Zálohování a obnovení řadičů domény Active Directory pomocí služby Azure Backup

Tento článek popisuje, jak zálohovat a obnovovat řadiče domény Služby Active Directory pomocí služby Azure Backup, a to buď na virtuálních počítačích Azure, nebo na místních serverech. Doporučené postupy můžete použít k ochraně prostředí služby Active Directory a obnovení řadičů domény během poškození, ohrožení nebo havárie. Pokyny k výběru vhodného scénáře obnovení pro vaše potřeby najdete v průvodci obnovením doménové struktury služby Active Directory.

Poznámka:

Tento článek nepojednává o obnovování položek z ID Microsoft Entra. Informace o obnovení uživatelů Microsoft Entra naleznete v tomto článku.

Osvědčené postupy

Než začnete s ochranou služby Active Directory, zkontrolujte následující osvědčené postupy:

• Ujistěte se, že je zálohovaný aspoň jeden řadič domény.

• Často zálohujte službu Active Directory. Věk zálohování nesmí být starší než doba životnosti náhrobní desky (TSL), protože objekty starší než TSL jsou přetěžovány a už se nepovažují za platné.

  • Výchozí seznam TSL pro domény postavené na Windows Serveru 2003 SP2 a novějších je 180 dnů.

  • Nakonfigurovaný TSL můžete ověřit pomocí následujícího skriptu PowerShellu:

    (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
    

• Máte jasný plán zotavení po havárii, který obsahuje pokyny k obnovení řadičů domény. Pokud se chcete připravit na obnovení doménové struktury služby Active Directory, přečtěte si průvodce obnovením doménové struktury služby Active Directory.

• Pokud potřebujete obnovit řadič domény a mít zbývající funkční řadič domény v doméně, můžete místo obnovení ze zálohy vytvořit nový server. Přidejte roli serveru Doména služby Active Directory Services na nový server, aby byl řadičem domény v existující doméně. Data služby Active Directory se pak replikují na nový server. Pokud chcete odebrat předchozí řadič domény ze služby Active Directory, postupujte podle kroků v tomto článku a proveďte vyčištění metadat.

Poznámka:

Azure Backup nezahrnuje obnovení na úrovni položek pro Active Directory. Pokud chcete obnovit odstraněné objekty a máte přístup k řadiči domény, použijte koš služby Active Directory. Pokud tato metoda není dostupná, můžete pomocí zálohy řadiče domény obnovit odstraněné objekty pomocí nástrojentdsutil.exe , jak je vysvětleno zde.

Informace o provádění autoritativního obnovení adresáře SYSVOL naleznete v tomto článku.

Zálohování řadičů domény

Řadiče domény můžete zálohovat pomocí služby Azure Backup. Tato operace umožňuje chránit prostředí služby Active Directory a zajistit, abyste se mohli zotavit z potenciálních problémů.

Zvolte prostředí řadiče domény:

Virtuální počítač Azure

Pokud je řadičem domény virtuální počítač Azure, můžete zálohovat server pomocí zálohování virtuálních počítačů Azure.

Přečtěte si o provozních aspektech virtualizovaných řadičů domény, abyste zajistili úspěšné zálohování (a budoucí obnovení) řadičů domény virtuálního počítače Azure.

Místní prostředí

Pokud chcete zálohovat místní řadič domény, musíte zálohovat data stavu systému serveru.

• Pokud používáte MARS, postupujte podle těchto pokynů.
• Pokud používáte Microsoft Azure Backup Server (MABS), postupujte podle těchto pokynů.

Poznámka:

Obnovení místních řadičů domény (ze stavu systému nebo z virtuálních počítačů) do cloudu Azure se nepodporuje. Pokud chcete možnost převzetí služeb při selhání z prostředí místní Active Directory do Azure, zvažte použití Azure Site Recovery.

Obnovení služby Active Directory

Při obnovování dat služby Active Directory můžete zvolit jeden z následujících režimů:

• Autoritativní obnovení: Obnovená data nahradí data na všech ostatních řadičích domény v doménové struktuře. Tento režim použijte, pokud potřebujete obnovit odstraněné objekty a zajistit, aby se replikovaly napříč vaším prostředím.
• Neověřený obnovení: Obnovený řadič domény po obnovení přijímá aktualizace z jiných řadičů domény. Tento postup se doporučuje při opětovném sestavení řadiče domény v existující doméně.

Ve většině scénářů, včetně opětovného sestavení řadiče domény, byste měli provést neověřující obnovení.

Během obnovení se server spustí v režimu obnovení adresářových služeb (DSRM). Musíte zadat heslo správce pro režim obnovení adresářových služeb.

Poznámka:

Pokud heslo DSRM zapomenete, resetujte ho.

Zvolte prostředí řadiče domény pro obnovení:

Virtuální počítač Azure

Pokud chcete obnovit řadič domény virtuálního počítače Azure, přečtěte si téma Obnovení virtuálních počítačů řadiče domény.

Pokud obnovujete jeden virtuální počítač řadiče domény nebo několik virtuálních počítačů řadiče domény v jedné doméně, obnovte je stejně jako jakýkoli jiný virtuální počítač. K dispozici je také režim obnovení adresářových služeb (DSRM), takže všechny scénáře obnovení služby Active Directory jsou možné.

Pokud potřebujete obnovit jeden virtuální počítač řadiče domény v konfiguraci více domén, obnovte disky a vytvořte virtuální počítač pomocí PowerShellu.

Pokud obnovujete poslední zbývající řadič domény v doméně nebo obnovujete více domén v jedné doménové struktuře, doporučujeme obnovení doménové struktury.

Poznámka:

Virtualizované řadiče domény z Windows 2012 používají ochranu na základě virtualizace. Díky těmto ochranným opatřením služba Active Directory rozumí tomu, jestli je obnovený virtuální počítač řadičem domény, a provede nezbytné kroky k obnovení dat služby Active Directory.

Místní prostředí

Pokud chcete obnovit místní řadič domény, postupujte podle pokynů k obnovení stavu systému na Windows Server s využitím pokynů pro zvláštní aspekty obnovení stavu systému na řadiči domény.

Další kroky

• Matice podpory pro Azure Backup