然后在 " 值数据 " 框中键入 1 。 在运行带有 Service Pack 4 的 Windows 2000 Server (SP4) ，Windows Server 2003 的域控制器上提供了在 windows server 2003、Windows server 2008 和 Windows server 2008 R2 （安装了 Microsoft 知识库）和 windows server 2008 上检测和恢复中包含的更新的域控制器上的 " 从备份中还原的数据库 " 选项。

6. 在正常模式下重新启动域控制器。

7. 当域控制器重新启动时，打开事件查看器。 若要打开事件查看器，请依次单击“开始” 、“控制面板” ，双击“管理工具” ，然后双击“事件查看器” 。

8. 展开 " 应用程序和服务日志 "，然后单击 " 目录服务 " 日志。 确保 "详细信息" 窗格中显示事件。

9. 右键单击 " 目录服务 " 日志，然后单击 " 查找 "。 在 " 查找内容 " 中，键入 1109 ，然后单击 " 查找下一个 "。

10. 应该会看到至少一个事件 ID 1109 条目。 如果看不到此条目，请转到下一步。 否则，请双击该条目，然后查看确认已对 InvocationID 进行更新的文本：

    复制

    Active Directory has been restored from backup media, or has been configured to host an application partition.
    The invocationID attribute for this directory server has been changed.
    The highest update sequence number at the time the backup was created is <time>
    
    InvocationID attribute (old value):<Previous InvocationID value>
    InvocationID attribute (new value):<New InvocationID value>
    Update sequence number:<USN>
    
    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.
    

11. 关闭事件查看器。

12. 使用注册表编辑器验证 DSA 先前还原计数 中的值是否等于前一个值加1。 如果这不是正确的值，并且在事件查看器中找不到事件 ID 1109 的条目，请确认域控制器的 service pack 是最新的。 你不能在同一 VHD 上再次尝试此过程。 你可以在 VHD 副本上重试，或通过从步骤1开始，在正常模式下重试。

13. 关闭注册表编辑器。

USN 和 USN 回滚

本部分介绍由于使用较旧版本的虚拟机还原 Active Directory 数据库时可能会发生的复制问题。 有关 Active Directory 复制过程的更多详细信息，请参阅 Active Directory 复制概念

Usn

Active Directory 域服务 (AD DS) 使用 (Usn) 的更新序列号来跟踪域控制器之间的数据复制。 每次对目录中的数据进行更改时，USN 会递增以指示已进行了更改。

对于目标域控制器存储的每个目录分区，Usn 用于跟踪域控制器引入其数据库的最新源更新，以及存储目录分区副本的每个其他域控制器的状态。 当域控制器将更改复制到其他域控制器时，它们会查询其复制伙伴的 Usn 更改，这些更改大于域控制器从每个伙伴收到的最后一次更改的 USN。

以下两个复制元数据表包含 Usn。 源域控制器和目标域控制器使用它们来筛选目标域控制器需要的更新。

1. 最新矢量 ：目标域控制器为跟踪从所有源域控制器接收的源更新而维护的表。 当目标域控制器请求对目录分区进行更改时，它将为源域控制器提供最新的矢量。 然后，源域控制器使用此值来筛选它发送到目标域控制器的更新。 在成功完成复制循环后，源域控制器会将其最新矢量发送到目标，以确保目标域控制器知道它已与每个域控制器的原始更新同步，并且更新与源处于同一级别。
2. 高水印 ：目标域控制器维护的一个值，用于跟踪从特定分区的特定源域控制器接收的最新更改。 高水位线阻止源域控制器发送目标域控制器已收到的更改。