網絡安全第9章

第九章數據備份與恢復數據備份是一切災難發(fā)生的最后保障。本章重點備份的目的與主要功能主要的備份類型系統(tǒng)狀態(tài)數據企業(yè)容災計劃編制的基本思路WindowsServer2003域控制器的備份WindowsServer2003系統(tǒng)還原方VERITASBackupExec9.0企業(yè)容災策略編制VERITASBackupExec9.0數據備份與恢復的常用方法9.1備份概述備份就是把數據復制另一份保存在另一個位置。這個位置可以是本地計算機的磁盤上，也可以是其它計算機磁盤上，還可以是其它存儲媒體，如移動磁盤、磁帶、光盤等。它的目的就是在一旦正在使用的磁盤發(fā)生故障或數據丟失時，備份數據可以通過相應的工具軟件最大限度地恢復原有系統(tǒng)或數據，以最大限度地減小損失。

有些備份工具，如Windows2000/XP/Server2003系統(tǒng)自帶的“備份”工具ntbackup.exe，還可創(chuàng)建數據的卷影副本，以創(chuàng)建硬盤驅動器內容的即時副本，包括所有打開的文件或正在由系統(tǒng)使用的文件。用戶可以在備份工具運行時繼續(xù)訪問系統(tǒng)而不會損壞數據，可滿足絕大多數中小企業(yè)應用需求。

9.1.1備份的主要功能

備份的功能主要體現在以下幾個方面：在硬盤和其它媒體（如磁帶、光盤等）上存檔選擇的文件和文件夾。將存檔文件和文件夾還原到硬盤或其他可以訪問的磁盤上。使用“自動系統(tǒng)故障恢復”可以保存和還原從完全系統(tǒng)故障中恢復所需的所有系統(tǒng)文件和配置設置。復制所有遠程存儲數據和所有存儲在已裝入的驅動器中的數據。為所在計算機的系統(tǒng)狀態(tài)制作副本。創(chuàng)建日志，記錄所備份的文件以及備份的時間。備份計算機在此計算機或網絡發(fā)生故障時啟動系統(tǒng)所需的系統(tǒng)分區(qū)、啟動分區(qū)和文件。計劃常定期備份以保持存檔數據是最新的。9.1.2備份和還原所需要的權限

1.所需用戶權限

如果您是本地組中的管理員或BackupOperator組成員，則可以備份本地計算機上本地組適用的所有文件和文件夾；而如果您是域控制器上的管理員或BackupOperator組成員，您可以備份本地、域中或者具有雙向信任關系的域中所有計算機上的任何文件和文件夾。

2.所需其他條件

如果采用的存儲媒體是本地磁盤系統(tǒng)，則還需要保證您對硬盤的訪問不受磁盤配額限制的約束，否則您無法備份超過您在相應磁盤上剩余限制容量的數據。

3.備份媒體使用權限限制

以上介紹的是執(zhí)行備份任務時所需的用戶權限，對于備份數據的使用（包括從備份數據中恢復數據），我們也可以通過在備份任務中的相關選項來限制。

9.1.3系統(tǒng)狀態(tài)數據

在整個數據備份與還原任務中，除了一些網絡數據外，還有一個重要任務就是系統(tǒng)狀態(tài)的備份與還原，以便在系統(tǒng)受到損壞時及時恢復系統(tǒng)狀態(tài)。使用Windows2000/XPServer2003“備份”工具，您可以備份和還原書本中P338頁表9-1所列系統(tǒng)組件來備份系統(tǒng)狀態(tài)。而在Windows

XPProfessional系統(tǒng)中，系統(tǒng)狀態(tài)數據只包含注冊表、COM+類注冊數據庫、Windows文件保護下的文件和啟動文件等。

當您選擇備份或還原系統(tǒng)狀態(tài)數據時，所有與計算機相關的系統(tǒng)狀態(tài)數據將得以備份或還原。您不能具體選擇備份或還原系統(tǒng)狀態(tài)數據的單獨組件，這是由于系統(tǒng)狀態(tài)組件間的依存關系。然而，您可以還原系統(tǒng)狀態(tài)數據到備用位置。

