Tworzenie kopii zapasowej i przywracanie kontrolerów domeny usługi Active Directory
Tworzenie kopii zapasowej usługi Active Directory i zapewnienie pomyślnego przywrócenia w przypadkach uszkodzenia, naruszenia zabezpieczeń lub awarii jest krytyczną częścią konserwacji usługi Active Directory.
W tym artykule opisano odpowiednie procedury tworzenia kopii zapasowych i przywracania kontrolerów domeny usługi Active Directory za pomocą usługi Azure Backup, niezależnie od tego, czy są to maszyny wirtualne platformy Azure, czy serwery lokalne. W tym artykule omówiono scenariusz, w którym należy przywrócić cały kontroler domeny do jego stanu w momencie tworzenia kopii zapasowej. Aby sprawdzić, który scenariusz przywracania jest odpowiedni dla Ciebie, zobacz ten artykuł.
Uwaga
W tym artykule nie omówiono przywracania elementów z identyfikatora Entra firmy Microsoft. Aby uzyskać informacje na temat przywracania użytkowników usługi Microsoft Entra, zobacz ten artykuł.
Najlepsze rozwiązania
Upewnij się, że utworzono kopię zapasową co najmniej jednego kontrolera domeny. Jeśli wykonasz kopię zapasową więcej niż jednego kontrolera domeny, upewnij się, że kopie zapasowe ról FSMO (elastycznej operacji pojedynczego wzorca) są tworzone.
Często należy utworzyć kopię zapasową usługi Active Directory. Wiek kopii zapasowej nigdy nie powinien być starszy niż okres istnienia reliktu (TSL), ponieważ obiekty starsze niż TSL będą "nagrobowane" i nie będą już uznawane za prawidłowe.
Domyślny TSL dla domen opartych na systemie Windows Server 2003 z dodatkiem SP2 lub nowszym wynosi 180 dni.
Skonfigurowany protokół TSL można sprawdzić przy użyciu następującego skryptu programu PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Masz jasny plan odzyskiwania po awarii, który zawiera instrukcje dotyczące przywracania kontrolerów domeny. Aby przygotować się do przywrócenia lasu usługi Active Directory, przeczytaj Przewodnik odzyskiwania lasu usługi Active Directory.
Jeśli musisz przywrócić kontroler domeny i mieć pozostały działający kontroler domeny w domenie, możesz utworzyć nowy serwer zamiast przywracać z kopii zapasowej. Dodaj rolę serwera usług domena usługi Active Directory do nowego serwera, aby był kontrolerem domeny w istniejącej domenie. Następnie dane usługi Active Directory zostaną zreplikowane na nowy serwer. Aby usunąć poprzedni kontroler domeny z usługi Active Directory, wykonaj kroki opisane w tym artykule , aby wykonać oczyszczanie metadanych.
Uwaga
Usługa Azure Backup nie obejmuje przywracania na poziomie elementu dla usługi Active Directory. Jeśli chcesz przywrócić usunięte obiekty i możesz uzyskać dostęp do kontrolera domeny, użyj Kosza usługi Active Directory. Jeśli ta metoda jest niedostępna, możesz użyć kopii zapasowej kontrolera domeny, aby przywrócić usunięte obiekty za pomocą narzędzia ntdsutil.exe , jak wyjaśniono tutaj.
Aby uzyskać informacje o wykonywaniu autorytatywnego przywracania folderu SYSVOL, zobacz ten artykuł.
Tworzenie kopii zapasowych kontrolerów domeny maszyny wirtualnej platformy Azure
Jeśli kontroler domeny jest maszyną wirtualną platformy Azure, możesz utworzyć kopię zapasową serwera przy użyciu usługi Azure VM Backup.
Przeczytaj o zagadnieniach operacyjnych dotyczących zwirtualizowanych kontrolerów domeny w celu zapewnienia pomyślnych kopii zapasowych (i przyszłych przywracania) kontrolerów domeny maszyny wirtualnej platformy Azure.
Tworzenie kopii zapasowych lokalnych kontrolerów domeny
Aby utworzyć kopię zapasową lokalnego kontrolera domeny, należy utworzyć kopię zapasową danych stanu systemu serwera.
- Jeśli używasz usługi MARS, postępuj zgodnie z tymi instrukcjami.
- Jeśli używasz usługi MABS (Azure Backup Server), postępuj zgodnie z tymi instrukcjami.
Uwaga
Przywracanie lokalnych kontrolerów domeny (ze stanu systemu lub z maszyn wirtualnych) do chmury platformy Azure nie jest obsługiwane. Jeśli chcesz wybrać opcję przejścia w tryb failover ze środowiska lokalna usługa Active Directory na platformę Azure, rozważ użycie usługi Azure Site Recovery.
Przywracanie usługi Active Directory
Dane usługi Active Directory można przywrócić w jednym z dwóch trybów: autorytatywne lub nieuwierzytelnione. W przypadku przywracania autorytatywnego przywrócone dane usługi Active Directory zastąpią dane znalezione na innych kontrolerach domeny w lesie.
Jednak w tym scenariuszu ponownie kompilujemy kontroler domeny w istniejącej domenie, więc należy wykonać przywracanie nieautorytatywne .
Podczas przywracania serwer zostanie uruchomiony w trybie przywracania usług katalogowych (DSRM). Musisz podać hasło Administracja istrator dla trybu przywracania usług katalogowych.
Uwaga
Jeśli hasło modułu DSRM zostanie zapomniane, możesz je zresetować, korzystając z tych instrukcji.
Przywracanie kontrolerów domeny maszyny wirtualnej platformy Azure
Aby przywrócić kontroler domeny maszyny wirtualnej platformy Azure, zobacz Przywracanie maszyn wirtualnych kontrolera domeny.
Jeśli przywracasz jedną maszynę wirtualną kontrolera domeny lub wiele maszyn wirtualnych kontrolera domeny w jednej domenie, przywróć je tak jak każda inna maszyna wirtualna. Dostępny jest również tryb przywracania usług katalogowych (DSRM), więc wszystkie scenariusze odzyskiwania usługi Active Directory są realne.
Jeśli musisz przywrócić pojedynczą maszynę wirtualną kontrolera domeny w konfiguracji wielu domen, przywróć dyski i utwórz maszynę wirtualną przy użyciu programu PowerShell.
Jeśli przywracasz ostatni pozostały kontroler domeny w domenie lub przywracasz wiele domen w jednym lesie, zalecamy odzyskiwanie lasu.
Uwaga
Zwirtualizowane kontrolery domeny z systemu Windows 2012 korzystają z zabezpieczeń opartych na wirtualizacji. Dzięki tym zabezpieczeniom usługa Active Directory rozumie, czy przywrócona maszyna wirtualna jest kontrolerem domeny i wykonuje niezbędne kroki w celu przywrócenia danych usługi Active Directory.
Przywracanie lokalnych kontrolerów domeny
Aby przywrócić lokalny kontroler domeny, postępuj zgodnie z instrukcjami dotyczącymi przywracania stanu systemu do systemu Windows Server, korzystając ze wskazówek dotyczących specjalnych zagadnień dotyczących odzyskiwania stanu systemu na kontrolerze domeny.