النسخ الاحتياطي لوحدات التحكم بمجال Active Directory واستعادتها باستخدام Azure Backup

توضح هذه المقالة كيفية النسخ الاحتياطي لوحدات التحكم بمجال Active Directory واستعادتها باستخدام Azure Backup، إما قيد التشغيل على أجهزة Azure الظاهرية (VMs) أو الخوادم المحلية. يمكنك استخدام الإجراءات الموصى بها لحماية بيئة Active Directory واسترداد وحدات التحكم بالمجال أثناء التلف أو الاختراق أو الكارثة. للحصول على إرشادات حول اختيار سيناريو الاستعادة المناسب لاحتياجاتك، راجع دليل استرداد غابة Active Directory.

إشعار

لا تناقش هذه المقالة استعادة العناصر من معرف Microsoft Entra. للحصول على معلومات حول استعادة مستخدمي Microsoft Entra، راجع هذه المقالة.

أفضل الممارسات

قبل البدء في حماية Active Directory، تحقق من أفضل الممارسات التالية:

• تأكد من عمل نسخة احتياطية لوحدة تحكم مجال واحدة على الأقل.

• قم بعمل نسخة احتياطية من خدمات مجال Active Directory بشكل متكرر. يجب ألا يكون عمر النسخ الاحتياطي أقدم من عمر شاهد القبور (TSL) لأن الكائنات الأقدم من TSL محملة بشواهد القبور ولم تعد تعتبر صالحة.

  • الافتراضي TSL للمجالات المبنية على Windows Server 2003 SP2 والإصدارات الأحدث هو 180 يوماً.

  • يمكنك التحقق من TSL الذي تم تكوينه باستخدام برنامج PowerShell النصي التالي:

    (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
    

• لديك خطة واضحة لاستعادة البيانات بعد الكوارث تتضمن إرشادات حول كيفية استعادة وحدات التحكم في المجال. للتحضير لاستعادة مجموعة خدمات مجال Active Directory، اقرأ خدمات مجال Active Directory Forest Recovery Guide.

• إذا كنت بحاجة إلى استعادة وحدة تحكم المجال، ولديك وحدة تحكم مجال تعمل في المجال، يمكنك إنشاء خادم جديد بدلاً من الاستعادة من النسخة الاحتياطية. أضف دور خادم خدمات مجال Active Directory Domain Services إلى الخادم الجديد لجعله وحدة تحكم مجال في المجال الحالي. ثم يتم نسخ بيانات Active Directory إلى الخادم الجديد. لإزالة وحدة تحكم المجال السابقة من خدمات مجال Active Directory، اتبع الخطوات في هذه المقالة لإجراء تنظيف بيانات التعريف.

إشعار

لا يتضمن Azure Backup استعادة مستوى العنصر ل Active Directory. إذا كنت ترغب في استعادة الكائنات المحذوفة، ويمكنك الوصول إلى وحدة تحكم المجال، فاستخدم خدمات مجال Active Directory Recycle Bin. إذا لم تكن هذه الطريقة متوفرة، فيمكنك استخدام النسخة الاحتياطية لوحدة التحكم بالمجال لاستعادة الكائنات المحذوفة باستخدام أداة ntdsutil.exe كما هو موضح هنا.

للحصول على معلومات حول إجراء استعادة موثوقة لـ SYSVOL، راجع هذه المقالة.

النسخ الاحتياطي لوحدات التحكم بالمجال

يمكنك نسخ وحدات التحكم بالمجال احتياطيا باستخدام Azure Backup. تتيح لك هذه العملية حماية بيئة Active Directory الخاصة بك والتأكد من أنه يمكنك التعافي من أي مشكلات محتملة.

اختر بيئة وحدة تحكم بالمجال:

جهاز Azure الظاهري

إذا كانت وحدة التحكم بالمجال عبارة عن جهاز Azure الظاهري، فيمكنك إجراء نسخ احتياطي للخادم باستخدام جهاز Azure الظاهري Backup.