9.2系統(tǒng)狀態(tài)數據

數據備份活動并不是孤立的一項工作，它不僅與數據恢復息息相關，而且它還關系了備份數據的完整性、有效性。

9.3.1備份計劃設計

一個好的備份和恢復體系結構應該包括容災計劃、程序和用于從災難或停電中恢復的工具，以及執(zhí)行恢復的詳細程序和標準。

1.容災計劃

容災計劃必須預見可能影響系統(tǒng)運行的事件并準備好這類事件的應對措施。例如，可能中斷Internet服務的事件有Internet連接問題、無法隨時替換的組件的小故障或者較復雜的軟件問題。

2.災難恢復計劃

災難恢復計劃使單位能夠從無法避免的災難和停電中進行恢復。

另外，本節(jié)還介紹了開發(fā)備份解決方案的最佳做法。9.2.2備份策略設計

規(guī)劃備份解決方案時，應考慮多種因素，如只備份必要的數據，仔細安排備份以及選擇執(zhí)行適當的備份類型。

1.避免不必要的備份

設計備份策略時，您往往喜歡對環(huán)境中的所有服務器執(zhí)行完全備份。但是請記住，您的目的是在發(fā)生停電或災難后成功地還原環(huán)境。

2.選擇適當的備份時間

對于執(zhí)行有效備份并同時對用戶造成最小的影響，各種類型的環(huán)境分別有不同的特點。

3.選擇適當的存儲媒體

除了確定備份的類型和執(zhí)行時間外，您還應當評估可用的存儲媒體類型，從而正確選擇。

9.2.3備份模式選擇

備份模式決定了對于要備份的數據而言，如何進行備份。有聯機備份（執(zhí)行備份時用戶仍可訪問數據）和脫機備份（備份數據前先使用戶無法訪問數據）兩種方法可用來執(zhí)行數據備份。

1.聯機備份

聯機備份在系統(tǒng)處于聯機狀態(tài)時進行，因此該策略造成的中斷最小。聯機備份通常用于必須保持全天可用的應用程序，如ExechangeServer和SQLServer，這兩種應用程序都支持聯機備份。

2.脫機備份

脫機備份在系統(tǒng)和服務處于脫機狀態(tài)下進行。此種備份在需要系統(tǒng)快照或者應用程序不支持聯機備份時使用。

9.2.4備份類型選擇

聯機和脫機備份可以使用多種備份類型。環(huán)境的SLA（ServiceLevelAgreement，服務等級協(xié)議）、備份窗口和恢復時間要求決定了對于該環(huán)境，哪種備份方法或哪幾種備份方法的組合最合適。

目前主要的備份類型有：完全備份、增量備份和差異備份三種類型。完全備份會備份所有數據，包括所有硬盤上的文件。每個文件都被標記為已備份；也就是說，會清除或重置存檔屬性。一個最新的完全備份磁帶可以用來完全還原某一時刻的服務器。

增量備份僅復制自上次完全備份或增量備份以來發(fā)生更改的所有數據。必須使用完全備份磁帶（無論有多舊）和所有的后續(xù)增量備份來還原服務器。

差異備份僅備份自上次完全備份以來發(fā)生更改的數據。要還原整個系統(tǒng)，需要一個完全備份磁帶和最新的差異磁帶。差異備份不將文件標記為已備份（即不清除存檔屬性）。9.2.5Windows備份工具所支持的備份類型

Windows系統(tǒng)備份工具中支持以下五種備份類型：副本備份：可以復制所有選定的文件，但不將這些文件標記為已經備份（換言之，不清除存檔屬性）。每日備份：用于復制執(zhí)行每日備份的當天更改過的所有選定文件。備份的文件將不會標記為已經備份（換句話說，沒有清除存檔屬性）。差異備份：用于復制自上次正?；蛟隽總浞菀詠硭鶆?chuàng)建或更改的文件。它不將文件標記為已經備份（換句話說，沒有清除存檔屬性）。增量備份：僅備份自上次正?；蛟隽總浞菀詠韯?chuàng)建或更改的文件。它將文件標記為已經備份（換句話說，存檔屬性被清除）。正常備份：用于復制所有選定的文件，并且在備份后標記每個文件（換言之，清除存檔屬性）。

