W lutym br. Microsoft wprowadził na rynek Windows Server 2008 - swoją najważniejszą platformę serwerową od czasu Windows Server 2003, spełniającą wymagania sieci, aplikacji i usług sieciowych nowej generacji.

W Windows Server 2008 rozwinięto najlepsze cechy znane z poprzednich wersji Windows Server, dodając wiele nowych funkcji i wprowadzając szereg udoskonaleń. Windows Server 2008 zawiera także liczne poprawki i rozszerzenia dla usługi Active Directory, pozwalającej na efektywne zarządzanie zasobami sieciowymi.
Zasadnicza funkcjonalność Active Directory znana z Windows Server 2003 została nazwana w Windows Server 2008 - Active Directory Domain Services (AD DS), co odróżnia ją od innych nowych komponentów, takich jak Active Directory Certificate Services (AD CS), Active Directory Federation Services (AD FS), Active Directory LightWeight Directory Services (AD LDS) i Active Directory Rights Management Services (AD RMS). Należy wspomnieć również o Read-Only Domain Controller (RODC) - nowej funkcji bezpieczeństwa, która pozwala rozmieszczać kopię bazy domen w trybie tylko do odczytu, w środowiskach o słabszych zabezpieczeniach, np. w oddziałach firmy. RODC zawiera wszystkie obiekty i atrybuty AD DS, ale bez haseł konta. Pozwala to zabezpieczyć przed wprowadzeniem przez nieuprawnionych lub niedoświadczonych użytkowników niedozwolonych albo niepożądanych zmian, które mogłyby zostać przeniesione na cały las AD. Pomimo usprawnień, Active Directory DS, podobnie jak w poprzednich wersjach Windows Server, pozostał bardzo podatny na błędy ludzkie, awarie sprzętu czy źle skonfigurowany software. Uszkodzenie lub skasowanie danych może z kolei negatywnie wpłynąć na czas odpowiedzi aplikacji, produktywność użytkowników czy metryki biznesowe, dlatego właśnie tak istotne jest stworzenie odpowiedniego harmonogramu tworzenia kopii zapasowych, jak i posiadanie odpowiedniego planu odzyskiwania danych.
Odzyskiwanie obiektów i atrybutów AD przy użyciu standardowych narzędzi Windows Server 2003 było często procesem nie pozbawionym błędów i zajmującym dużo czasu. Badania  przeprowadzone w ponad 150 środowiskach IT pokazały, że w ostatnich latach aż 60% z nich miało co najmniej jeden przypadek poważnej awarii AD. Ze względu na rodzaj pojawiającego się problemu, jego rozwiązanie było czasochłonne.
W Windows Server 2008 wprowadzono zmiany w backupie i odzyskiwaniu danych AD. Jednak mimo nowego mechanizmu odzyskiwania oraz narzędzia do przeglądania danych backupu - odtworzenie utraconych obiektów AD wcale nie stało się szybsze i łatwiejsze niż miało to miejsce w przeszłości. Nowa metoda backupu nie jest ani podobna, ani kompatybilna z narzędziami używanymi w Windows Server 2003. Ponadto administratorzy IT zarządzający mieszanymi środowiskami Windows będą dodatkowo zmuszeni do korzystania z oddzielnych mechanizmów backupu dla każdego z nich. Nowe funkcjonalności i zmiany wpływające na proces backupu i odzyskiwania danych Active Directory w Windows Server 2008 można podzielić na trzy główne obszary: backup, troubleshooting (wykrywanie i rozwiązywanie problemów) oraz odzyskiwanie danych. 
Backup
Windows Server Backup to nowa funkcja Windows Server 2008, która zastąpiła NTBackup dostępny w poprzednich wersjach Windows Server. Według opisu Microsoft, Windows Server Backup to: "podstawowe rozwiązanie do backupu i odzyskiwania danych" , którego "prosty design powoduje, że jest to narzędzie wyjątkowo dopasowane dla małych organizacji lub osób, które nie są profesjonalistami IT" . Co w takim razie z bardziej rozbudowanymi środowiskami i specjalistami IT? Czy Windows Server Backup nie spełnia ich specyficznych potrzeb?
Jest wiele nowych możliwości zaprezentowanych w Windows Server Backup. Microsoft Management Console (MMC) Backup pozwala administratorom IT lub osobom odpowiedzialnym za przeprowadzanie backupu zarządzać lokalnymi i zdalnymi procesami backupu serwerów za pomocą tego samego interfejsu użytkownika. Za pomocą Windows Server Backup można teraz przeprowadzać backup danych z takich aplikacji jak Microsoft SQL Server oraz Windows SharePoint Services, używając do tego Volume Shadow Copy Service (VSS).
