نسخ احتياطي واستعادة وحدات تحكم مجال خدمات مجال Active Directory

يعد النسخ الاحتياطي لـ خدمات مجال Active Directory، وضمان عمليات الاستعادة الناجحة في حالات الفساد أو التسوية أو الكوارث جزءاً مهمّاً من صيانة خدمات مجال Active Directory.

توضح هذه المقالة الإجراءات المناسبة لنسخ وحدات تحكم مجال خدمات مجال Active Directory احتياطيّاً واستعادتها باستخدام Azure Backup، سواء كانت أجهزة Azure افتراضية أو خوادم محلية. يناقش سيناريو حيث تحتاج إلى استعادة وحدة تحكم المجال بأكملها إلى حالتها في وقت النسخ الاحتياطي. لمعرفة سيناريو الاستعادة المناسب لك، راجع هذه المقالة.

إشعار

لا تتناول هذه المقالة استعادة العناصر من معرف Microsoft Entra. للحصول على معلومات حول استعادة مستخدمي Microsoft Entra، راجع هذه المقالة.

أفضل الممارسات

قبل البدء في حماية Active Directory، تحقق من أفضل الممارسات التالية:

  • تأكد من عمل نسخة احتياطية لوحدة تحكم مجال واحدة على الأقل. إذا قمت بإجراء نسخ احتياطي لأكثر من وحدة تحكم بالمجال، فتأكد من الاحتفاظ بنسخة احتياطية من كل من يشغل أدوار FSMO (Flexible Single Master Operation).

  • قم بعمل نسخة احتياطية من خدمات مجال Active Directory بشكل متكرر. يجب ألا يكون عمر النسخ الاحتياطي أقدم من عمر علامة مميزة (TSL) لأن الكائنات الأقدم من TSL سيتم "تشكيلها" ولن يتم اعتبارها صالحة بعد الآن.

    • الافتراضي TSL للمجالات المبنية على Windows Server 2003 SP2 والإصدارات الأحدث هو 180 يوماً.

    • يمكنك التحقق من TSL الذي تم تكوينه باستخدام برنامج PowerShell النصي التالي:

      (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
      
  • لديك خطة واضحة لاستعادة البيانات بعد الكوارث تتضمن إرشادات حول كيفية استعادة وحدات التحكم في المجال. للتحضير لاستعادة مجموعة خدمات مجال Active Directory، اقرأ خدمات مجال Active Directory Forest Recovery Guide.

  • إذا كنت بحاجة إلى استعادة وحدة تحكم المجال، ولديك وحدة تحكم مجال تعمل في المجال، يمكنك إنشاء خادم جديد بدلاً من الاستعادة من النسخة الاحتياطية. أضف دور خادم خدمات مجال Active Directory Domain Services إلى الخادم الجديد لجعله وحدة تحكم مجال في المجال الحالي. ثم سيتم نسخ بيانات خدمات مجال Active Directory إلى الخادم الجديد. لإزالة وحدة تحكم المجال السابقة من خدمات مجال Active Directory، اتبع الخطوات في هذه المقالة لإجراء تنظيف بيانات التعريف.

إشعار

لا يتضمن Azure Backup استعادة مستوى العنصر لـ خدمات مجال Active Directory. إذا كنت ترغب في استعادة الكائنات المحذوفة، ويمكنك الوصول إلى وحدة تحكم المجال، فاستخدم خدمات مجال Active Directory Recycle Bin. في حالة عدم توفر هذه الطريقة، يمكنك استخدام النسخة الاحتياطية لوحدة تحكم المجال لاستعادة الكائنات المحذوفة باستخدام أداة ntdsutil.exe كما هو مشروح هنا.

للحصول على معلومات حول إجراء استعادة موثوقة لـ SYSVOL، راجع هذه المقالة.

النسخ الاحتياطي لوحدات تحكم مجال Azure VM

إذا كانت وحدة التحكم بالمجال عبارة عن جهاز Azure الظاهري، فيمكنك إجراء نسخ احتياطي للخادم باستخدام جهاز Azure الظاهري Backup.

اقرأ حول الاعتبارات التشغيلية لوحدات تحكم المجال الظاهرية لضمان عمليات النسخ الاحتياطي الناجحة (وعمليات الاستعادة المستقبلية) لوحدات التحكم في مجال جهاز Azure الظاهري.

النسخ الاحتياطي لوحدات التحكم بالمجال المحلية

لإجراء نسخ احتياطي لوحدة تحكم المجال المحلية، تحتاج إلى نسخ بيانات حالة النظام الخاصة بالخادم احتياطيّاً.

إشعار

لا يتم دعم استعادة وحدات التحكم بالمجال المحلية (إما من حالة النظام أو من أجهزة ظاهرية) إلى سحابة Azure. إذا كنت ترغب في خيار تجاوز الفشل من بيئة خدمات مجال Active Directory المحلية إلى Azure، ففكر في استخدام Azure Site Recovery.

استعادة Active Directory

يمكن استعادة بيانات خدمات مجال Active Directory في أحد الوضعين: authoritative أو nonauthoritative. في استعادة موثوقة، ستتجاوز بيانات خدمات مجال Active Directory المستعادة البيانات الموجودة على وحدات تحكم المجال الأخرى في الغابة.

ومع ذلك، في هذا السيناريو، نقوم بإعادة بناء وحدة تحكم مجال في مجال موجود، لذلك يجب إجراء استعادة nonauthoritative.

أثناء الاستعادة، سيبدأ الخادم في وضع استعادة خدمات الدليل (DSRM). ستحتاج إلى توفير كلمة مرور المسؤول لوضع استعادة خدمات الدليل.

إشعار

في حالة نسيان كلمة مرور DSRM، يمكنك إعادة تعيينها باستخدام هذه التعليمات.

استعادة وحدات تحكم مجال Azure VM

لاستعادة وحدة تحكم مجال جهاز Azure الظاهري، راجع استعادة أجهزة ظاهرية لوحدة تحكم المجال.

إذا كنت تستعيد جهاز VM لوحدة تحكم مجال واحدة أو أجهزة VM متعددة لوحدة تحكم المجال في مجال واحد، فاستعدها مثل أي جهاز ظاهري آخر. يتوفر وضع استعادة خدمات الدليل (DSRM) أيضًا، لذا فإن جميع سيناريوهات استرداد Active Directory قابلة للتطبيق.

إذا كنت بحاجة إلى استعادة وحدة تحكم مجال واحدة VM في تكوين مجال متعدد، فاستعد الأقراص وأنشئ VM باستخدام PowerShell.

إذا كنت تستعيد آخر وحدة تحكم مجال متبقية في المجال، أو تستعيد مجالات متعددة في مجموعة واحدة، فإننا نوصي باستعادة الغابة.

إشعار

تستخدم وحدات التحكم في المجال الافتراضية، بدءاً من Windows 2012 فصاعداً الضمانات القائمة على التقنية الظاهرية. باستخدام هذه الضمانات، يتفهم الدليل النشط ما إذا كان الجهاز الظاهري المستعاد هو وحدة تحكم بالمجال، ويقوم بتنفيذ الخطوات اللازمة لاستعادة بيانات خدمات مجال Active Directory.

استعادة وحدات التحكم بالمجال المحلية

لاستعادة وحدة تحكم مجال محلية، اتبع الإرشادات الواردة لاستعادة حالة النظام إلى Windows Server، باستخدام إرشادات اعتبارات خاصة لاستعادة حالة النظام على وحدة تحكم المجال.

الخطوات التالية