9.2.6備份拓撲結構的選擇

備份和恢復系統(tǒng)可采用的拓撲結構可以分別是本地服務器備份、局域網連接NAS備份和基于SAN的系統(tǒng)。

1.本地服務器備份和恢復

在本地服務器備份配置中，每個服務器連接到自己的備份設備（通常是通過SCSI總線）。這種情況下，不占用局域網帶寬，但必須在本地服務器上手動管理存儲媒體。

2.基于局域網的備份和恢復

基于局域網的備份安裝是企業(yè)中常用的解決方案，它采用企業(yè)局域網備份軟件。

3.基于SAN的備份和恢復

能夠將磁盤空間子系統(tǒng)與備份和恢復集成在一起，就有了多個在基于SAN的環(huán)境中部署數據保護解決方案的選項。底層的SAN技術為存儲在SAN存儲中的數據提供了數種備份和恢復選項。

4.使用快照技術進行備份和恢復快照是一種提供特定時刻的給定文件系統(tǒng)或數據卷的一致圖像的機制。如果與備份和恢復集成在一起，快照可以提供功能強大的數據保護和高可用性的解決方案，主要有硬件和軟件快照兩種方式。

5.卷影復制服務

為了解決兼容性和互操作性問題，WindowsServer2003提供了卷影復制服務。它是一種快速創(chuàng)建數據副本和管理備份和快照的機制。它提供了Windows應用程序與時間點復制能力（基于硬件或基于軟件）交互的標準方法，從而使得獨立軟件供應商（ISV）能夠方便地利用存儲硬件提供的能力。

6.使用磁盤進行暫存?zhèn)浞?/p>

磁盤是用于存儲短期數據的一種可行的低成本替代方案。它們還允許快速檢索重要數據的另一個副本?？尚械囊环N策略是將備份和快照圖像暫存在本地磁盤或基于SAN的磁盤上。數據可以經常性地從一個磁盤復制到另一個磁盤。可以將它們頻繁地備份到磁帶上；具體的頻率取決于各種實施的要求。

9.3使用WindowsServer2003備份工具備份數據

Windows系統(tǒng)中的備份工具ntbackup.exe非常實用，雖然在功能上相對專業(yè)的備份軟件來說要差一些，但是它對于絕大數中小企事業(yè)單位來說，應該是足夠的。再加上它是隨系統(tǒng)的購買而購買了，無需另外花錢購買，所以在經濟上也非常適合這類企事業(yè)單位的特點。

9.3.1利用備份向導進行系統(tǒng)狀態(tài)備份

本節(jié)介紹了在WindowsServer2003系統(tǒng)中利用向導方式進行系統(tǒng)狀態(tài)備份的步驟。在這里關鍵是要掌握備份文件的選擇，要知道哪些是系統(tǒng)狀態(tài)數據。9.3.3創(chuàng)建WindowsServer2003備份全集

要完整備份運行WindowsServer2003的服務器的操作系統(tǒng)，必須備份系統(tǒng)狀態(tài)數據和操作系統(tǒng)文件。操作系統(tǒng)文件包括啟動分區(qū)和系統(tǒng)分區(qū)。WindowsServer2003的備份，包括系統(tǒng)狀態(tài)數據和操作系統(tǒng)文件，稱為Windows備份集。創(chuàng)建Windows備份集時，通常會希望重新安裝諸如Exechange的應用程序，因此創(chuàng)建Windows備份集時不必備份應用程序。必須在Windows備份集中包含以下數據，并且必須將所有的這些數據包含在一個備份中：系統(tǒng)狀態(tài)數據啟動分區(qū)（用以啟動計算機的磁盤分區(qū)。此分區(qū)的根目錄中包含隱藏文件，例如NTLDR和BOOT.ini。）系統(tǒng)分區(qū)（安裝WindowsServer2003系統(tǒng)的磁盤分區(qū)）。9.3.4備份域控制器

備份域控制器以確保它們的可用性是很重要的。備份域控制器就像備份Exechange成員服務器類似，它們主要區(qū)別僅在于，在備份域控制器時不必考慮Exechange數據庫。用于備份域控制器的方法取決于所選擇的災難恢復策略。