Mimo nowych możliwości Windows Server Backup występuje kilka ograniczeń, które mają wpływ na proces backupu, a w szczególności na backup Active Directory. Windows Server Backup nie jest kompatybilny z wcześniejszymi wersjami, dlatego nie można odzyskać backupów utworzonych za pomocą NTBackup. Jest mniej granularny od wcześniejszych funkcjonalności. Mając na uwadze złożone kontrolery domen ustalone w wielu dużych firmach i instytucjach, może to skomplikować proces backupu i odzyskiwania danych Active Directory. Np. Windows Server Backup nie pozwala na tworzenie backupów wyłącznie stanu systemu, tak więc każdy wolumin zawierający komponenty AD musi zostać "zbackupowany" w całości. W zależności od tego, gdzie znajdują się logi, SYSVOL, Windows directory czy boof files, baza danych AD, może wystąpić konieczność backupu wielu partycji serwera. Mimo wprowadzonych ulepszeń w wydajności funkcji backupu w Windows Server 2008, tak obszerny backup pochłania dodatkową przestrzeń dyskową. W rezultacie wydłuża się również czas odzyskiwania danych, ponieważ administratorzy IT mają do przebadania duże backupy zawierające niepotrzebne dane.
Troubleshooting
Windows Server 2008 posiada nową funkcję nazywaną AD DS Snapshot Viewer, stworzoną w celu uproszczenia przeglądania danych backupu. Przy pomocy Snapshot Viewer można przeglądać utworzone za pomocą Volume Shadow Copy Service (VSS) migawki (snapshots) danych backupu AD. Pozwala to określić jeszcze przed rozpoczęciem procesu odzyskiwania, czy dany backup zawiera poszukiwane dane. Dzięki VSS możemy przeglądać migawki kontrolera domen w trybie tylko do odczytu, bez potrzeby uruchamiania kontrolera domen w Directory Services Restore Mode (DSRM). Windows Server 2003 nie miał możliwości podglądu backupów AD utworzonych w rożnym czasie. Jedyną możliwością sprawdzenia jakich obiektów brakuje, było przeprowadzenie nie-autorytatywnego odzyskania danych przez restart AD w DSRM. Snapshot Viewer jest wygodną funkcją, jednak, żeby wykryć zmiany, trzeba manualnie przechodzić przez dane, porównując migawki z aktualną bazą danych. W zależności od rozmiaru i rodzaju zmian, może to zająć sporo czasu. Podobne funkcje jak Snapshot Viewer posiada AD Explorer firmy Sysinternals (przejętej ostatnio przez Microsoft). AD Explorer to bazujące na Windows narzędzie, które pozwala na bezpośredni podgląd i edytowanie bazy danych AD. Narzędzie to upraszcza przeglądanie bazy danych. Pozwala na tworzenie migawek bazy danych i przeprowadzanie prostego porównania poszczególnych wersji backupu, w celu zidentyfikowania zmian. Narzędzie to nie oferuje jednak funkcji odzyskania wybranych obiektów.
Odzyskiwanie danych
Po ustaleniu backupu AD, który zawiera potrzebne nam dane, kolejnym krokiem jest ich odzyskanie. Niestety w Windows Server 2008 nie wprowadzono żadnych usprawnień tego procesu. Tak jak w poprzednich wersjach, trzeba wykonać reboot kontrolera domen w DSRM w celu  przeprowadzenia autorytatywnego lub nie-autorytatywnego odzyskania danych. Można uprościć ten proces poprzez użycie jednego z dostępnych na rynku, darmowych rozwiązań wspierających odzyskiwanie skasowanych obiektów zarówno w Windows Server 2003, jak i Windows Server 2008, np. ADRestore firmy Sysinternal czy Object Restore for AD firmy Quest Software. Pozwalają one na odtworzenie usuniętych obiektów AD bez rebootowania kontrolera domen. Odzyskiwanie danych przeprowadzane jest za pomocą interfejsu Tombstone Reanimation. Niestety taki sposob odzyskiwania danych nie jest pozbawiony wad - po odzyskaniu danego obiektu, nadal konieczne jest ręczne przywrócenie atrybutów, przynależności do grup czy backlinks.
