Sichern und Wiederherstellen von Active Directory-Domänencontrollern mithilfe von Azure Backup

In diesem Artikel wird beschrieben, wie Active Directory-Domänencontroller mithilfe von Azure Backup gesichert und wiederhergestellt werden, entweder auf virtuellen Azure-Computern (VMs) oder lokalen Servern. Sie können die empfohlenen Verfahren verwenden, um Ihre Active Directory-Umgebung zu schützen und Domänencontroller während beschädigung, kompromittieren oder notfalls wiederherzustellen. Anleitungen zum Auswählen des richtigen Wiederherstellungsszenarios für Ihre Anforderungen finden Sie im Handbuch zur Wiederherstellung der Active Directory-Gesamtstruktur.

Hinweis

In diesem Artikel wird das Wiederherstellen von Elementen aus der Microsoft Entra-ID nicht erläutert. Informationen zum Wiederherstellen von Microsoft Entra-Benutzern finden Sie in diesem Artikel.

Bewährte Methoden

Bevor Sie mit dem Schutz von Active Directory beginnen, sehen Sie sich die folgenden bewährten Methoden an:

• Sorgen Sie dafür, dass mindestens ein Domänencontroller gesichert wird.

• Sichern Sie Active Directory häufig. Das Sicherungsalter darf nicht älter sein als die Tombstone-Lebensdauer (Tombstone Lifetime, TSL), da Objekte, die älter als die TSL sind , versteinert und nicht mehr als gültig betrachtet werden.

  • Die Standard-TSL für Domänen, die auf Windows Server 2003 SP2 und höher basieren, beträgt 180 Tage.

  • Sie können die konfigurierte TSL mithilfe des folgenden PowerShell-Skripts überprüfen:

    (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
    

• Sorgen Sie für einen klaren Plan zur Notfallwiederherstellung mit Anleitungen dazu, wie Ihre Domänencontroller wiederhergestellt werden. Informationen zum Vorbereiten der Wiederherstellung einer Active Directory-Gesamtstruktur finden Sie im Active Directory Forest Recovery Guide (Handbuch zur Wiederherstellung der Active Directory-Gesamtstruktur).

• Wenn Sie einen Domänencontroller wiederherstellen müssen und die Domäne noch einen funktionsfähigen Domänencontroller enthält, können Sie einen neuen Server erstellen, statt ihn aus einer Sicherung wiederherzustellen. Fügen Sie dem neuen Server die Serverrolle Active Directory Domain Services hinzu, um ihn zu einem Domänencontroller in der vorhandenen Domäne zu machen. Anschließend werden die Active Directory-Daten auf den neuen Server repliziert. Wenn Sie den vorherigen Domänencontroller aus Active Directory entfernen möchten, führen Sie die in diesem Artikel beschriebenen Schritte zur Durchführung einer Metadatenbereinigung aus.

Hinweis

Azure Backup enthält keine Wiederherstellung auf Elementebene für Active Directory. Wenn Sie gelöschte Objekte wiederherstellen möchten und auf einen Domänencontroller zugreifen können, verwenden Sie den Active Directory-Papierkorb. Wenn diese Methode nicht verfügbar ist, können Sie die Domänencontrollersicherung verwenden, um die gelöschten Objekte mit dem ntdsutil.exe Tool wie hier erläutert wie hier erläutert wiederherzustellen.

Informationen zum Durchführen einer autoritativen Wiederherstellung von SYSVOL finden Sie in diesem Artikel.

Sichern von Domänencontrollern

Sie können Domänencontroller mithilfe von Azure Backup sichern. Mit diesem Vorgang können Sie Ihre Active Directory-Umgebung schützen und sicherstellen, dass Sie alle potenziellen Probleme wiederherstellen können.

Wählen Sie eine Domänencontrollerumgebung aus:

Azure-VM

Wenn der Domänencontroller eine Azure-VM ist, können Sie den Server mithilfe der Azure-VM-Sicherung sichern.

