Zálohování a obnovení řadičů domény služby Active Directory
Zálohování služby Active Directory a zajištění úspěšného obnovení v případě poškození, ohrožení nebo havárie je důležitou součástí údržby služby Active Directory.
Tento článek popisuje správné postupy pro zálohování a obnovení řadičů domény Active Directory pomocí služby Azure Backup, ať už se jedná o virtuální počítače Azure nebo místní servery. Popisuje scénář, ve kterém potřebujete obnovit celý řadič domény do jeho stavu v době zálohování. Pokud chcete zjistit, který scénář obnovení je pro vás vhodný, přečtěte si tento článek.
Poznámka:
Tento článek nepojednává o obnovování položek z ID Microsoft Entra. Informace o obnovení uživatelů Microsoft Entra naleznete v tomto článku.
Osvědčené postupy
Ujistěte se, že je zálohovaný aspoň jeden řadič domény. Pokud zálohujete více než jeden řadič domény, ujistěte se, že se zálohují všechny, které mají role FSMO (flexibilní jednoúčelové operace).
Často zálohujte službu Active Directory. Věk zálohování by nikdy neměl být starší než životnost náhrobní desky (TSL), protože objekty starší než TSL budou "náhrobky" a už se nepovažují za platné.
Výchozí seznam TSL pro domény postavené na Windows Serveru 2003 SP2 a novějších je 180 dnů.
Nakonfigurovaný TSL můžete ověřit pomocí následujícího skriptu PowerShellu:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Máte jasný plán zotavení po havárii, který obsahuje pokyny k obnovení řadičů domény. Pokud se chcete připravit na obnovení doménové struktury služby Active Directory, přečtěte si průvodce obnovením doménové struktury služby Active Directory.
Pokud potřebujete obnovit řadič domény a mít zbývající funkční řadič domény v doméně, můžete místo obnovení ze zálohy vytvořit nový server. Přidejte roli serveru Doména služby Active Directory Services na nový server, aby byl řadičem domény v existující doméně. Data služby Active Directory se pak replikují na nový server. Pokud chcete odebrat předchozí řadič domény ze služby Active Directory, postupujte podle kroků v tomto článku a proveďte vyčištění metadat.
Poznámka:
Azure Backup nezahrnuje obnovení na úrovni položek pro Active Directory. Pokud chcete obnovit odstraněné objekty a máte přístup k řadiči domény, použijte koš služby Active Directory. Pokud tato metoda není k dispozici, můžete pomocí zálohování řadiče domény obnovit odstraněné objekty pomocí nástroje ntdsutil.exe , jak je vysvětleno zde.
Informace o provádění autoritativního obnovení adresáře SYSVOL naleznete v tomto článku.
Zálohování řadičů domény virtuálního počítače Azure
Pokud je řadičem domény virtuální počítač Azure, můžete zálohovat server pomocí zálohování virtuálních počítačů Azure.
Přečtěte si o provozních aspektech virtualizovaných řadičů domény, abyste zajistili úspěšné zálohování (a budoucí obnovení) řadičů domény virtuálního počítače Azure.
Zálohování místních řadičů domény
Pokud chcete zálohovat místní řadič domény, musíte zálohovat data stavu systému serveru.
- Pokud používáte MARS, postupujte podle těchto pokynů.
- Pokud používáte MABS (Azure Backup Server), postupujte podle těchto pokynů.
Poznámka:
Obnovení místních řadičů domény (z stavu systému nebo z virtuálních počítačů) do cloudu Azure se nepodporuje. Pokud chcete možnost převzetí služeb při selhání z prostředí místní Active Directory do Azure, zvažte použití Azure Site Recovery.
Obnovení služby Active Directory
Data služby Active Directory je možné obnovit v jednom ze dvou režimů: autoritativní nebo neověřený. V autoritativním obnovení přepíší obnovená data služby Active Directory nalezená v ostatních řadičích domény v doménové struktuře.
V tomto scénáři ale znovu sestavujeme řadič domény v existující doméně, takže by se mělo provést neověřující obnovení.
Během obnovení se server spustí v režimu obnovení adresářových služeb (DSRM). Budete muset zadat heslo Správa istratoru pro režim obnovení adresářových služeb.
Poznámka:
Pokud heslo DSRM zapomenete, můžete ho resetovat pomocí těchto pokynů.
Obnovení řadičů domény virtuálních počítačů Azure
Pokud chcete obnovit řadič domény virtuálního počítače Azure, přečtěte si téma Obnovení virtuálních počítačů řadiče domény.
Pokud obnovujete jeden virtuální počítač řadiče domény nebo několik virtuálních počítačů řadiče domény v jedné doméně, obnovte je stejně jako jakýkoli jiný virtuální počítač. K dispozici je také režim obnovení adresářových služeb (DSRM), takže všechny scénáře obnovení služby Active Directory jsou možné.
Pokud potřebujete obnovit jeden virtuální počítač řadiče domény v konfiguraci více domén, obnovte disky a vytvořte virtuální počítač pomocí PowerShellu.
Pokud obnovujete poslední zbývající řadič domény v doméně nebo obnovujete více domén v jedné doménové struktuře, doporučujeme obnovení doménové struktury.
Poznámka:
Virtualizované řadiče domény z Windows 2012 používají ochranu na základě virtualizace. Díky těmto ochranným opatřením služba Active Directory rozumí tomu, jestli je obnovený virtuální počítač řadičem domény, a provede nezbytné kroky k obnovení dat služby Active Directory.
Obnovení místních řadičů domény
Pokud chcete obnovit místní řadič domény, postupujte podle pokynů k obnovení stavu systému na Windows Server s využitím pokynů pro zvláštní aspekty obnovení stavu systému na řadiči domény.