本節(jié)著重要掌握的是域控制器中哪些文件屬于域控制器備份時必須備份的系統(tǒng)狀態(tài)數據，以及在備份域控制器時必須注意和事項。

有關域控制器備份中系統(tǒng)狀態(tài)數據選擇和備份注意事項參見書本P359~P360頁。

9.4使用WindowsServer2003備份工具還原數據

WindowsServer2003的備分工具中除了可執(zhí)行備份任務外，同樣可以對所備份的數據進行還原。這其中包括一般數據還原、系統(tǒng)狀態(tài)數據還原和數據庫還原等。本節(jié)要向大家介紹具體的還原方法。首先要說明的是，數據的還原與備份一樣，同樣可以有手動方式和向導方式兩種。

9.4.1授權還原、原始還原和普通還原

在備份中，作為系統(tǒng)狀態(tài)數據一部分的分布式服務數據，如ActiveDirectory目錄服務數據等，可以使用原始還原、普通（非授權）還原和授權還原這三種還原方式中的任意一種進行還原。在這里要注意的是，這三種還原方式可還原的數據類型、還原方法和還原特點。9.5

VeritasBackupExec9.0數據備份與恢復基礎

說到Veritas（維他斯，也有稱“維爾斯”的）的數據備份解決方案那是全球最享有盛譽的，現在與著名的軟件開發(fā)商Symactec（賽門鐵克）進行了強強聯合。目前Veritas的企業(yè)數據備份解決方案的最新版本為9.0。

9.5.1VeritasBackupExec9.0新特性

新版本的BackupExec包括以下新增功能和特性：策略：提供了一種管理備份作業(yè)和策略的方法。策略包含作業(yè)模板，而作業(yè)模板是定義BackupExec處理作業(yè)的方式和時間的作業(yè)屬性。EFI系統(tǒng)分區(qū)的備份和恢復：在所有IntelItanium64位計算機上，必須有可擴展固件接口（EFI）才能啟動Windows。通過此最新版本，您就可以備份和恢復遠程IntelItanium64位計算機上的EFI系統(tǒng)分區(qū)數據。選擇列表的可用性時段：可以設置選擇列表中的資源可用于備份的時間范圍。自定義過濾器：為當前作業(yè)視圖和作業(yè)歷史記錄視圖創(chuàng)建和編輯自定義過濾器，以便僅顯示指定的信息。設置用于修復已停頓作業(yè)的閾值：如果BackupExec服務變得不響應，可以設置一個閾值，超過該閾值后，BackupExec將活動作業(yè)的狀態(tài)更改為“停頓”，并讓最初已經停頓的作業(yè)失敗，然后修復它們。保管庫規(guī)則：使您能夠為介質集指定將介質發(fā)送到保管庫的日期。此功能使您能夠用介質位置更新保管庫，并生成一個報告，以便以物理方式收集介質并將其放入或移出保管庫。BackupExecforWindowsServer環(huán)境檢查：這個新的實用程序在安裝BackupExec之前運行，檢查介質服務器是否具有正確的系統(tǒng)環(huán)境（操作系統(tǒng)版本、ServicePack等），并檢查第三方應用程序版本（IE、ODBC、MDAC等），并刪除以前未完全卸載的VERITAS產品。審計日志：使用審計日志可以查看有關在BackupExec中執(zhí)行的操作的信息。審計日志顯示活動的日期和時間、活動的執(zhí)行者、活動類型以及對活動的說明。自定義錯誤處理規(guī)則：除了對一組類似的錯誤或一類錯誤應用默認錯誤處理規(guī)則外，現在還可以為某個錯誤類別中的一個或多個特定的錯誤代碼創(chuàng)建自定義錯誤處理規(guī)則?！拔ㄒ幌俗R符”錯誤：作業(yè)日志中報告的每個錯誤都有一個唯一的代碼，稱為唯一消息標識符代碼（UMI）。這些代碼包含一些超鏈接，單擊它們可以轉到VERITASSoftware支持服務網站，以便訪問技術說明以及與特定錯誤有關的故障排除步驟。刪除運行一次的作業(yè)：用于在只運行一次的作業(yè)成功完成后刪除這些作業(yè)的選項可以幫助管理作業(yè)列表?？赏ㄟ^依次選擇工具、選項和計劃來設置這些選項，這些選項使您可以讓BackupExec在運行一次性作業(yè)后或這種作業(yè)成功運行后自動將其刪除。