اقرأ حول الاعتبارات التشغيلية لوحدات تحكم المجال الظاهرية لضمان عمليات النسخ الاحتياطي الناجحة (وعمليات الاستعادة المستقبلية) لوحدات التحكم في مجال جهاز Azure الظاهري.

في أماكن العمل

لإجراء نسخ احتياطي لوحدة تحكم المجال المحلية، تحتاج إلى نسخ بيانات حالة النظام الخاصة بالخادم احتياطيّاً.

• إذا كنت تستخدم MARS، فاتبع هذه التعليمات.
• إذا كنت تستخدم Microsoft Azure Backup Server (MABS)، فاتبع هذه التعليمات.

إشعار

استعادة وحدات التحكم بالمجال المحلية (إما من حالة النظام أو من الأجهزة الظاهرية) إلى سحابة Azure غير مدعومة. إذا كنت ترغب في خيار تجاوز الفشل من بيئة خدمات مجال Active Directory المحلية إلى Azure، ففكر في استخدام Azure Site Recovery.

استعادة Active Directory

عند استعادة بيانات Active Directory، يمكنك اختيار أحد الأوضاع التالية:

• استعادة موثوقة: تحل البيانات المستعادة محل البيانات الموجودة على جميع وحدات التحكم بالمجال الأخرى في الغابة. استخدم هذا الوضع إذا كنت بحاجة إلى استعادة الكائنات المحذوفة والتأكد من نسخها نسخا متماثلا عبر بيئتك.
• استعادة غير موثوقة: تتلقى وحدة التحكم بالمجال المستعادة تحديثات من وحدات التحكم بالمجال الأخرى بعد الاسترداد. هذا هو النهج الموصى به عند إعادة إنشاء وحدة تحكم مجال في مجال موجود.

بالنسبة لمعظم السيناريوهات، بما في ذلك إعادة إنشاء وحدة تحكم بالمجال، يجب إجراء استعادة غير موثوقة.

أثناء الاستعادة، يتم بدء تشغيل الخادم في وضع استعادة خدمات الدليل (DSRM). تحتاج إلى توفير كلمة مرور المسؤول لوضع استعادة خدمات الدليل.

إشعار

إذا نسيت كلمة مرور DSRM، فأعد تعيينها.

اختر بيئة وحدة تحكم المجال للاستعادة:

جهاز Azure الظاهري

لاستعادة وحدة تحكم مجال جهاز Azure الظاهري، راجع استعادة أجهزة ظاهرية لوحدة تحكم المجال.

إذا كنت تستعيد جهاز VM لوحدة تحكم مجال واحدة أو أجهزة VM متعددة لوحدة تحكم المجال في مجال واحد، فاستعدها مثل أي جهاز ظاهري آخر. يتوفر وضع استعادة خدمات الدليل (DSRM) أيضًا، لذا فإن جميع سيناريوهات استرداد Active Directory قابلة للتطبيق.

إذا كنت بحاجة إلى استعادة وحدة تحكم مجال واحدة VM في تكوين مجال متعدد، فاستعد الأقراص وأنشئ VM باستخدام PowerShell.

إذا كنت تستعيد آخر وحدة تحكم مجال متبقية في المجال، أو تستعيد مجالات متعددة في مجموعة واحدة، فإننا نوصي باستعادة الغابة.

إشعار

تستخدم وحدات التحكم في المجال الافتراضية، بدءاً من Windows 2012 فصاعداً الضمانات القائمة على التقنية الظاهرية. باستخدام هذه الضمانات، يتفهم الدليل النشط ما إذا كان الجهاز الظاهري المستعاد هو وحدة تحكم بالمجال، ويقوم بتنفيذ الخطوات اللازمة لاستعادة بيانات خدمات مجال Active Directory.

في أماكن العمل

لاستعادة وحدة تحكم مجال محلية، اتبع الإرشادات الواردة لاستعادة حالة النظام إلى Windows Server، باستخدام إرشادات اعتبارات خاصة لاستعادة حالة النظام على وحدة تحكم المجال.

الخطوات التالية

• مصفوفة دعم Azure Backup