Active Directory-tartományvezérlők biztonsági mentése és visszaállítása
Az Active Directory biztonsági mentése és a sikeres visszaállítás biztosítása sérülés, sérülés vagy katasztrófa esetén az Active Directory karbantartásának kritikus része.
Ez a cikk az Active Directory-tartományvezérlők Azure Backuppal történő biztonsági mentésének és visszaállításának megfelelő eljárásait ismerteti, legyen szó Azure-beli virtuális gépekről vagy helyszíni kiszolgálókról. Egy olyan forgatókönyvet tárgyal, amelyben egy teljes tartományvezérlőt vissza kell állítania az állapotára a biztonsági mentéskor. A megfelelő visszaállítási forgatókönyv megtekintéséhez tekintse meg ezt a cikket.
Megjegyzés:
Ez a cikk nem ismerteti az elemek Visszaállítását a Microsoft Entra-azonosítóból. A Microsoft Entra-felhasználók visszaállításáról ebben a cikkben olvashat bővebben.
Best practices
Győződjön meg arról, hogy legalább egy tartományvezérlőről biztonsági másolatot készít. Ha egynél több tartományvezérlőről készít biztonsági másolatot, győződjön meg arról, hogy az FSMO (rugalmas egy főkiszolgálói művelet) szerepkörök mindegyikét biztonsági másolatot készít.
Gyakran biztonsági másolatot készít az Active Directoryról. A biztonsági mentési kor soha nem lehet régebbi a sírkő élettartamánál (TSL), mert a TSL-nél régebbi objektumok "sírkövesek" lesznek, és már nem tekinthetők érvényesnek.
A Windows Server 2003 SP2 és újabb rendszerekre épülő tartományok alapértelmezett TSL-értéke 180 nap.
A konfigurált TSL-t a következő PowerShell-szkripttel ellenőrizheti:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Rendelkezik egy egyértelmű vészhelyreállítási tervvel, amely útmutatást tartalmaz a tartományvezérlők visszaállításához. Az Active Directory-erdő visszaállításának előkészítéséhez olvassa el az Active Directory Erdő helyreállítási útmutatót.
Ha vissza kell állítania egy tartományvezérlőt, és továbbra is működő tartományvezérlője van a tartományban, a biztonsági másolatból való visszaállítás helyett létrehozhat egy új kiszolgálót. Adja hozzá a Active Directory tartományi szolgáltatások kiszolgálói szerepkört az új kiszolgálóhoz, hogy tartományvezérlő legyen a meglévő tartományban. Ezután az Active Directory-adatok replikálódnak az új kiszolgálóra. Ha el szeretné távolítani az előző tartományvezérlőt az Active Directoryból, kövesse az ebben a cikkben ismertetett lépéseket a metaadatok törléséhez.
Megjegyzés:
Az Azure Backup nem tartalmazza az Active Directory elemszintű visszaállítását. Ha vissza szeretné állítani a törölt objektumokat, és hozzáférhet egy tartományvezérlőhöz, használja az Active Directory Lomtárat. Ha ez a módszer nem érhető el, a tartományvezérlő biztonsági mentésével visszaállíthatja a törölt objektumokat az ntdsutil.exe eszközzel az itt leírtak szerint.
A SYSVOL mérvadó visszaállításáról ebben a cikkben olvashat bővebben.
Azure-beli virtuálisgép-tartományvezérlők biztonsági mentése
Ha a tartományvezérlő Azure-beli virtuális gép, az Azure VM Backup használatával biztonsági másolatot készíthet a kiszolgálóról.
Olvassa el a virtualizált tartományvezérlők működési szempontjait az Azure-beli virtuálisgép-tartományvezérlők sikeres biztonsági mentésének (és későbbi visszaállításának) biztosítása érdekében.
Helyszíni tartományvezérlők biztonsági mentése
Helyszíni tartományvezérlő biztonsági mentéséhez biztonsági másolatot kell készítenie a kiszolgáló rendszerállapot-adatairól.
- Ha MARS-t használ, kövesse az alábbi utasításokat.
- Ha MABS-t (Azure Backup Servert) használ, kövesse az alábbi utasításokat.
Megjegyzés:
A helyszíni tartományvezérlők (rendszerállapotból vagy virtuális gépekről) az Azure-felhőbe történő visszaállítása nem támogatott. Ha egy helyi Active Directory környezetből az Azure-ba szeretne feladatátvételt végrehajtani, fontolja meg az Azure Site Recovery használatát.
Active Directory helyreállítása
Az Active Directory-adatok kétféle módon állíthatók vissza: mérvadó vagy nem hiteles. Mérvadó visszaállítás esetén a visszaállított Active Directory-adatok felülírják az erdő többi tartományvezérlőjén található adatokat.
Ebben a forgatókönyvben azonban újraépítünk egy tartományvezérlőt egy meglévő tartományban, ezért nem hiteles visszaállítást kell végrehajtani.
A visszaállítás során a kiszolgáló címtárszolgáltatás-visszaállítási módban (DSRM) indul el. Meg kell adnia a címtárszolgáltatások visszaállítási módjának Rendszergazda istrator jelszavát.
Megjegyzés:
Ha elfelejtette a DSRM-jelszót, az alábbi utasítások segítségével alaphelyzetbe állíthatja.
Azure-beli virtuálisgép-tartományvezérlők visszaállítása
Azure-beli virtuálisgép-tartományvezérlő visszaállításához lásd: Tartományvezérlő virtuális gépek visszaállítása.
Ha egyetlen tartományvezérlő virtuális gépet vagy több tartományvezérlő virtuális gépet állít vissza egyetlen tartományban, állítsa vissza őket, mint bármely más virtuális gépet. A Címtárszolgáltatások visszaállítási módja (DSRM) is elérhető, így minden Active Directory-helyreállítási forgatókönyv működőképes.
Ha egyetlen tartományvezérlő virtuális gépet kell visszaállítania több tartománykonfigurációban, állítsa vissza a lemezeket, és hozzon létre egy virtuális gépet a PowerShell használatával.
Ha az utolsó fennmaradó tartományvezérlőt állítja vissza a tartományban, vagy több tartományt állít vissza egy erdőben, javasoljuk az erdő helyreállítását.
Megjegyzés:
A Virtualizált tartományvezérlők a Windows 2012-től kezdve virtualizációalapú védelmet használnak. Ezekkel a biztosítékokkal az Active Directory tisztában van azzal, hogy a visszaállított virtuális gép tartományvezérlő-e, és végrehajtja az Active Directory-adatok visszaállításához szükséges lépéseket.
Helyszíni tartományvezérlők visszaállítása
Helyszíni tartományvezérlő visszaállításához kövesse a rendszerállapot Windows Serverre való visszaállítására vonatkozó utasításokat a tartományvezérlő rendszerállapot-helyreállításával kapcsolatos speciális szempontokat ismertető útmutató segítségével.