Przykład: backup i odzyskiwanie danych AD za pomocą standardowych narzędzi dostarczanych z Windows Server 2008 
Firma, średniej wielkości, wykorzystuje AD do zarządzania dostępem użytkowników do wielu różnych aplikacji, m.in. Microsoft Exchange, SQL Server, SAP All-in-One. Firma przeprowadziła właśnie migrację do Windows Server 2008. W wyniku przejęcia innej firmy konieczne było przeprowadzenie reorganizacji i integracji systemów. Wydawało się, że procesy te przebiegną bez problemów. Dzial IT miał do przeniesienia setki kont AD. Musiał się również upewnić, że wszystkie zmiany zostały przeniesione do kilkudziesięciu kontrolerów domen. Dokonując tych zmian dział IT przeprowadził również update Group Policy Objects (GPO) w celu zapewnienia zgodności w całej organizacji. Wszystko przebiegało zgodnie z planem i bez problemów. Telefony do helpdesku IT zaczęły się w poniedziałek, kiedy pracownicy działu obsługi klienta chcieli rozpocząć pracę - część osób nie mogła się zalogować. Pracownicy tego działu nie pracowali w okresie przeprowadzania reorganizacji (weekend). Dział IT wywnioskował, że pojawił się jakiś problem związany ze zmianami wprowadzonymi właśnie w AD. Pierwszym krokiem było ustalenie momentu wprowadzenia zmian. Backup jest przeprowadzany w firmie co 6 godzin. Dział IT szybko ustalił, że zmiany wprowadzono w piątek po południu pomiędzy 12 a 17. Za pomocą nowego narzędzia AD DS Snapshot Viewer dostępnego w Windows Server 2008, zespół informatyków rozpoczął analizowanie zmian przeprowadzonych na indywidualnych kontach użytkowników, jednostkach organizacyjnych OU oraz obiektach GPO w dwóch backupach przeprowadzonych w tym właśnie czasie. Przyczynę problemu udało się ustalić szybko.-  wystąpienie podobnych nazwisk, co spowodowało ich usunięcie. Niestety znacznie więcej czasu trzeba było przeznaczyć na jego naprawienie. Użytkownicy, którzy nie mogli się zalogować po prostu nie istnieli w AD. Konta, które miały być przeniesione, zostały zamiast tego usunięte. Zespół informatyków musiał teraz porównać dwa backupy z piątku i za pomocą Snapsshot Viewer, przeszukać backupy dla każdego z nazwisk, sprawdzając czy pojawiły się w backupie. Po potwierdzeniu nazw użytkowników rozpoczął się proces odtwarzania. Pierwszym krokiem było zrestartowanie kontrolera domeny w trybie recovery. Potem zespół odtworzył plik backupu zawierający usunięte konta, uważając przy tym na to, żeby nie zrestartować kontrolera i zapobiec synchronizacji z wersjami online. Odtwarzanie danych w Windows Server 2008 jest przeprowadzane w ten sam sposób jak w Windows Server 2003. Za pomocą ntdsutil i komend odtworzenia autorytatywnego, zespół IT zaznaczał każde usunięte konto po kolei jako autorytatywne w bazie danych - restore object DistinguishedName. Następnie zrestartowano kontroler domen. Kiedy zmiany na właściwych kontach zostały już przeprowadzone, wykonano jeszcze replikację do kontrolerów domen. Problem udało sie rozwiązać, jakkolwiek wymagało to czasu. Mimo wprowadzenia wielu ulepszeń i udogodnień w Windows Server 2008, to proces wbudowanego backupu i odzyskiwania danych AD DS nie został udoskonalony. Nowe narzędzia ułatwiają określone aspekty tego procesu, ale nie upraszczają w znaczący sposób odtwarzania usuniętych lub zmienionych obiektów AD.
Odzyskiwanie danych w firmach i instytucjach jest ważnym procesem. Właściwie zaplanowany harmonogram wykonywania kopii zapasowych oraz staranność ich wykonywania ma duży wpływ na  proces zabezpieczenia danych przed ich utratą, a w razie konieczności ułatwia ich szybkie odtworzenie. W procesie backupu i odzyskiwania danych pomocne okazuje się oprogramowanie narzędziowe firmy Quest Software, tj. Quest Recovery Manager for Active Directory. Rozwiązanie to pozwala na odzyskiwanie danych AD DS w trybie online (bez konieczności restartowania kontrolerów domen). Znacznie skraca czas potrzebny na odzyskanie danych - odtworzenie całej domeny, OU czy GPO, wybranego konta czy indywidualnych atrybutów, a także stanu systemu. Może być nawet kilkadziesiąt razy szybsze niż standardowe narzędzia Windows Server. Quest Recovery Manager wspiera wszystkie wersje Windows Serever od 2000 do 2008. W przypadku Windows Server 2008 specjalistyczne narzędzia stanowią nie tyle alternatywę, ale często konieczność, żeby móc efektywnie i szybko odzyskiwać wszystkie obiekty AD powstałe w wyniku problemów konfiguracyjnych i z oprogramowaniem oraz błędów użytkowników. Takie rozwiązania szczególnie polecane są firmom korzystającym z różnych wersji Windows Server lub różnych środowisk IT. Narzędzia te pozwalają na scentralizowane zarządzanie procesem backupu i odzyskiwania danych, co na istotny wpływ na jakość i efektywność całego procesu.