9.5.2安裝條件

最新版本的BackupExec較前一版本相比，在安裝方面又有了一些特殊要求。以下是安裝BackupExec介質服務器和CASO服務器的最低系統(tǒng)要求：在操作系統(tǒng)方面，要求是：Windows2000Professional、Windows2000Server、Windows2000AdvancedServer、Windows2000Datacenter、WindowsXPProfessionalServicePack1或更高版本，以及WindowsServer2003系列。支持但不要求使用：WindowsStorageServer2003、WindowsSmallBusinessServer2000/2003操作系統(tǒng)。InternetExplorer6.0或更高版本；

在處理器方面則要求至少為Pentium系列系統(tǒng)和較新的兼容處理器；內存方面，BackupExec介質服務器要求至少256MB，推薦512MB或更多。虛擬內存建議比Windows推薦的總頁面文件大小多20MB。

9.5.3BackupExec的備份類型

在BackupExec中采用的是四種基本備份類型：完全備份、差異備份、增量備分和工作集備份。

完全備份：包括選擇用于備份的所有數據，并使用完全備份方法。BackupExec按照已備份的條件來檢測設備。可以使用歸檔位或修改時間來確定文件是否已經備份。

差別備份：包括上次完全備份以來更改過的所有文件。差別備份和增量備份之間的區(qū)別在于增量備份只包括自上次完全備份或增量備份以來更改過的文件。

增量備份：增量備份僅包括自從上次完全備份或增量備份以來更改過的文件。

工作集備份：工作集備份選項包括兩個選項；“當天更改的文件”和“在x天內最后訪問的文件”。

9.5.4備份方式中的“歸檔位”和時間修改

在上節(jié)介紹的四種備份方式中，之所以存在如此大的區(qū)別，其主要原因就是兩個方面：文件歸檔位和修改時間，這與Windows系統(tǒng)備份工具的存檔屬性和修改時間一樣。

1.文件歸檔位

在以上備份類型中，只要創(chuàng)建或更改文件，操作系統(tǒng)就激活歸檔位或修改位。除非選擇使用取決于日期和時間戳的備份方法，否則BackupExec將使用歸檔位確定文件是否已經備份，這是備份策略中的要素之一。

2.文件修改時間

另外，如果選擇使用“完全備份”-“備份文件”-“允許使用修改時間”的增量和差別備份、“差別備份”-“使用修改的時間”或“增量備份”-“使用修改的時間”備份方式，則BackupExec會使用文件的修改時間（而不是歸檔位）來確定是否需要將其備份。

9.5.5

BackupExec的工作機制

在BackupExec中，用戶使用管理控制臺來提交備份、恢復和實用程序操作（統(tǒng)稱為作業(yè)）。管理員可從介質服務器、掛接了存儲硬件的Windows服務器或某個遠程系統(tǒng)上運行管理控制臺。作業(yè)創(chuàng)建后，由運行在介質服務器上的BackupExec服務器組件進行處理。

所有與BackupExec系統(tǒng)的交互操作（如提交作業(yè)、查看結果以及執(zhí)行設備和介質操作）均可通過管理控制臺完成。書中圖9-51說明了各個組件是如何協(xié)同工作來向整個網絡提供完整的備份和恢復功能的。通過管理控制臺可以配置希望BackupExec在大多數作業(yè)中使用的設置（稱為默認選項）。但在設置特定的作業(yè)（如對所選工作站進行每周備份）時可以改寫這些默認選項?？梢詣?chuàng)建一次性作業(yè)（如將特定的文件恢復到服務器），也可以安排循環(huán)作業(yè)（如每日備份作業(yè)）。

9.5.6首次啟動

在第一次使用BackupExec時，程序會自動啟動一系列的向導，只有在完成這些向導的前提下才能進入正式使用。這些向導都是為以后的正式使用所進行的基礎配置的。這些向導可以幫助您設置BackupExec的功能，包括介質集、覆蓋保護設置、設備、登錄賬戶等。在準備BackupExec使它可以工作之前，您必須完成向導中適用的部分。

以下向導是“首次啟動向導”的組成部分：帶