Informieren Sie sich über operative Überlegungen für virtualisierte Domänencontroller, um für erfolgreiche Sicherungen (und zukünftige Wiederherstellungen) Ihrer Azure-VM-Domänencontroller zu sorgen.

Lokal

Zum Sichern eines lokalen Domänencontrollers müssen Sie die Systemstatusdaten des Servers sichern.

• Wenn Sie MARS verwenden, folgen Sie diesen Anleitungen.
• Wenn Sie Microsoft Azure Backup Server (MABS) verwenden, befolgen Sie diese Anweisungen.

Hinweis

Lokale Domänencontrollerwiederherstellung (entweder vom Systemstatus oder von VMs) in die Azure-Cloud wird nicht unterstützt. Wenn Sie die Option eines Failovers aus einer lokalen Active Directory-Umgebung zu Azure verwenden möchten, erwägen Sie die Verwendung von Azure Site Recovery.

Wiederherstellen von Active Directory

Beim Wiederherstellen von Active Directory-Daten können Sie einen der folgenden Modi auswählen:

• Autoritative Wiederherstellung: Die wiederhergestellten Daten ersetzen die Daten auf allen anderen Domänencontrollern in der Gesamtstruktur. Verwenden Sie diesen Modus, wenn Sie gelöschte Objekte wiederherstellen müssen, und stellen Sie sicher, dass sie in Ihrer Umgebung repliziert werden.
• Nicht authentifizierte Wiederherstellung: Der wiederhergestellte Domänencontroller empfängt nach der Wiederherstellung Updates von anderen Domänencontrollern. Dies ist der empfohlene Ansatz beim Neuerstellen eines Domänencontrollers in einer vorhandenen Domäne.

Für die meisten Szenarien, einschließlich der Neuerstellung eines Domänencontrollers, sollten Sie eine nicht authentifizierte Wiederherstellung durchführen.

Während der Wiederherstellung wird der Server im Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM) gestartet. Sie müssen das Administratorkennwort für den Wiederherstellungsmodus für Verzeichnisdienste angeben.

Hinweis

Wenn Sie das DSRM-Kennwort vergessen haben, setzen Sie es zurück.

Wählen Sie eine Domänencontrollerumgebung für die Wiederherstellung aus:

Azure-VM

Informationen zum Wiederherstellen eines Azure-VM-Domänencontrollers finden Sie unter Wiederherstellen von virtuellen Computern mit Domänencontroller.

Wenn Sie eine einzelne Domänencontroller-VM oder mehrere Domänencontroller-VMs in einer einzelnen Domäne wiederherstellen, stellen Sie sie wie jede beliebige andere VM wieder her. Der Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) ist ebenfalls verfügbar, sodass alle Active Directory-Wiederherstellungsszenarien realisierbar sind.

Wenn Sie eine einzelne Domänencontroller-VM in einer Konfiguration mit mehreren Domänen wiederherstellen müssen, stellen Sie die Datenträger wieder her, und erstellen Sie dann eine VM mithilfe von PowerShell.

Wenn Sie den letzten verbliebenen Domänencontroller in der Domäne oder mehrere Domänen in einer einzigen Gesamtstruktur wiederherstellen, empfehlen wir eine Wiederherstellung der Gesamtstruktur.

Hinweis

Virtualisierte Domänencontroller ab Windows 2012 verwenden virtualisierungsbasierte Sicherheitsmechanismen. Bei diesen Sicherheitsmechanismen erkennt Active Directory, ob die wiederhergestellte VM ein Domänencontroller ist, und führt die erforderlichen Schritte zum Wiederherstellen der Active Directory-Daten aus.

Lokal

Wenn Sie einen lokalen Domänencontroller wiederherstellen möchten, folgen Sie den Anleitungen zum Wiederherstellen des Systemstatus auf einem Windows-Server anhand des Leitfadens Besondere Überlegungen bei der Wiederherstellung des Systemstatus auf einem Domänencontroller.

Nächste Schritte

• Supportmatrix für Azure Backup